정보보안 계획 및 인적보안

인적보안

정보보안 계획

정보보안 계획은 전략적 계획에서 출발한다. 현업의 전략 및 정보기술 목표와 연계되어야 한다. 장기(5년 이상)적 관점에서 수립되어야 하며 향후 몇 년간 회사가 처하게 될 환경, 기술적 환경에 대한 이해가 필요하다. 주기적으로 최소 1년에 한 번씩 검토되어야 하고, 또한 인수합병, 아웃소싱 등 변화가 발생할 때마다 검토되어야 한다.

전술적 계획은 전략적 계획을 지원하는 것으로 내용이 구체적이고, 보통 6~18개월 기간 정도의 여러 프로젝트로 구성된다.

 

인적 보안

정보보안의 요소 중에서 가장 약한 고리로는 인적 보안을 들 수 있다. 인적 보안에 대한 주요 내용은 다음과 같다.

 

1. 직무기술서

1) 직무의 책임, 직무에 필요한 교육, 경험에 대한 내용을 포함한다.

2) 지원자에 대한 평가 기준 및 직무 수행에 대한 평가기준으로 활용한다.

3) 정보보호 책임에 관한 사항도 포함해야 한다.

 

2. 고용계약서

1) 직원이 재직 및 퇴직시 직원의 비윤리적 행동으로 인한 소송으로부터 조직을 보호한다.

2) 직원과 맺은 기밀유지협약(NDA, Non -Disclosure Agreement)은 조직의 영업비밀, 지적재산권 보호의 내용을 담고 있다.

 

3. 레퍼런스 체크(Reference check)

지원자의 경력, 능력, 팀워크, 리더십 등을 조사하는 것으로서, 일반적으로 지원자가 제공한 정보 및 인터뷰할 때의 관찰을 기반으로 한다.

 

4. 배경조사(Background check)

1) 통계적으로 이력서는 잘못된 내용을 포함할 수 있다는 것을 전제로 배경조사를 한다.

2) 일반적으로 회사는 의미 있고 완전한 배경조사를 할 여력이 안 된다.

3) 배경조사를 통해 조사되는 항목 : 잘못된 직책명, 직무, 연봉, 퇴직 사유, 자격증 상태, 학력, 신용, 운전기록, 범죄기록 등

4) 배경 조사의 이점으로는 다음과 같은 점을 들 수 있다.

- 위험 완화, 충분한 능력을 갖춘 직원이 고용되었다는 확신 제공

- 고용 비용 감소와 이직률 감소

- 자산 보호, 회사 브랜드 가치 보호

- 안전한 작업장, 지원자들이 숨기고자 하는 의도를 저하시키는 효과

 

5. 퇴직

퇴직은 우호적인 퇴직과 적대적인 퇴직으로 나뉘는데, 그 내용은 다음과 같다.

 

1) 우호적인 퇴직(Friendly departure) : 회사와 직원 모두 퇴직에 동의한 경우이며 HR부서에서 퇴직 직원이 회사의 자산을 모두 반납했는지, 퇴직 직원의 회사에 대한 모든 접근이 제거되었는지 확인한다.

- 노트북, 키, ID카드, 뱃지, 토큰, 암호키 등의 반납을 확인한다.

- 퇴직 인터뷰를 통해 계약상 의무, 기밀유지협약(NDA) 등을 주지 시키고 퇴직 사유 피드백을 받는다.

- 보안 부서에 퇴직 사실을 통보하여 모든 접근이 차단되도록 한다.

- 퇴직 즉시 계정을 삭제하거나 30일간 비활성화시킨 후 삭제한다.

 

2) 적대적인 퇴직(Hostile departure) : 해고당한 경우로서 시스템의 특수권한을 보유한 직원이 퇴직하는 경우 큰 위험을 안고 있다. 해고 직원에게 해고 사실을 알리기 전 접근 권한을 즉시 삭제해야 한다.

 

기업과 조직의 행동양식에 대한 주요 내용을 요약하면 다음 내용과 같다.

 

- 직무순환은 직원 공모의 위험을 감소시킨다.

- 직무순환은 예방, 탐지 목적의 인적 통제이다.

- 직무분리를 통해 보안 전반에 대한 절대적인 권한 소유가 불가하다.

- 최소권한(알 필요성) : 직무에 필요한 권한만을 부여한다.

- 강제휴가 : 직무순환과 유사한 효과, 탐지통제이다.

- 정보보호관리자는 조직 내 정보보호를 위한 촉진자 역할을 한다.

- 정보보안의 성공을 위해서는 최고경영진의 지원과 관심이 필수적이다.

- 데이터 소유자 : 정보자산에 대한 책임을 보유한 현업관리자이다.