- 정보보호정책 -- 기업 또는 조직의 정보보호에 대한 방향, 전략, 주요내용들을 문서화 시켜놓은 것 -- 정보보호관리를 위해서 가장 먼저하는 정책수립의 결과물 -- 하향식 유형(Top-down) : 상위 정책에서 하위 정책을 도출 -- 상향식 유형(Bottom-up) : 기업의 기존 정책들을 종합하여 도출 - 정보보호정책의 조건 -- 간결, 명확 -- 정보보호의 목표, 회사의 비전 포함 -- 정책에 연관된 임직원들에게 설명을 해야함 -- 난해한 표현은 피하고 쉽게 작성 - 정보보호정책은 다음 사항을 포함해야 한다 -- 자산의 분류 -- 기밀성, 무결성, 가용성 보장 -- 비인가자의 접근 원칙 -- 법 준거성 -- 개발 및 유지방법 -- 비상대책 계획 수립 -- 교육 및 훈련 -- 징계와 처벌 -- 보안사고 보고 및 조사 -- 기타 관련 정책 - 정보보호정책의 구성원 -- 정보보호책임자 : 조직의 구성 및 운영 총괄 -- 정보보호관리자 : 정보보호 활동의 계획 및 관리 -- 정보보호담당자 : 실무자, 계획한 정책을 이행하는 자 -- 정보보호위원회 : 활동계획 및 예산심의. 정책과 규정 최종 심의 - 정보보호책임자 -- 기본역할 --- 정책수립과 실행 --- 위험분석 수립과 실행 --- 위원회 소집 및 의장 역할 --- 정책서, 계획서, 관련규정 승인 --- 현황감독 -- 정보자산관련 책임 --- 정보자산 평가 및 선정등급 승인 --- 정보자산 보호대책의 주기적 검토 -- 교육훈련 관련 책임 --- 정보보호 관련 교육, 훈련 계획서 승인 --- 교육 실적 검토 -- 보안사고 발생 시 책임 --- 사고 처리계획 승인 및 처리결과 확인 --- 보안사고시 위원회 소집 결정 --- 보안사고를 외부기관에 보고해야할 경우 대표의 인가를 받음 -- 시스템개발 및 유지보수 시 책임 --- 정보시스템의 개발, 운영 및 유지보수 계획 승인 -- 감사 및