방송통신위원회와 한국정보보호진흥원(KISA, 원장 황중연)은 최근「암호정책 수립 기준 설명서」를 발간하고, 이를 통해 기업의 정보보호 담당자들에게 올바른 암호정책 수립을 위한 기준을 제시할 방침이라고 밝혔다.
KISA는 이번에 발간된 설명서를 통해 정보보호관리체계 관련 제도 및 표준에서 명시하고 있는 요구사항에 적합한 상세 암호정책 수립기준을 제공함으로써 올바른 암호정책 수립 방법을 제시할 수 있을 것으로 기대한다고 밝혔다.
이번 설명서는 △암호 정책 수립 기준, △세부 기준에 대한 상세 해설, △암호 정책 모범사례 등으로 구성되어 있다.
암호정책 수립기준은 크게 총칙 및 책임사항, 암호관리, 키 관리, 문서 및 기록의 4개 항목으로 구성되어 있다.
각 항목별로 포함되어야 할 내용에 대해 17개 세부 기준들을 명시하고 있으며, 그 중 국내·외 정보보호 관리체계 관련 제도 및 표준에서 공통으로 요구하는 항목에 대해서는 필수로 포함할 것을 권고하고 있다.
암호정책 수립기준 해설에서는 각 기준들에 대해서 왜 이런 기준들이 필요한지에 대한 목적과 어떠한 방법으로 정책을 수립하여야 하는지에 대한 해설 및 예시 등을 제시하고 있다.
또한 국내·외 권고 암호알고리즘, 안전한 패스워드 기준 등을 함께 제공함으로써 암호정책 수립 시 참고할 수 있도록 하고 있다.
암호정책 모범사례는 기업 및 기관이 실제 암호정책을 수립하는 과정에서 도움이 될 수 있도록 가상의 기업을 설정하여 암호정책 수립기준과 자신의 비즈니스 환경에 맞춰 암호정책을 수립한 모범사례를 제시하고 있다.
이번 발간 자료는 보안 컨설팅, 안전진단 및 ISMS 인증 업체 및 인증 심사원 등에게 배포되며, KISA 홈페이지에서도 PDF형태로 다운받을 수 있다. 또한, 함께 참고할 수 있는 기존 발간자료인「암호이용가이드라인」,「패스워드 선택 및 이용가이드」등도 함께 다운받아 볼 수 있다.