정책 및 절차 수명주기
1) 수명주기를 관리하는 이유
정책 및 절차는 "게임 규칙" 을 설정합니다. 위험 최소화, 규정 준수 보장 (GDPR/AML/PCI DSS/SOC 2 등), 관행 통합 및 예측 가능성 향상. 공식화 된 수명주기 (Policy Management Lifecycle, PML) 는 문서의 관련성과 집행성뿐만 아니라 감사인에 대한 증거의 존재를 보장합니다.
2) 문서 계층 구조 (분류)
정책: 의무적 인 이유와 이유; 원칙과 필수 요구 사항.
표준 지정 측정 가능한 규범 (예: 암호화, TTL, SoD).
절차/SOP: 단계별로 수행하는 방법; 역할, 트리거, 체크리스트.
지침/모범 사례: 권장되지만 엄격하게 요구되지는 않습니다.
플레이 북 (운영 런북): 응답 시나리오 (사고, DR, DSAR).
작업 교육: 명령/서비스에 대한 로컬 디테일.
링크: 정책 표준 시술 시술 플레이 북. 각 문서에는 제어 진술과 메트릭이 있습니다.
3) 역할 및 책임 (RACI)
(R - 책임; A - 책임; C-컨설팅; I-정보)
4) 수명주기 이정표 (PML)
1. 수요 식별
트리거: 새로운 규정, 사건, 감사 결과, 서비스 구현, 새로운 관할권으로의 전환.
2. 초안 및 정당화
범위, 목표, 용어의 정의.
제어 명세서 + 위험 기준.
규범 매핑 (GDPR/AML/PCI/SOC 2 등).
측정 가능한 측정 항목 및 SLO/SLA (예: DSAR 소 30 일).
3. 동료 검토
법률/DPO, 보안, 운영, 데이터/IAM; 의견 기록, 의사 결정 프로토콜.
4. 타당성 및 비용 추정
프로세스/시스템 영향 분석, 자동화 필요, 역할 변경.
5. 승인
정책위원회 또는 집행 스폰서. ID 및 버전 할당.
6. 출판 및 커뮤니케이션
정책 포털 (GRC/Confluence) + 알림.
대상 역할의 필수 자격 (읽기 및 이해).
광범위한 청중을위한 FAQ/짧은 "1 호출기".
7. 구현 및 교육
L&D 프로그램, 전자 학습, 포스터/메모, 온 보딩에 포함.
8. 실행 및 모니터링
정책 → 표준 → 절차 → 자동 제어 (규정 준수). 대시 보드, 경고, 티켓 개선.
9. 예외 관리 (면제)
정당화, 위험 평가, 만료 날짜, 보상 조치, 예외 등록, 정기 검토를 통한 공식 요청.
10. 수정 및 변경
정기적 인 검토 (보통 매년 또는 트리거 포함). 변화의 수업: 메이저/마이너/비상. 검증, 변경, 절차의 이전 호환성.
11. 감사 및 성능 모니터링
내부 감사/외부 리뷰: 설계 및 운영 효과 테스트, 샘플링, 규칙 재구성.
12. 보관 및 해체 (일몰)
대체/연합 선언, 마이그레이션 계획, 링크 전송, 해시 요약을 통해 WORM 로의 아카이브.
5) 정책 메타 데이터 (최소 구성)
ID, 버전, 상태 (초안/활성/보관/보관), 게시/개정 날짜, 소유자, 연락처.
범위 (무엇을/어디에서/누구를 위해), 관할권 및 제외.
용어 및 약어의 정의.
필수 요구 사항 (제어 설명) + 측정 가능한 지표.
절차에 따라 RACI.
참조/종속성 (표준, 절차, 플레이 북).
면제 관리 절차.
관련 위험 및 KRI/KPI.
교육 및 자격 요건.
버전 기록 (변경).
6) 수정 및 변경 관리
분류:- 주요: 원칙 변경/필수 요구 사항; 재구성이 필요합니다.
- 미성년자: 문구/예 편집; 필수 인증없이 알림.
- 비상 사태: 사고/규제 기관으로 인한 빠른 편집; 사실 전체 검토 후.
7) 현지화 및 관할권 중복
기업 언어 + 로컬 응용 프로그램 (Country Addendum) 의 마스터 버전.
번역 - 용어집을 통한; 법적 검증.
불일치 제어: 로컬 버전은 마스터 요구 사항을 강화할 수 있지만 약화시킬 수는 없습
8) 시스템 및 데이터와의 통합
GRC 플랫폼: 문서 등록, 상태, 소유자, 검토주기, 면제 등록.
IAM/IGA: 교육 및 평가를 역할에 연결; 통과하지 않고 액세스를 거부합니
데이터 플랫폼: 데이터 디렉토리, 계보, 감도 레이블; TTL/보류 제어.
CI/CD/DevSecOps: 성냥 게이트; 코드 정책 테스트 및 증거 수집.
SIEM/SOAR/DLP/EDRM: 실행 제어, 경고 및 치료 플레이 북.
HRIS/LMS: 과정, 시험, 완료 증명.
9) 성능 측정 항목 (KPI/KRI)
적용 범위: 정시에 자격을 갖춘 직원/역할의%.
정책 채택: 표준/절차에서 요구 사항이 구현되는 프로세스의 비율.
예외 비율은 활성 면제 횟수이며% 만료되었습니다.
드리프트/위반: 자동화 된 제어에 의한 위반.
감사 준비 시간: 특정 정책에 대한 증거를 선택할 시간.
Cadence 업데이트-개정 마감일을 지난 문서의 비율.
트리거에서 활성 버전으로의 평균 업데이트 시간 (MTTU).
10) 면제 관리-프로세스
1. 원인, 위험, 기간, 보상 조치에 대한 설명을 요청하십시오.
2. 위험 평가 및 승인 (소유자 + 준수 + 법률).
3. 등록 등록; 제어 및 시스템에 연결합니다.
4. 모니터링 및 검토/폐쇄 알림.
5. 위원회의 결정에 따른 자동 철수 또는 갱신.
11) 감사 및 성과 검토
설계 대 운영 효과: 요구 사항의 가용성 및 실제 성능.
샘플링/분석: 사례 샘플링, IaC 비교 실제 구성, CaC 규칙 재수행.
후속 조치: 치료 타이밍 제어, 반복 된 결과 모니터링.
12) 점검표
정책 생성/업데이트
- 정의 된 목표와 범위; 용어의 정의가 제공됩니다.
- 필수 요구 사항 및 지표가 규정되어 있습니다.
- 규제/표준 매핑이 수행되었습니다.
- 동료 검토가 통과되었습니다 (Legal/SecOps/Operations/Data).
- 예상 노력 및 구현 계획.
- 위원회/스폰서 승인.
- 포털 + 통신에 게시.
- 교육/평가가 설정되었습니다.
- 관련 표준/절차/플레이 북을 업데이트했습니다.
- 통제 및 증거 수집이 설정되었습니다.
연례 개정
- 규제 및 위험 변경 검토.
- 위반 분석/면제/감사 결과가 고려됩니다.
- 업데이트 된 메트릭 및 SLO/SLA.
- 재자격 수행 (전공 인 경우).
- 변경 및 현지화 상태가 업데이트되었습니다.
13) 정책 구조 템플릿 (예)
1. 목적과 범위
2. 정의 및 약어
3. 통제 명세서
4. 역할 및 책임 (RACI)
5. 표준/절차/플레이 북 (링크)
6. 실행 메트릭 및 모니터링
7. 면제 및 보상 조치
8. 매핑
9. 교육 및 인증
10. 문서 관리 (버전, 개정, 연락처)
14) 문서 관리 및 번호 매기기
ID 형식: 'POL-SEC-001', 'STD-DATA-021', 'SOP-DSAR-005'.
포털의 균일 한 명명 규칙 및 태그: 도메인, 표준, 감사 주제.
"깨진 링크" 제어, 일몰/병합 문서시 자동 리디렉션.
15) 위험 및 반 패턴
"집행 정책 없음": 표준/절차/통제 → 면제 및 위반의 성장이 없습니다.
측정 성이없는 언어 공식: 감사 및 자동화가 불가능합니다.
문서간에 복제 및 충돌: 단일 소유자/디렉토리가 없습니다.
교육 및 인증 부족: 이해없이 공식적인 동의.
버전 및 현지화 제어 없음: 불일치, 규제 위험.
16) PML 성숙도 모델 (M0-M4)
M0 다큐멘터리: 흩어져있는 파일, 드문 업데이트, 수동 우편.
M1 카탈로그: 통합 레지스트리, 기본 메타 데이터, 수동 개정.
M2 관리: 공식 RACI, 정기 감사, 평가, 면제 등록.
M3 통합: GRC + IAM/LMS, 코드 정책, 자동화 된 제어 및 증거.
M4 연속 보증: 수표 및 버튼보고, 현지화/버전이 자동으로 동기화되고 위험 트리거가 업데이트를 트리거합니다.
17) 관련 위키 기사
연속 준수 모니터링 (CCM)
준수 및보고 자동화
법적 보류 및 데이터 동결
설계 및 데이터 최소화에 의한 개인 정보
DSAR: 데이터 사용자 요청
비즈니스 연속성 계획 (BCP) 및 DRP
PCI DSS/SOC 2 제어 및 인증
합계
효과적인 정책 수명주기는 단일 분류, 투명한 역할, 측정 가능한 요구 사항, 정기적 인 수정 및 자동화 된 제어 등 관리 시스템입니다. 이러한 시스템에서 문서는 먼지를 모으지 않습니다. 먼지는 작동, 훈련, 위험 관리 및 감사를 견뎌냅니다.