기술보호를 위한 관리규정 수립/실시 - 오피스키퍼 정보보안 가이드 제1강

안녕하세요 :) 저는 중소기업에서 인사·총무 업무를 담당하고 있는 오과장입니다.
앞으로 여러분께 [오피스키퍼 정보보안가이드]를 하나씩 알기 쉽게 말씀드릴게요!

요즘 정보보안 이슈가 유독 많이 발생하고 있는 것을 체감하고 있는데요.
취약한 중소기업에 재직하고 있는 담당자로서 보안에 대한 관심이 높아지는 건 어찌 보면 당연한 일이죠.
하지만 보안에 대해 아무것도 모르는 제가 어디서부터 어떻게 보안을 시작해야하나 막막하기만 했어요.
저 뿐만 아니라, 다른 중소기업 담당자들도 마찬가지 일거라고 생각해요.
저는 얼마 전, 정보유출방지(DLP) 솔루션 오피스키퍼 홈페이지에서 "중소기업 보안 가이드"라는 책을 받았고, 저는 이 책을 읽으며 생각했습니다.

 

---

‘보안을 강화하기 위해 꼭 많은 돈을 투자해야만 하는 것은 아니구나!’
‘차근차근 따라 하다 보면 전산팀이 없어도 회사 보안 환경을 구축할 수 있겠구나!’

---

 

그리고 마.침.내! 보안 초보인 제가 우리회사 정보보안 환경을 구축하게 되었습니다.
제가 보안가이드를 보면서 회사 보안 환경을 구축했던 노하우(?)를 앞으로 여러분들께 공유하고자 합니다.
1강부터 10강까지 잘 따라오시면 여러분들도 보안 마스터가 될 수 있습니다!
그럼, 회사 보안을 이제 막 시작하고자 하는 분들 모두 마스터가 될 준비가 되셨나요?

먼저, 그 첫 번째 시간에는 [기술보호를 위한 관리규정 수립/실시]에 대해 알아보는 시간을 가지도록 하겠습니다.
이번 세션에서는 보안 관리 규정의 필요성과 관리 규정의 수립 방법에 대해 설명 드리겠습니다.

 

---

1. 기술보호 자가체크 리스트
2. 보안정책 수립
3. 보안정책 관리규정 수립

​별첨 #1. 보안정책서

​여러분, 정보보안을 하기 위한 첫 단계가 무엇인지 아시나요?
바로 우리회사의 정보보안 실태를 확인해 보는 것입니다! 먼저 정보보안 실태를 확인하시면, 우리회사에 필요한 관리규정을 수립하는데 도움이 많이 됩니다.

보안가이드 책에도 기술보호 자가체크를 할 수 있는 10가지 항목이 있었는데, 역시나 저희 회사에서도 간과하고 있었던 부분이 많이 있었습니다. 체크리스트 중 몇 가지만 가지고 와봤는 담당자님들도 체크를 한 번 해보세요!

---

기술보호 자가체크 10가지 항목 中

​▲ 회사의 기술 보호 정책, 지침, 절차, 등의 내용에 대해 임직원들에게 공지하고 있는가?
▲ 회사의 주요 정보(기술, 영업 등)는 어떻게 공유 되는가?
▲ 기술 유출 및 침해 사고 발생 시 회사 차원의 대응 방안이 마련되어 있는가?

---

기술보호 체크리스트를 해보면 우리 회사 정보보안 현황을 파악할 수 있었고 어떤 부분을 보안해야 할지 알 수 있었습니다. 저도 체크리스트를 해보니, 정보보안 정책 수립이 우리회사에 얼마나 필요한지 알 수 있었어요.

​자, 이제 본문으로 넘어가서 정보보안정책 수립에 대해 본격적으로 설명 드리겠습니다.
‘보안정책 수립 그게 그렇게 중요한가?’라고 생각하는 분들이 많이 있을 거라고 생각해요.

​하.지.만! 보안정책은 관리자가 보안과 관련된 모든 것들에 대해 어떻게 관리할 것인가를 결정하고 사용자에게 준수하여야 할 사항을 알리기 위해 꼭 작성해야 합니다.

---

보안 정책 수립 효과

​1. 투자대비 최대의 보안 효과 기대
2. 비밀유지 노력에 대한 진실성과 가시성 구축
3. 최고 경영자 지원의 증명
4. 감사 기준 및 책임회피 방지
5. 현재와 미래의 변화에 대처하기 위한 기준 제공

---

그러면 보안정책 관리규정을 어떻게 수립하면 될까요?
보안정책 관리 규정을 세우기 위해서 세부 영역은 7가지 기준으로 나눠서 관리를 하시면 됩니다.

● 기술 보호 조직: 전담 부서 지정과 같은 업무 분장을 명확하게 해두세요.
● 정보 자산 관리: 자산에 대한 등급을 분류하고 표시해두세요.
● 인력 관리: 직책 구분 대책 서약서, 보상책을 만드세요.
● 물리 및 환경적 보안: 중요 시설과 설비를 구분하여 보호 조치를 명시하세요.
● 기술적 보안 정책: 이메일, DB, 서버 등을 통한 정보유출방지에 대한 대책을 세우고, 명시하세요.
● 기술보호 운영 관리 및 사고 대응 정책: 기술 유출 또는 침해 사고 발생 시 대응책을 마련해두세요.
● 기술 보호 교육 수행 정책: ​기술 보호 교육, 감사 등 규정을 만들어 두세요.​

각 영역 별로, 어떤 관리 규정을 세워야 하는지 세부 항목을 확인해 보면서 우리 회사에 필요한 항목을 체크해보세요.
보안 정책을 마련해두는 것만으로도 직원들에게 경감심을 심어주고, 보안 사고가 발생하였을 때 증거자료가 될 수 있다는 점을 명심하셨으면 합니다.

---

이상으로 [오피스키퍼 정보보안가이드] 1강에서는 기술보호를 위한 관리규정 수립에 대해 전반적인 내용을 알아보았습니다. 실질적인 실행방안에 대한 내용은 앞으로 2강~10강까지 계속 다룰 예정이니, 앞으로도 많은 관심 부탁드릴게요!

마지막으로, 중소기업 보안가이드 책에는 실제로 사용 가능한 다양한 서식 샘플이 있어, 바로 활용이 가능하다는 점! 참고해주세요! 😊

 

오피스키퍼 정보보안가이드 2강에서는 [자산분류] 주제로 일반정보/영업비밀/특허를 분류하는 방법, 분류한 영업비밀 등급별 관리방안 등에 대한 내용을 다뤄보도록 하겠습니다. 더욱 자세한 설명을 원하시거나 궁금한 사항은 아래 메일 또는 연락처로 언제든지 문의 부탁드립니다. 감사합니다!

 

본 블로그에 게재되는 모든 컨텐츠의 저작권은 지란지교소프트에서 가지고 있으며, 동의 없는 컨텐츠 수정 및 무단 복제는 금하고 있습니다. 컨텐츠(글/사진/영상 등)를 공유하실 경우 반드시 출처를 밝혀주시기 바랍니다. Copyright ⓒ 2020 Jiransoft, Inc. All Rights Reserved.