1. 위험 처리 전략 선택
위험 평가 결과 식별된 위험에 대해 다음 네 가지 전략 중 하나를 선택합니다:
1.1 위험 처리 전략 유형
| 전략 | 설명 | 적용 상황 | 예시 |
|---|---|---|---|
| 위험 회피 (Risk Avoidance) | 위험이 있는 활동 자체를 중단하거나 하지 않는 방법 | 위험도가 매우 높고 통제 비용이 과도한 경우 | 보안 위험이 높은 클라우드 서비스 사용 중단 |
| 위험 전가 (Risk Transfer) | 제3자에게 위험을 이전하는 방법 | 전문 업체에 위탁하거나 보험 가입이 효과적인 경우 | 정보보안 보험 가입, 외부 보안 서비스 이용 |
| 위험 감소 (Risk Reduction) | 위험 수준을 낮추기 위한 통제책을 구현하는 방법 | 통제 비용 대비 효과가 좋은 경우 | 접근 통제, 암호화, 보안 교육 등 구현 |
| 위험 수용 (Risk Acceptance) | 위험을 받아들이고 모니터링하는 방법 | 위험도가 낮거나 통제 비용이 과도한 경우 | 영향이 적은 위험을 모니터링만 실시 |
1.2 전략 선택 기준
| 위험 등급 | 위험도 | 권장 전략 | 승인 권한 |
|---|---|---|---|
| 상 (High) | 50 이상 | 위험 감소 또는 회피 | CISO/CEO 승인 필요 |
| 중 (Medium) | 30~49 | 위험 감소 또는 전가 | CISO 승인 필요 |
| 하 (Low) | 30 미만 | 위험 수용 또는 감소 | 보안담당장 승인 가능 |
2. 문서 보안 통제 방안
2.1 관리적 통제 방안
| 통제 유형 | 통제 방안 | 적용 대상 | 효과 |
|---|---|---|---|
| 정책 및 절차 | 문서 분류 기준 수립 | 모든 문서 | 문서의 중요도에 따른 체계적 관리 가능 |
| 문서 접근 통제 정책 | 모든 문서 | 권한 없는 접근 차단 | |
| 문서 저장 및 폐기 절차 | 모든 문서 | 문서 생명주기 전반에 걸친 보안 확보 | |
| 권한 관리 | 최소 권한 원칙 적용 | 모든 문서 | 필요한 최소한의 권한만 부여 |
| 주기적 권한 검토 | 중요 문서 | 불필요한 권한 식별 및 제거 | |
| 교육 및 인식 | 직원 보안 교육 | 모든 직원 | 보안 인식 제고 및 규정 준수 향상 |
| 문서 취급 교육 | 중요 문서 취급자 | 중요 문서 취급 방법 교육 | |
| 모니터링 | 문서 접근 로그 검토 | 중요 문서 | 비정상적인 접근 탐지 |
| 내부 감사 수행 | 모든 부서 | 규정 준수 여부 확인 |
2.2 기술적 통제 방안
| 통제 유형 | 통제 방안 | 적용 대상 | 효과 |
|---|---|---|---|
| 암호화 | 문서 암호화 (DRM) | 극비/대외비 문서 | 비인가 접근 시에도 내용 보호 |
| 저장 매체 암호화 | 모바일 저장 장치 | 기기 분실 시에도 데이터 보호 | |
| 통신 구간 암호화 | 모든 문서 전송 | 전송 중 데이터 보호 | |
| 접근 통제 | 사용자 인증 강화 | 시스템 접근 | 비인가 접근 차단 |
| 다중 인증(MFA) | 중요 시스템 | 인증 보안 강화 | |
| IP 기반 접근 제한 | 내부 시스템 | 외부 접근 통제 | |
| 유출 방지 | DLP(Data Loss Prevention) | 중요 문서 | 데이터 유출 탐지 및 차단 |
| 워터마킹 | 대외비 이상 문서 | 유출 시 출처 추적 가능 | |
| 출력 제어 | 극비 문서 | 무단 출력 방지 | |
| 모니터링 | 이상 행위 탐지 | 모든 시스템 | 비정상 행위 식별 |
| 로그 수집 및 분석 | 모든 시스템 | 사고 발생 시 추적 가능 |
2.3 물리적 통제 방안
| 통제 유형 | 통제 방안 | 적용 대상 | 효과 |
|---|---|---|---|
| 출입 통제 | 통제구역 지정 | 서버실, 문서보관실 | 물리적 접근 통제 |
| 출입 카드 시스템 | 사무실, 통제구역 | 인가된 인원만 출입 허용 | |
| 문서 보관 | 보안 캐비닛 | 종이 문서 | 물리적 보관 보안 강화 |
| 금고 | 극비 문서 | 최고 수준의 물리적 보호 | |
| 문서 파기 | 문서 파쇄기 | 종이 문서 | 안전한 물리적 파기 |
| 데이터 완전 삭제 | 저장 매체 | 복구 불가능한 삭제 |
3. 문서 보안 등급별 통제 방안
3.1 등급별 권장 통제 방안
| 보안 등급 | 관리적 통제 | 기술적 통제 | 물리적 통제 |
|---|---|---|---|
| 극비 (8.0~10.0점) | • 접근 권한 개별 승인 • 분기별 권한 검토 • 취급자 특별 교육 • 반출입 승인 절차 | • 문서 암호화(DRM) 필수 • 워터마킹 적용 • 편집/출력 제한 • 다중 인증(MFA) • 상세 접근 로깅 | • 통제구역 내 보관 • 보안 캐비닛/금고 사용 • 복사본 제한적 허용 • 파기 시 입회자 필요 |
| 대외비 (6.0~7.9점) | • 부서장 접근 승인 • 반기별 권한 검토 • 취급자 교육 • 반출 내부 승인 | • 문서 암호화 권장 • 워터마킹 적용 • 접근 로깅 • 출력 제한 | • 지정 장소 보관 • 보안 캐비닛 사용 • 복사본 관리 • 안전한 파기 |
| 일반 (4.0~5.9점) | • 기본 접근 통제 • 연간 권한 검토 • 일반 보안 교육 | • 일반 접근 통제 • 기본 로깅 • 백업 관리 | • 일반 보관 • 표준 파기 절차 |
| 관리제외 (4.0 미만) | • 최소한의 관리 • 일반 보안 교육 | • 기본 접근 통제 | • 일반 보관 |
3.2 특수 문서 유형별 추가 통제 방안
| 문서 유형 | 추가 통제 방안 |
|---|---|
| 고객 개인정보 | • 개인정보보호법 준수 • 암호화 필수 • 접근 이력 관리 • 안전한 파기 |
| 재무/회계 자료 | • 접근 권한 엄격 관리 • 변경 이력 추적 • 외부 감사 대비 관리 |
| 계약서/법적 문서 | • 버전 관리 • 원본 보존 • 법적 보존 기간 준수 |
| 연구개발 자료 | • 지식재산권 보호 조치 • 비밀유지 서약 • 부분 공개 통제 |
4. 통제 방안 구현 및 관리
4.1 구현 절차
- 계획 수립: 위험 평가 결과에 따른 통제 방안 선정 및 구현 계획 수립
- 자원 할당: 필요한 예산, 인력, 시간 등 자원 배정
- 구현: 선정된 통제 방안 구현
- 테스트: 구현된 통제 방안의 효과성 테스트
- 교육: 관련 직원 대상 교육 실시
- 모니터링: 통제 방안 운영 현황 지속 모니터링
4.2 성과 측정
| 측정 지표 | 설명 | 측정 방법 |
|---|---|---|
| 통제 구현률 | 계획 대비 구현된 통제 비율 | (구현된 통제 수 / 계획된 통제 수) × 100% |
| 위험 감소율 | 통제 적용 후 위험도 감소 비율 | (적용 전 위험도 - 적용 후 위험도) / 적용 전 위험도 × 100% |
| 보안 사고 감소율 | 통제 적용 후 보안 사고 감소 비율 | (적용 전 사고 수 - 적용 후 사고 수) / 적용 전 사고 수 × 100% |
| 직원 인식도 | 보안 정책 및 절차에 대한 직원 인식 수준 | 설문조사, 모의훈련 등을 통한 측정 |
| 규정 준수율 | 보안 정책 및 절차 준수 비율 | 내부 감사를 통한 측정 |
4.3 주기적 검토 및 개선
| 활동 | 주기 | 담당자 | 내용 |
|---|---|---|---|
| 통제 효과성 검토 | 반기 1회 | 보안담당 | 구현된 통제의 효과성 평가 |
| 위험 재평가 | 연 1회 | 보안담당, 자산 소유자 | 자산별 위험 재평가 |
| 통제 갱신 | 필요 시 | 보안담당, IT팀 | 효과가 부족한 통제 개선 |
| 정책 및 절차 검토 | 연 1회 | 보안담당, 법무팀 | 정책 및 절차 최신화 |
| 새로운 위협 대응 | 상시 | 보안담당 | 새로운 보안 위협에 대한 대응책 마련 |
5. 문서 관련 주요 보안 솔루션
| 솔루션 유형 | 주요 기능 | 도입 고려 사항 |
|---|---|---|
| DRM(Digital Rights Management) | • 문서 암호화 • 접근 통제 • 사용 제한(읽기, 편집, 인쇄) • 만료 설정 | • 사용자 편의성 • 시스템 호환성 • 관리 용이성 |
| DLP(Data Loss Prevention) | • 데이터 유출 탐지 • 정책 기반 차단 • 모니터링 및 보고 | • 오탐률 • 성능 영향 • 관리 복잡성 |
| ECM(Enterprise Content Management) | • 문서 중앙화 • 버전 관리 • 워크플로우 • 접근 통제 | • 기존 시스템 통합 • 사용자 교육 • 마이그레이션 비용 |
| EDRM(Enterprise Digital Rights Management) | • 기업 전체 DRM 관리 • 통합 정책 적용 • 중앙 모니터링 | • 구축 비용 • 관리 인력 • 사용자 수용성 |
6. 주의사항
- 통제 방안은 비즈니스 요구사항과 균형을 이루어야 합니다. 과도한 통제는 업무 효율성을 저해할 수 있습니다.
- 모든 통제 방안은 정기적으로 효과성을 검토하고 필요 시 개선해야 합니다.
- 통제 방안 적용 시 사용자 교육과 인식 제고가 중요합니다.
- 신기술 도입 시 발생할 수 있는 새로운 위험에 대비하여 통제 방안을 지속적으로 업데이트해야 합니다.
- 비용 대비 효과를 고려하여 적절한 통제 방안을 선정해야 합니다.