설명 조직의 정보 보안 정책을 수립할 때 가장 중요한 고려 사항은 고위 경영진이 정책을 지원하는지 확인하는 것입니다. 고위 경영진의 지원은 정보 보안에 대한 조직 리더십의 헌신과 책임을 보여주기 때문에 정보 보안 정책을 성공적으로 구현하고 시행하는 데 필수적입니다. 고위 경영진의 지원은 또한 적절한 자원을 할당하고, 명확한 역할과 책임을 설정하고, 조직 내에서 보안 인식 문화를 장려하는 데 도움이 됩니다. 고위 경영진의 지원이 없으면 정보 보안 정책은 조직의 목표 및 목표와 일치하지 않을 수 있고 효과적으로 전달 및 전파되지 않을 수 있으며 일관되게 따르거나 시행되지 않을 수 있습니다. 보안 정책을 읽기 위한 요구 사항을 포함하는 직무 기술서는 직원이 보안 의무를 인식하도록 하는 방법이지만 정보 보안 정책을 수립할 때 가장 중요한 고려 사항은 아닙니다. 정책은 직원의 역할과 기능에 적절하고 적용 가능해야 하며 정기적인 교육 및 인식 프로그램을 통해 강화되어야 합니다. 정책은 조직의 환경, 위험 및 요구 사항의 변화를 반영하기 위해 주기적으로 업데이트되어야 하지만, 매년 업데이트하는 것만으로는 충분하지 않거나 필요하지 않을 수 있습니다. 정책 업데이트 빈도는 변경의 성격과 영향에 따라 달라지며 정의된 정책 검토 프로세스에 따라 결정되어야 합니다. 정책은 업계 모범 사례, 표준 및 프레임워크와 일치해야 하지만 정보 보안 정책을 수립할 때 이것이 가장 중요한 고려 사항은 아닙니다. 또한 정책은 조직의 특정 상황, 요구 및 기대에 맞게 맞춤화되고 맞춤화되어야 하며 조직의 비전, 임무 및 가치와 일관되어야 합니다. 참고 자료 = ISACA, CISM 검토 매뉴얼, 16판, 2020, 37~38페이지. ISACA, CISM 검토 질문, 답변 및 설명 데이터베이스, 12판, 2020, 질문 ID 1009.
