OECD 정보보호 가이드라인 10가지 항목 총정리

정보시스템과 네트워크 보호를 위해서는 OECD 정보보호 가이드라인을 참고를 해야 합니다. 이에 대한 내용은 국제 및 국가 표준이 정해져 있는데요, 오늘은 표준으로 지침되고 있는 OECD 정보보호 가이드라인 10가지 항목에 대해 알아보겠습니다.

OECD 정보보호 인증서 수료

OECD 정보보호 가이드라인 10가지 항목

1) 인식 

참여자들은 정보시스템과 네트워크 보호의 필요성과 그 안전성을 향상시키기 위하여 취할 수 있는 사항을 알고 있어야 합니다. 참여자들은 정보보호의 실패로 인하여 자신이 관리하고 있는 시스템과 네트워크에 심각한 위해가 가해질 수 있다는 점을 알아야 한다. 또한 상호 연계성과 상호의존성으로 인하여 타인이나 타 조직의 시스템과 네트워크에 발생할 수 있는 잠재적인 위해에 대해서도 참여자들은 인지하고 있어야 합니다.

2) 책임

모든 참여자들은 정보시스템과 네트워크 보호에 책임이 있습니다. 참여자들은 각자의 역할에 맞게 정보보호에 대한 책임을 져야 합니다. 정보보호정책, 관행, 조치, 절차를 정기적으로 검토하고 그것이 자기 환경에 적합한지 여부를 평가해야 합니다.

3) 대응

참여자들은 정보보호 사고를 예방, 탐지, 대응하기 위하여 적기에 협력해서 행동해야 합니다. 참여자들은 정보보호 위협 및 취약성에 대한 정보를 적절히 공유해야 하며, 정보보호사고를 예방, 탐지, 대응하기 위한 신속하고 효과적인 협력 절차를 시행하여야 합니다. 가능한 국가 간 정보공유와 협력을 포함할 수 있습니다.

4) 윤리

참여자들은 타인의 적법한 이익을 존중해야 합니다. 정보시스템과 네트워크가 우리 사회 전반에 걸쳐 널리 분포되어 있다는 점을 고려하여 참여자들은 그들의 작위나 부작위가 타인에게 위해를 가할 수 있다는 것을 인식하여야 합니다. 따라서 윤리적 행동은 매우 중요하며 타인의 적법한 이익을 존중하는 행동을 촉진할 수 있도록 노력하여야 합니다.

5) 민주성

정보시스템과 네트워크 보호는 민주주의 사회의 근본적인 가치들에 부합하여야 합니다.  아이디어의 자유로운 교환, 정보의 자유로운 유통, 정보와 통신의 비밀보장, 개인정보의 적절한 보호, 개방성 및 투명성을 포함한 민주주의 사회에서 인정되는 가치에 부합하는 방식으로 정보보호가 실행되어야 합니다.

6) 인식 

참여자들은 위험평가를 시행해야 합니다. 위험평가는 위협과 취약성을 확인하는 것이며, 기술, 물리적 및 인적요인, 정책, 정보보호와 관련되는 제3자 서비스와 같은 주요 내외적 요인을 모두 포함할 수 있도록 충분히 포괄적이어야 합니다. 위험평가는 보호되어야 할 정보의 특성과 중요성을 고려하여 수용 가능한 위험 수준을 결정하며 정보 시스템과 네트워크에 잠재적인 위해를 가져올 수 있는 위험을 관리하기 위한 적절한 통제수단을 선택할 수 있게 하는 것이다. 정보시스템의 상호 연계성이 지속적으로 증가하고 있으므로 위험평가는 타인에 의하여 발생하는 위해뿐만 아니라 타인에게 유발할 수 있는 잠재적 위험에 대해서도 고려해야 합니다.

7) 정보보호의 설계와 이행

참여자들은 정보보호를 정보시스템과 네트워크의 핵심 요소로 수용하여야 합니다. 정보보호는 모든 제품, 서비스, 시스템 그리고 네트워크의 기본적인 요소이며, 시스템의 실계와 구조의 필수적인 부분이 되어야 합니다. 최종 사용자들에 있어 ‘정보보호의 설계와 이행' 은 대체로 자신들의 시스템에 필요한 제품과 서비스를 선택하고 배치하는 것을 의미합니다.

8) 정보보호 관리 

참여자들은 정보보호 관리에 대해 포괄적인 접근 방식을 채택해야 합니다. 정보보호 관리는 위험평가에 입각하여 이루어져야 하며 참여자들의 활동 모든 수준과 운영의모든 측면을 포괄할 수 있도록 통태적이어야 합니다. 정보보호 관리는 현재 발생하고 있는 위협에 대한 전향적인 대응책을 포함하여야 하며, 사고의 방지, 탐지, 대응과 함께 시스템 복구, 지속적인 유지관리, 검토 및 감사 등을 다루어야 합니다.

9) 재평가

참여자들은 정보시스템과 네트워크의 보호를 검토하고 재평가하여 정보보호 정책,관행, 조치, 절차를 적절히 수정해야 합니다. 새롭고 변형된 위협과 취약성들이 계속해서 나타나고 있습니다. 참여자들은 정보보호의 모든 측면을 지속적으로 검토, 재평가, 수정하여 진화하는 위험에 대한 대책을 강구해야 합니다.

요약

여기까지 OECD 정보보호 가이드라인 10가지 항목에 대해 말씀드렸습니다. 이러한 내용을 바탕으로 인증서발행국(CAP)에 5년마다 보안성평가를 받게 됩니다. 심사가 통과되면 국내에서 발행한 정보보호시스템 평가 인증서를 해외에서도 인정받게 되면 인증평가 역량에 대해 검증이 될 수 있는 것입니다. 그렇기 때문에 OECD 정보보호 가이드라인 10가지 항목은 반드시 숙지해 두시기 바랍니다.