본문 바로가기

Work Log/As Cybersecurity Consultant

정보보호 정책, 표준, 지침, 절차의 정의 및 특성


"ISMS 정책개발가이드" 내용 중에 정보보호 정책, 표준, 지침, 절차에 대한 정의가 잘 정의되어 있어 가져와봅니다.

실제 조직에서는 보통 정책, 지침, 절차를 작성하지요 



 구분

정의 및  특성

 정책 (Policy)

  • 정보보호에 대한 목표, 방향이 제시되는 정보보호 관련 최상위의 문서
  • 최고경영자의 정보보호 실행에 대한 의지와 지원을 포함
  • 조직의 경영목표를 반여하고 정보보호 관련 상위 정책과 일관성을 유지
  • 정보보호를 위해 관련된 모든 사람이 반드시 지켜야할 특정 요구사항 및 규칙에 대하여 전반적이며 개략적으로 규정

 표준 (Standard)

  • 정보보호 정책과 마찬가지로 반드시 지켜야하는 요구사항에 대한 규정이지만, 정책의 준수를 위해 요구되는 보다 구체적인 사항이나 특별한 요구사항을 규정
  • 조직의 환경 또는 요구사항에 일치되어 관련된 모든 사용자 들이 준수하도록 요구되어지는 규정 

 지침 (Guidelines)

  • 표준과 유사하지만 강제성이 미약하고, 선택적이거나 권고적인 내용이며 융통성을 가질 수 있는 정보보호를 위한 규정
  • 정보보호 정책에 따라 특정 시스템 또는 특정 분야별로 정보보호 활동에 필요하거나 도움이 되는 세부사항을 규정

 절차 (Procedures)

  • 사용자들이 정책, 표준, 지침을 따르기 위하여 구체적으로 어떻게 해야 하는지에 대하여 세부적이고 상세하게 설명한 문서
  • 정보보호 활동의 구체적 적용을 위해 필요한 적용 절차 및 관련 양식 등의 구체적이고 세부적인 방법을 기술


'Work Log > As Cybersecurity Consultant' 카테고리의 다른 글

위험관리란?  (0) 2014.03.31
정보보호 원칙  (0) 2014.02.28
업종별 업무 프로세스 표준 모델  (0) 2013.12.04
6 loss categories  (0) 2013.11.26
NIST Common IT Security Practices  (0) 2013.10.25