ISMS 이바구 05 - 문서는 얼마나 상세해야 하나?

문서는 얼마나 상세해야 하나?

지침이나 절차서/매뉴얼에 일정기간 사용하지 않으면 잠금을 수행하고, 이후 일정기간 후 삭제하는 조항이 있습니다. 이것이 결함인가요?
얼마나 상세해야 하나요?

 

------------------------------------------------------------------------------------

 

통제 방안을 지침에 넣을지, 절차서에 반영할 지 모호한 경우가 있습니다.
보안 조직에서 규정을 수립할때 많은 부서에서 반발할 수 있습니다.
USB 매체통제, DRM 심지어 방화벽 정책까지도 저항할 수 있습니다.

이런 경우 정보보호 위원회에서 결정된다면 보안 통제에 더 힘을 실을 수 있을 것입니다.

따라서 전사에서 전파하거나 반드시 수행해야 할 사항은 시간이 좀 걸리더라도 정보보호위원회에서 지침 개정 승인을 받고 공표하는 것이 필요합니다.

 

그런데 수시로 변경 가능한 사항들을 정의할때 일일이 정보보호 위원회에 회부하기 어려운 것이 사실입니다. 이런 경우 정보보호 실무위원회에서 절차서를 개정하면 됩니다.

따라서 변경되지 않고, 반드시 수행해야 할 사항은 지침에 반영하고
변경될 수 있으며, 타팀과 협의가 필요한 사항이 아니라면 절차서에 반영해도 될 것입니다.

 

다만 절차서의 경우 상세히 하는 것을 권고하는데 향후 내부 감사 등을 통해 이행 여부를 확인할 수 있을 정도로는 구체화되어야 하기 때문입니다.

예외적으로 법적 요구사항은 반드시 준수해야 할 사항이므로 지침에 반영하는 것이 타당하리라 봅니다.