본문/내용
공공기관에서의 정보의 보안등급분류
1. 보호대상
공개되어 있지 않다고 판단되는 정보들을 분류하고 또 이러한 데이타에 신분이 확인된 사람만이 접근할 수 있도록 정보분류 체계가 개발되면 불확실성과 위험이 매우 감소하게 된다.
2. 분류형태
정보시스템에서 활용되는 정보는 기밀정보로 취급되지 않는 일반정보로 분류할 수 있으며 이는 외부에 노출되어도 큰 영향이 없고 상식적으로 생각해보기에도 알 수 있는 정보들일 것이다. 예를 들면, 기관 내 행사에 관한 광고와 같은 정보들이다.
기밀로 분류된 정보는 기밀도의 수준에 따라 다시 등급을 나누는데 여기에서는 2가지의 분류형태를 알아보도록 하자.
1) 범위 기준에 의한 분류
① 극비 정보
극비로 구분되는 정보는 기관에 있어서 최고의 보안이 요구되는 것으로서, 노출 및 누출이 발생했을 경우 해당 기관에 아주 큰 영향을 줄 만한 정보이다. 기업체를 예로 들면, 출시를 앞둔 시제품과 관련된 정보들이 여기에 해당한다. 국가적으로는 국방, 외교 등에 관련된 민감한 정보들이 이에 해당한다.
② 부외비 정보
부외비로 분류되는 정보는 조직이나 기관 내에서 그 내용을 따라 업무수행상 그 정보를 필요로 하는 부서에 한정하는 것이다. 이때 부외비 정보 선정시 지위와는 관계없이 need-to-know의 원칙에 따라 결정한다. 기업체를 예로 들면, 가격정보, 인사고과표, 인사기록정보 등이 이에 해당된다.
③ 대외비 정보
대외비 정보는 조직 내에서 판단하기에 그 사용을 조직 내로 국한시켜야 할 정보이다. 기업체를 예로 들면, 기업내의 내규 등이 이에 해당할 것이다.
④ 일반정보
기밀로 관리할 필요가 없는 기타 정보들이다.
2)등급 기준에 의한 분류
이 형태는 정보의 중요도에 따라 구분하는…
① 1급 비밀(secret)
② 2급 비밀(confidentiality)
③ 3급 비밀(private)
④ 일반 정보
3. 분류기법
1) 가치할당에 기반한 분류기법
2) 룰에 기반한 분류기법
4. 보안등급분류체계의 유지 및 관리
손실이 기업이나 조직의 총 업무효과의 5%를 넘는 경우이고, 중은 1-5%, 하는 1% 미만인 경우 정도를 기준하면 된다. 노출 및 누출 가능성은 예상발생빈도에 따라 분류한다. 이와 같은 방법으로 각 요인별로 산출된 점수의 합이 그 정보의 총점수가 된다.
2) 룰에 기반한 분류기법
위의 가치할당에 기반한 방법의 한계를 어느 정도 극복하기 위한 대안으로서 룰에 의한 방법이 있다.
이 방법은 각 정보의 특성에 따라 어떻게 분류할 것인지를 룰로 정해 문서화해두는 방식이다. 이 룰들은 각 요인들에 대한 판단결과를 논리적 결합하여 표현된다.
룰 1 : 만일 정보의 성격이 전략적이며, 노출시 손실이 크고, 시의성이 최신자료이면 다른 요인들에 대한 평가결과에 관계없이 모두 1급 기밀로 분류한다.
룰 9 : 만일 정보의 성격이 전략적이며, 노출시 손실이 중간이고, 시의성이 최신자료이며, 노출가능성이 상이며 양식이 원시자료가 아니면 영역 대한 평가결과에 관계없이 1급 기밀로 분류한다.
이러한 룰에 의한 분류방법은 많은 장점을 갖고 있다. 첫째, 모든 요인들에 대한 평가를 항상 꼭 해야만 할 필요가 없이 분류할 수 있는 경우가 매우 많아서 분류과정이 단순해진다. 둘째 각 요인의 평가결과에 대한 점수할당이나 각 요인에 주어진 점수를 합산하는 다소 인위적인 과정이 필요 없어지게 된다. 마지막으로, 이 방법은 룰의 변경과 새로운 요인의 도입 등에 있어서 신축성을 가지고 있어서 가치할당에 기반한 방법보다 쉽다.
4. 보안등급분류체계의 유지 및 관리
정보의 보안 분류는 원칙적으로 그 정보의 발생자가 하는 것이므로 그 업무의 주관 부서가 결정할 성질의 일이다. 따라서 그 정보를 사용하게 될 사용자 부서에서 그 정보의 보안등급을 마음대로 바꾸는 것은 절대로 있어서는 안된다. 주관 부서에서의 보안등급 변경을 통지하지 않는 한 그 보안등급은 계속 유효하며 항상 그 등급에 맞는 수준으로 관리하여야 한다. 즉, 15 년 전에 작성된 정보와 최근 작성된 정보가 현