상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020이 5월 28일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.
이 자리에서 신동훈 이리오넷 본부장은 ‘우리의 보안정책은 안녕하십니까?’란 주제로 강연을 진행했다.
신동훈 본부장은 “기업마다 정보보호 정책서, 지침서, 절차서, 매뉴얼을 갖추고 있다. 하지만 상당수가 백과사전식으로 나열하고 누구를 위한 문서인지, 그리고 너무 어려운 용어들로 가득한 문서들로 만들어져 아무도 보지 않고 찾아보기도 어렵게 만들어진 경우를 많이 봤다”며 “정보보호 관련 문서들은 최신 내용으로 계속 업데이트 되어야 하고 조직의 비즈니스의 변화나 현재 코로나19와 같은 상황에서 그에 맞게 유동적으로 수정되어야 한다. 그리고 가장 중요한 것은 임직원들이 쉽게 이해하고 실행할 수 있도록 만들어져야 한다”고 강조했다.
정보보호 정책서, 지침서, 절차서, 매뉴얼을 모두 프린트해 쌓아 놓으면 엄청난 양의 문서들이다. 과연 누가 볼 수 있을까. 임직원들이 필요할 때 찾아볼 수는 있을까. 비효율적인 프로세스는 없는 것일까. 고민하고 개선해야 한다는 것이다.
신 본부장은 코로나19 시대를 예를 들며 “재택근무와 원격접속이 늘어나면서 보안담당자들은 방화벽과 VPN 계정을 열어줘야 한다. 보안업무가 더 늘어난 상황이다. 그런 상황들에 어떻게 대처해야 하는지 정보보호 관련 문서에 제대로 적용돼 있을까. 지침서나 절차서를 수정해야 하는데 그 프로세스를 너무 복잡하게 만들어 놓은 것은 아닐까 고민해야 한다”고 말했다.
그는 정보보호 정책서, 지침서, 절차서, 매뉴얼 등을 만들 때 다음과 같은 사항을 고려해 만들어 보자고 제안했다.
△누가 볼지 생각하라 △쉽게 이해하게 수립하라 △변화하는 환경에 빠르게 적용하도록 관리하라 △빠른 업무적용을 위해 보안절차에 공을 들이자 △직무에 필요한 보안정책을 만들자 △경영진 결재는 정책서만 △늘 봐야 하는 내용은 더욱 쉽게 만들자 △정책/지침은 간결하게 만들자.
신동훈 본부장은 “보안정책과 지침은 정보보호 담당자만 보는 것이 아니라 전 임직원이 읽고 업무에 적용해야 한다는 것을 잊지 말자. 그러기 위해서는 쉬운 언어로 풀어서 설명하고 직무별로 필요한 정책을 쉽게 찾아 볼 수 있도록 구성해야 한다. 그리고 생활 정책은 문자 보다는 인포그래픽 형식으로 이해하기 쉽게 만들고 업무 절차를 직관적으로 이해할 수 있도록 간결하고 쉽게 만들어야 한다”고 말했다.
신동훈 이리오넷 본부장의 G-PRIVACY 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
