문서화 된 보안 정책, 표준, 절차 및 지침 개발 및 구현

보안 정책, 표준, 절차 및 지침은 모두 서로 다르지만 다양한 방식으로 서로 상호 작용합니다 방법의. 이러한 차이점과 관계를 이해하고 다양한 유형의 정책과 해당 응용 프로그램을 인식하는 것이 중요합니다. 정보 보안 정책, 표준, 지침 및 절차를 성공적으로 개발하고 구현하려면 노력이 조직의 사명, 목표 및 목표와 일치하는지 확인해야합니다.

정책, 표준, 절차 및 지침 모두가 성공적인 정보 보안 프로그램을위한 청사진으로 함께 작동합니다. 그들은

거버넌스를 수립한다.

• 귀중한 지침과 의사 결정 지원을 제공하십시오.
• 법적 권한을 설정하는 데 도움이됩니다.
• 기술적 인 보안 솔루션은 이러한 중요한 청사진없이 구현되는 경우가 많습니다. 그 결과는 일반적으로 비싸고 비효율적 인 컨트롤인데, 이는 일률적으로 적용되지 않으며 전반적인 보안 전략을 지원하지 않습니다.

거버넌스

는 조직의 일상 업무와 결정을 조정하는 데 도움이되는 정책, 표준, 지침 및 절차 체계를 집합 적으로 나타내는 용어입니다. 정책

보안 정책 은 조직의 정보 보안 프로그램의 기반을 형성합니다. RFC 2196, 사이트 보안 핸드북 는 보안 정책을 "조직의 기술 및 정보 자산에 대한 액세스 권한이 부여 된 사람들이 준수해야하는 규칙의 공식 진술"로 정의합니다. " 고위 경영진:

통제 수단.

• 규제: 일반적으로 연방, 주, 산업 또는 기타 법적 요구 사항에 따라 요구되는 매우 상세하고 간결한 정책.
• Advisory: 필수는 아니지만 권장 사항이며, 준수하지 않을 경우 특정 벌칙이나 결과가있는 경우가 많습니다. 대부분의 정책이이 범주에 속합니다.
• 정보 제공: 준수에 대한 명시적인 요구 사항없이 정보 만 제공합니다.
• 표준, 절차 및 지침은 정책의 지원 요소이며 정책의 구체적인 구현 세부 사항을 제공한다. ISO / IEC 27002, 정보 기술 - 보안 기법 - 정보 보안 관리를위한 실천 규범은 정보 보안 정책의 국제 표준이다.ISO / IEC는 국제 표준화기구 (ISO)와 국제 전기 기술위원회 (International Electrotechnical Commission)입니다. ISO / IEC 27002는 8 개 (ISC) 2 보안 도메인과 대체로 겹치지 않는 12 개 섹션으로 구성됩니다.

표준 (및 기준)

표준

은 고급 정책을 추가로 정의하고 지원하는 특정 필수 요구 사항입니다. 예를 들어, AES를 사용하는 민감한 데이터의 암호화에 대한 최소 요구 사항과 같은 특정 기술을 사용해야 할 수도 있습니다. 표준은 구현할 정확한 브랜드, 제품 또는 프로토콜을 지정하기까지 할 수 있습니다.

기준선 은 표준과 유사하고 관련이 있습니다. 기준선은 운영 체제와 같은 시스템 별 매개 변수를 고려하여 조직의 보안 아키텍처에 대한 일관된 기반을 식별하는 데 유용 할 수 있습니다. 일관된 기준선이 수립 된 후 조직 전체에 적절한 기준을 정의 할 수 있습니다.

일부 조직에서는 구성 문서를 표준이라고 부릅니다. 기본 문서 대신 표준 운영 환경이라고도합니다. 이것은 일반적이며 허용되는 관행입니다. 절차

절차

는 특정 정책을 구현하고 표준에 정의 된 기준을 충족시키는 방법에 대한 세부 지침을 제공합니다. 절차에는 표준 운영 절차 (SOP), 운영 도서 및 사용자 안내서가 포함될 수 있습니다. 예를 들어 프로 시저는 특정 소프트웨어 암호화 제품을 사용하여 중요한 파일을 암호화하는 단계별 가이드 일 수 있습니다.

지침 지침

은 표준과 유사하지만 강제 요구 사항이 아닌 권장 사항으로 기능합니다. 예를 들어, 지침은 파일의 민감도를 결정하고 암호화가 필요한지 여부에 대한 팁 또는 권장 사항을 제공 할 수 있습니다.