정보 소유자는 누가 리소스에 접근할 수 있는가와 사용자들이 리소스에 대하여 어느정도의 허가를 가질 수 있는지를 규정해야 한다. 관리적, 물리적 그리고 기술 조작이 경영진의 지시사항을 성취하도록 활용되어야 한다.
1) 관리적통제 : 정책, 표준, 절차의 개발과 공표 그리고 지침, 개인에 대한 심사, 보안 의식 교육, 시스템 활동 감시 그리고 변경 통제 절차를 포함함
2) 기술적 통제(technical controls) : 논리적 접근 통제 매커니즘, 패스워드와 리소스 관리, 식별과 인증방법, 보안 장비 그리고 네트워크 설정으로 구성
3) 물리적 통제 : 시설물과 다른 부서에 대한 개인들의 접근을 통제하고, 시스템을 잠그고 불필요한 저장장치를 제거하고, 시설물의 경계를 보호하고 침입에 대한 감시와 환경의 통제를 수반한다.
정보소유자는 일반적으로 기업의 경영진에서의 고위 간부이다.
정보 소유자는 데이터 보호에 대한 최종적인 기업적 책임을 가지며, 기업의 정보자산의보호에 과실이 발생했을 경우에는 책임을 져야 하는 사람이다. 만일 정보 소유자가 데이터 보호의 기초를 준비하지 않고 지시 사항들을 집행하는 것을 소홀히 한다면, 이는 의무 개념을 위반하는 것이다.
부적절한 경영진은 기업의 전체적인 보안 노력을 훼손할 수 있다. 이는 경영진이 보안의 필요성을 충분히 이해하지 못하는 경우나, 보안이 다른 관리 목표와 상충되거나, 보안이 비용이 많이 들고 불필요한 것으로 비추어지거나, 혹은 경영진이 실제 행동이 아닌 형식을 갖추기 위한 말뿐인 경우에 발생할 수 있다. 강력하고 유용한 기술, 장치, 장비, 소프트웨어 패키지, 절차 그리고 방법론이 정확한 수준의 보안을 제공하도록 사용 하능하지만, 올바른 보안 관리와 경영진의 지원이 없이는 무용지물이다.
보안 관리 실행에 책임을 가진 개인들은 보안 프로그램의 실행에 앞서 환경에 대한 올바른 이해와 계획수립에 주안점을 두어야 한다.
"끝"
댓글 없음:
댓글 쓰기