본문 바로가기
오피스키퍼

기술보호를 위한 관리규정 수립/실시 - 오피스키퍼 정보보안 가이드 제1강

by 지란지교소프트 2020. 9. 7.


안녕하세요 :) 저는 중소기업에서 인사·총무 업무를 담당하고 있는 오과장입니다.
앞으로 여러분께 [오피스키퍼 정보보안가이드]를 하나씩 알기 쉽게 말씀드릴게요!


요즘 정보보안 이슈가 유독 많이 발생하고 있는 것을 체감하고 있는데요.
취약한 중소기업에 재직하고 있는 담당자로서 보안에 대한 관심이 높아지는 건 어찌 보면 당연한 일이죠.
하지만 보안에 대해 아무것도 모르는 제가 어디서부터 어떻게 보안을 시작해야하나 막막하기만 했어요.
저 뿐만 아니라, 다른 중소기업 담당자들도 마찬가지 일거라고 생각해요.
저는 얼마 전, 정보유출방지(DLP) 솔루션 오피스키퍼 홈페이지에서 "중소기업 보안 가이드"라는 책을 받았고, 저는 이 책을 읽으며 생각했습니다.

 


‘보안을 강화하기 위해 꼭 많은 돈을 투자해야만 하는 것은 아니구나!’
‘차근차근 따라 하다 보면 전산팀이 없어도 회사 보안 환경을 구축할 수 있겠구나!’


 

그리고 마.침.내! 보안 초보인 제가 우리회사 정보보안 환경을 구축하게 되었습니다.
제가 보안가이드를 보면서 회사 보안 환경을 구축했던 노하우(?)를 앞으로 여러분들께 공유하고자 합니다.
1강부터 10강까지 잘 따라오시면 여러분들도 보안 마스터가 될 수 있습니다!
그럼, 회사 보안을 이제 막 시작하고자 하는 분들 모두 마스터가 될 준비가 되셨나요?

먼저, 그 첫 번째 시간에는 [기술보호를 위한 관리규정 수립/실시]에 대해 알아보는 시간을 가지도록 하겠습니다.
이번 세션에서는 보안 관리 규정의 필요성과 관리 규정의 수립 방법에 대해 설명 드리겠습니다.

 


1. 기술보호 자가체크 리스트
2. 보안정책 수립
3. 보안정책 관리규정 수립

별첨 #1. 보안정책서


러분, 정보보안을 하기 위한 첫 단계가 무엇인지 아시나요?
바로 우리회사의 정보보안 실태를 확인해 보는 것입니다! 먼저 정보보안 실태를 확인하시면, 우리회사에 필요한 관리규정을 수립하는데 도움이 많이 됩니다.

보안가이드 책에도 기술보호 자가체크를 할 수 있는 10가지 항목이 있었는데, 역시나 저희 회사에서도 간과하고 있었던 부분이 많이 있었습니다. 체크리스트 중 몇 가지만 가지고 와봤는 담당자님들도 체크를 한 번 해보세요!


기술보호 자가체크 10가지 항목 中

회사의 기술 보호 정책, 지침, 절차, 등의 내용에 대해 임직원들에게 공지하고 있는가?
▲ 회사의 주요 정보(기술, 영업 등)는 어떻게 공유 되는가?
▲ 기술 유출 및 침해 사고 발생 시 회사 차원의 대응 방안이 마련되어 있는가?


기술보호 체크리스트를 해보면 우리 회사 정보보안 현황을 파악할 수 있었고 어떤 부분을 보안해야 할지 알 수 있었습니다. 저도 체크리스트를 해보니, 정보보안 정책 수립이 우리회사에 얼마나 필요한지 알 수 있었어요.

자, 이제 본문으로 넘어가서 정보보안정책 수립에 대해 본격적으로 설명 드리겠습니다.
‘보안정책 수립 그게 그렇게 중요한가?’라고 생각하는 분들이 많이 있을 거라고 생각해요.

하.지.만! 보안정책은 관리자가 보안과 관련된 모든 것들에 대해 어떻게 관리할 것인가를 결정하고 사용자에게 준수하여야 할 사항을 알리기 위해 꼭 작성해야 합니다.


보안 정책 수립 효과

1. 투자대비 최대의 보안 효과 기대
2. 비밀유지 노력에 대한 진실성과 가시성 구축
3. 최고 경영자 지원의 증명
4. 감사 기준 및 책임회피 방지
5. 현재와 미래의 변화에 대처하기 위한 기준 제공



그러면 보안정책 관리규정을 어떻게 수립하면 될까요?
보안정책 관리 규정을 세우기 위해서 세부 영역은 7가지 기준으로 나눠서 관리를 하시면 됩니다.

 기술 보호 조직: 전담 부서 지정과 같은 업무 분장을 명확하게 해두세요.
 정보 자산 관리: 자산에 대한 등급을 분류하고 표시해두세요.
 인력 관리: 직책 구분 대책 서약서, 보상책을 만드세요.
 물리 및 환경적 보안: 중요 시설과 설비를 구분하여 보호 조치를 명시하세요.
 기술적 보안 정책: 이메일, DB, 서버 등을 통한 정보유출방지에 대한 대책을 세우고, 명시하세요.
 기술보호 운영 관리 및 사고 대응 정책: 기술 유출 또는 침해 사고 발생 시 대응책을 마련해두세요.
 기술 보호 교육 수행 정책: 기술 보호 교육, 감사 등 규정을 만들어 두세요.


각 영역 별로, 어떤 관리 규정을 세워야 하는지 세부 항목을 확인해 보면서 우리 회사에 필요한 항목을 체크해보세요.
보안 정책을 마련해두는 것만으로도 직원들에게 경감심을 심어주고, 보안 사고가 발생하였을 때 증거자료가 될 수 있다는 점을 명심하셨으면 합니다.



이상으로 [오피스키퍼 정보보안가이드] 1강에서는 기술보호를 위한 관리규정 수립에 대해 전반적인 내용을 알아보았습니다.
실질적인 실행방안에 대한 내용은 앞으로 2강~10강까지 계속 다룰 예정이니, 앞으로도 많은 관심 부탁드릴게요!

마지막으로, 중소기업 보안가이드 책에는 실제로 사용 가능한 다양한 서식 샘플이 있어, 바로 활용이 가능하다는 점! 참고해주세요! 😊

 


오피스키퍼 정보보안가이드 2강에서는 [자산분류] 주제로 일반정보/영업비밀/특허를 분류하는 방법, 분류한 영업비밀 등급별 관리방안 등에 대한 내용을 다뤄보도록 하겠습니다. 더욱 자세한 설명을 원하시거나 궁금한 사항은 아래 메일 또는 연락처로 언제든지 문의 부탁드립니다. 감사합니다!

 

본 블로그에 게재되는 모든 컨텐츠의 저작권은 지란지교소프트에서 가지고 있으며, 동의 없는 컨텐츠 수정 및 무단 복제는 금하고 있습니다. 컨텐츠(글/사진/영상 등)를 공유하실 경우 반드시 출처를 밝혀주시기 바랍니다. Copyright ⓒ 2020 Jiransoft, Inc. All Rights Reserved.

댓글