데이터 거버넌스 정책 수립 — 정의·분류·접근 통제 3단계 강조
데이터 거버넌스 정책을 수립한 경험에서 가장 먼저 한 것은 '우리 조직에서 데이터란 무엇인가'를 정의하는 것이었습니다. 정의 없이 정책을 만들면 각자 다른 기준으로 데이터를 다루게 됩니다. 저는 먼저 데이터 자산 목록(data inventory)을 만들고, 각 데이터의 민감도 등급을 공개·내부·기밀·기밀 4단계로 분류했습니다. 이후 등급별 접근 통제 규칙과 보관 기간을 정의하고, 각 데이터 소유자(data owner)를 지정했습니다.
정책이 실효성을 가지려면 규칙과 함께 위반 시 프로세스가 명확해야 한다는 것이 핵심 교훈이었습니다. 정책 시행 후 비인가 접근 시도가 명확하게 가시화됐고, 보안 감사에서도 통제 근거를 제시할 수 있었습니다.