1. DB 보안 정책 정의

정책(Policy)은 사전적 의미로 정치적 목적을 실현하기 위한 방책으로 정의되며, 본래 정 치·행정 분야에서 정부에 의해 결정된 행동 방침을 이르는 용어로 사용되어 왔지만 기업 에서도 방침이나 정책 등과 같은 용어로 널리 사용되고 있으며 다음과 같은 성격을 갖는다.

■ 당위성
정책은 '마땅히 있어야 할 것', '당연히 바람직한 것'을 찾아서 구현시키려는 의도이며, 기업이나 조직의 목적 달성을 위해 당연히 지켜야 할 것, 해야 할 것 등을 준수하도록 하고자 하는 의도가 표현된다. 예를 들어 기업의 가격정책은 기업이 이윤을 얻고자 하 는 목적을 분명히 한다.

■ 강제성·준거성
기업의 정책은 그 행동의 주체가 회사 즉, 전체 구성원이기 때문에 모두가 준수해야 하 는 강제성과 준거성을 갖는다. 예를 들어 기업이 할인 정책을 실시하기로 했다면 모든 구성원들이 이에 맞도록 의사 결정과 영업 활동이 이루어지도록 해야 한다.

■ 미래지향성
기업의 정책은 앞으로 달성하고자 하는 목표를 위한 것이지 결코 당면한 현재 문제의 해결을 위한 것이 아니다.

■ 행동지향성
정책은 기업이 목표하는 장래의 바람직한 상태를 이룩하기 위한 의도적인 행동이 포함 된다.

■ 영향의 양면성
정책은 구성원들에게 서로 상반되는 영향을 미치는 경우가 많다. 즉, 정책을 따름으로 써 명확한 근거와 행동의 당위성을 확보하여 업무 효율이 향상되는 부문이 있는 반면에 불편을 겪거나 손해를 보게 되는 부문도 있을 수 있다.

이와 같이 정책이란 어떤 결정이나 행동 등에 영향을 미치도록 고안된 계획이나 행동 방향 등으로 이해 할 수 있다. 주목할 것은 조직의 정책이 하나만 있는 것이 아니라 일반적으로 그들 활동의 모든 면을 통제하는 많은 정책들을 갖고 있으며, 보안 정책도 그 중 한 분야라 는 것이다.
정보 기술 보안 평가 지침서1)(ITSEC, Information Technology Security Evaluation Criteria) 에서는 기업의 보안 정책을“민감한 정보를 포함한 기업의 중요 자산들이 어떻 게 관리되고, 보호되어야 하며, 사용자 조직 내에서 어떻게 배포되어야 하는지를 통제하 는 규범, 원칙, 관례 등의 세트”로 정의하고 있다.
정책의 상세화 관점에서 볼 때 보안 정책(Security Policy)은 기업의 전반적인 보안 관리 체계 수립을 목적으로 하여 최상위 수준에 위치한다. 정보 보안 정책(Information Security Policy)은 기업의 중요한 자산인 정보를 보호하기 위한 목적을 강조한 것으로 보안 정책의 한 분야라 할 수 있다. DB 보안 정책(Database Security Policy)은 정보 보안 정책을 세 분화해서 인쇄물이나 마이크로필름, 전자파일 또는 구두 상으로 유통하고 존재할 수도 있 는 중요 정보를 제외하고 DB 내에 전자화되어 저장·관리·유통되고 있는 민감한 데이터 를 보호하는데 대한 DB 영역에서의 보안 정책을 특화하여 지칭하는 것이다. ITSEC의 보 안 정책 정의를 DB 보안에 준용하여 다시 정의하면, DB 보안 정책은“기업의 중요 자산으 로서 민감한 정보를 저장하는 DB를 식별하고, 저장된 정보를 어떻게 관리하고 보호해야 하며, 조직 내에서 어떻게 배포되어야 하는지를 통제하는 규범, 원칙, 관례 등의 세트”라 고 정의할 수 있다.

정책은 특정 영역에서 기업이 목표하는 바를 달성하기 위한 기업의 신념과 목표, 목적, 일 반적인 수단 등에 대해 간결하게 기술된 상위 수준의 문서로서 존재하며, 정책이 간결하 게 기술되어 있기 때문에 통상적으로 정책을 적용해서 기업의 목적을 달성하는데 필요한 표준, 절차, 가이드라인 등을 추가로 작성한다. 예를 들어, 회사의 보안정책 준수와 관련 하여 침입탐지시스템(IDS, Intrusion Detection System) 모니터링과 같은 단어가 등장 하면 이것은 정책이 아니라 표준이나 규칙 세트라고 할 수 있다.

DB 보안 정책 또한 이와 같은 구성 체계에 따라 구성될 수 있다. 정책의 상세화에 따른 계 층 구조 관점에서 볼 때 많은 조직에서 보안과 관련하여 통상적으로 '정책'이라 부르던 것 들은 대체로 표준·절차·가이드라인 수준의 것을 엄밀하게 구분하지 않고 사용하는 경향 이 많다. 이들은 '보안정책'과 구분하여 보다 상세한 수준이기 때문에 '보안규칙' 이라고 칭 할 수 있을 것이다. 예를 들면, 기존의 '암호화 정책'은 '암호화 규칙'이라 칭하는 것이 더 정확한 표현이라 할 수 있다. 다음은 일반적인 보안 정책 구성 체계를 표현한 것이다.