정보보호 정책의 핵심 원칙과 수립 기준을 체계적으로 서술한 접근결
정보보호 정책을 수립할 때 가장 중요한 것은 '무엇을 지켜야 하는가'를 먼저 정의하는 것입니다. 모든 정보를 같은 수준으로 보호하려고 하면 오히려 정책이 흐릿해지기 때문입니다. 정보 자산 목록을 만들고, 각각의 민감도와 노출 시 피해 수준을 평가하여 우선순위를 정해야 합니다. 그다음으로 중요한 것은 정책이 실제로 지켜질 수 있는가입니다. 아무리 엄격한 정책도 운영자가 따르지 않으면 의미가 없습니다. 내부 교육과 모니터링 체계가 정책과 함께 설계되어야 하며, 정책은 주기적으로 위협 환경 변화에 맞춰 업데이트되어야 합니다.
지켜지는 정책이 강한 정책입니다. 우선순위와 실행 가능성, 이 두 가지가 정책 설계의 핵심입니다.