경험 기반 구체화
보안 정책을 직접 제정한 경험은 없습니다. 정보보안 수업에서 규제 변화에 따른 정책 업데이트 케이스를 분석했을 때, 가장 먼저 고려하는 기준은 "이 규제가 기존 정책의 어느 부분과 충돌하는가"를 파악하는 것이라는 걸 배웠습니다.
케이스에서 한 기업은 신규 규제 도입 시 기존 정책 전체를 새로 작성했다가 현업 혼란이 심해졌고, 이후 변경된 조항만 패치 방식으로 반영하는 구조로 바꿨습니다. 변경 이력 추적도 함께 관리해야 한다는 점도 배웠습니다.
직접 정책을 작성해본 경험은 없지만, 규제 원문과 기존 정책을 대조하는 갭 분석이 출발점이 된다는 구조는 이해하고 있습니다. 정책은 법령 준수보다 현장 실행 가능성을 동시에 만족해야 한다고 봅니다.