현황 파악·리스크 평가·정책 수립·교육·모니터링 단계로 정보보호 관리체계 수립 접근결
전사 정보보호 관리체계를 처음부터 수립한다면 가장 먼저 하는 것은 현황 파악입니다. 어떤 자산이 있고, 어디서 어떤 데이터가 처리되는지, 현재 어떤 보안 조치가 있는지를 파악하지 않으면 이후 단계가 공중에 뜹니다. 자산 목록과 데이터 흐름 다이어그램이 출발점이 됩니다.
두 번째 단계는 리스크 평가입니다. 파악된 자산에 어떤 위협이 있고 취약점이 어디인지를 식별한 후, 발생 가능성과 영향도를 기준으로 우선순위를 정합니다. 모든 위험을 동시에 해결하는 것은 불가능하기 때문에 가장 큰 위험부터 집중하는 우선순위 결정이 핵심입니다.
세 번째는 정책과 절차 수립입니다. 리스크에 대응하는 통제 방안을 정책으로 문서화하고, 실제로 적용하는 절차를 만듭니다. 정책은 현장에서 실제로 지켜질 수 있는 수준으로 써야 문서로만 남는 것을 막을 수 있습니다.
마지막으로 교육과 지속적인 모니터링이 체계를 살아 있게 합니다. 정기적으로 점검하고 개선하는 사이클이 중요합니다.