보안 정책 (Security Policy)

보안 정책 (Security Policy)

조직의 정보자산 보호를 위한 경영진의 의지와 방향을 공식적으로 선언하고 구성원이 준수해야 할 보안 원칙과 규칙을 체계적으로 명문화한 최상위 보안 문서

특징: 경영진 승인, 법적 요구사항 반영, 명확한 표현, 정기적 검토

문서체계: 정책(Why/원칙/방향) → 표준(What/기준/요건) → 절차(How/단계/방법) → 지침(권고/모범사례)

주요정책: 접근통제정책, 비밀번호정책, 원격접속정책, 이메일정책, 사고대응정책, 물리보안정책

수명주기: 수립 → 승인 → 배포 → 이행 → 검토 → 개정

적용사례: 전사 정보보호정책, 접근통제정책, 비밀번호정책, 원격근무정책

비교: 정책(의무/원칙) vs 표준(의무/기준) vs 절차(의무/방법) vs 지침(권고)

연관: ISMS, 보안 거버넌스, 컴플라이언스, 보안 인식 교육