ISO28000의 이해와 구축(10) : 보안경영방침 수립

1. 보안경영방침(Security Management Policy) 이란?
경영방침이란 기업 경영과 관련하여 다양하고 반복적으로 일어나는 일을 체계적으로, 일관성 있게 관리하는 처리원칙이 담긴 문서로 ISO28000을 도입하기 위해서는 보안경영방침을 수립해야 하며 공식적으로 ISO28000 구축을 착수하는 선언과 같다. 그 형식은 최고 경영층의 실행의지를 담은 간결한 지시, 선언문일 수도 있고 상세한 방향과 내용을 담은 문서가 될 수도 있다.
의사결정절차는 기업 內 모든 업무에 영향을 미치고 전체 임직원이 따를 수 있도록 최고 경영자의 승인에 의해 결정해야 하며 그 방침내용을 전체 임직원에게 전달하고 알려서 실현해나가도록 조직을 구성하고 인력·예산·역량 개발(Capability Building)을 지원해야 한다. 이러한 단계를 거쳐야 보안경영방침이 ISO28000의 도입·기획·실행·점검 등 모든 단계에서 수행하는 활동의 정당성을 부여하는 원천으로서 효력을 갖게 된다.
기업 內 경영방침이 방대하거나 여러 종류가 있을 경우 우선순위나 적용 범위에 따라 기본방침, 일반방침 및 부문방침으로 구분되는데 ISO28000에서 요구하는 보안경영방침은 특정한 부문활동에 대한 처리원칙의 성격을 지닌 부문방침에 속한다.
 
2. 요구사항 해설

4.2 보안경영방침(Securrity Mangement Policy)
  조직의 최고경영자는 전반적인 보안경영방침을 승인하여야 한다. 이 방침은 다음과 같다.
  (The organization's top management shall authorize an overall security management policy.
   The policy shall :

 

일관성이 있을 것(be consistent with other organization)
ISO28000을 도입할 때 인적·물적·절차적 자원이 투입되어야 하고 이 과정에서 영업이익 창출, 비용절감 등의 다른 경영목표와 충돌할 가능성이 있다. 또한 기업 內 인증사업대상이 되는 다른 방침(품질방침, 환경방침 등)과 상충할 수도 있다. 이러한 문제가 발생하지 않도록 보안경영방침은 다른 방침 등과 서로 조화를 이루며 어떠한 상황에서도 ISO28000의 요구사항을 달성하기 위한 활동을 보장할 수 있도록 일관성 있게 수립해야 한다.
b) 구체적인 보안경영 목표, 세부목표 및 프로그램을 도출할 수 있는 틀을 제공할 것
보안경영방침은 기업(조직)이 추구하는 보안의 수준을 결정해야 한다. 또한 이해관계자의 요구사항을 고려하여 고객이 만족하는 보안의 기대 수준을 제시해야 한다. 이렇게 수립된 보안경영방침은 공급사슬 보안 개선을 위한 기업의 보안경영 목표, 세부목표 및 프로그램을 도출하는 틀을 제공하는데 활용되어야 한다.
c) 조직의 전반적인 보안위협 및 리스크 관리 틀(Framework)과 일관성이 있을 것
기업에 이미 보안 위협 및 리스크 관리를 위해 이행하고 있는 관리 표준이 있다면 이와 충돌하지 않도록 보안방침을 수립해야 한다. 기존의 보안 위협 및 리스트 관리 틀이 ISO28000이 요구하는 수준에 미치지 못할 경우 상위분석에서 부적합 또는 미흡 사항이 도출되거나, 리스크 평가를 통해 새로운 관리대상, 혹은 위협이나 리스크가 발견되면 이를 포함시켜 기존의 관리 틀을 수정하여 충돌요인을 제거해야 한다.
d) 조직에 대한 위협과 조직 운영의 특성 및 규모에 적합할 것
ISO28000 공급사슬 보안경영시스템은 리스크를 기반으로 하는 경영시스템이다. 따라서 통상적으로 발생 가능한 위협 뿐만 아니라 리스크 평가를 통해 식별된 위협 요소 및 리스크를 보안경영방침에 반영해야 한다. ISO28000은 시스템의 지속적 개선을 요구하고 있으며 이와 같은 맥락으로 최근 또는 지금 실시된 리스크 평가 결과가 보안경영방침에 반영되어야 한다.
실행 또는 점검 과정에서도 부적합 또는 미흡 사항이 도출되면 보안경영방침은 수정되어야 한다.
조직의 특성 및 규모에 적합해야 한다는 것은, 기업의 활동범위에 수출입이 없으면 이와 같은 보안사항이 불필요하며 다중이용시설, 창고가 없으면 이와 관련된 보안시설이 불필요하다는 것을 의미한다.
e) 전반적인/포괄적인 보안 경영 목표를 명확하게 기술 할 것
보안경영방침은 공급사슬과 관련한 기업의 목표를 명확하게 표현하고 있어야 한다. 품질방침은 기업의 제품 및 서비스의 품질에 대한 제고를 목표로 하며 환경방침은 기업 활동이 환경을 보호하고 지속적인 성장을 가능하게 하는 것을 목표로 하듯이 보안경영방침의 목표는 회사의 임직원, 영업·운영상의 자산, 그리고 고객의 자산을 보호하는 동시에 공공의 안전을 확보하는 것이며 보안경영방침은 이러한 목표를 포함하고 있어야 한다.
f) 보안경영 프로세스의 지속적인 개선 의지를 포함할 것
기업(조직)은 법적, 국내·국제의 강제 요구사항, 그리고 AEO 등과 같은 규정 및 지침을 충족시킴과 동시에 국제사회의 공급사슬보안과 관련한 요구들을 만족시키기 위해 공급사슬보안경영시스템의 효과와 효율성을 개선시킬 의지를 보안경영방침에 포함시켜야 한다.
g) 현재 적용되는 법규, 강제적 및 법적 요구사항과 조직이 동의한 그 밖의 요구사항을 준수하겠다는 의지를 포함할 것
기업은 전략물자관리제도, 항만보안에 대한 법률 등과 같은 보안관련 강제요구사항 및 AEO제도와 같이 국내 수출입 법규, 안전이나 보안관련 법규, 또는 수입국이 관심을 갖는 마약, 원산지, 지적재산권, 환경보호 등을 다루는 법규를 위반하지 않아야 한다.
준수할 의무가 있는 모든 규정에 적합한 경영을 하겠다는 의지를 보안경영방침에 포함시켜야 한다. 뿐만 아니라 보안경영방침은
h) 최고경영자의 승인이 명확할 것
보안경영방침은 최고경영자의 승인에 의해 효력이 발생한다. 이는 단순한 서명을 요구하는 것이 아니며 보안경영방침에서 공급사슬보안 개선을 위한 최고경영자의 의지를 명확히 함으로써 인적·물적 자원의 지원 및 사내 전차 등 ISO28000의 도입을 위한 활동에 정당성을 부여해야 한다.
i) 문서화되어 실행되고 유지될 것
보안경영방침은 문서화되어 실행되고 유지되어야 한다. 즉, 보안경영방침의 수립·실행·유지·개선 등의 절차는 문서화하여 관리해야 한다.
j) 모든 관련된 종업원 및 계약자와 방문자를 포함한 제3자가 각자의 보안경영 관련 의무사항을 인지 할 수 있도록 의사소통될 것
최고경영자의 의지가 담긴 보안경영방침은 전 조직원이 이해하고 공감할 수 있도록 의사소통되어야 한다. 뿐만 아니라 거래 계약자 및 방문자, 이용자들에게도 기업의 보안경영방침이 의사소통되어야 한다. 이러한 보안경영방침의 의사소통이 효과적으로 이루어질 수 있는 방안 또한 마련되어야 한다.
k) 필요한 경우 이해관계자가 이용할 수 있도록 할 것
기업의 보안성과에 영향을 받거나 이와 관계되는 개인 혹은 단체는 보안경영방침에 특히 관심이 많을 것이다. 따라서 보안정책을 그들과 의사소통하는 프로세스(예 : Homepage 게시 등)가 존재하여야 한다. 그리고 이해관계자들(Stakeholders)이 보안경영방침을 이용할 수 있도록 보장해야 한다.
l) 보안 경영시스템의 연속성 및 관련성에 영향을 줄 수 있는 다른 조직과의 인수 또는 합병, 또는 조직의 사업범위가 변경되는 경우 보안경영방침이 검토되도록 할 것
공급사슬보안경영시스템에 영향을 줄 수 있는 조직의 변화가 생기면 보안경영방침은 반드시 재검토되고 필요한 경우 개정되어야 한다. 그리고 개정할 경우 가능한 한 빨리 의사소통되어야 한다.

3. 수립 방법 및 절차
가. 자료수집
리스크 수준이 높은 위협요소에 대한 완화조치를 수립하였다면 기업은 새로운 조치에 따라 실행해 본 후 그 효과성을 평가해야 한다. 효과성 및 실행가능성 평가를 총해 적절하다는 결론이 도출되면 완화조치를 확정하고 보안리스크 평가를 종결하게 된다.

보안경영방침 관련자료
○ 회사 사업 관련 방침 및 목표
 예) 경영이념, 품질방침, 환경방침, 인사방침, 조직방침 등
○ 보안 Profile 및 보안성과
 예1) 정보보안, 물리적보안(접근통제, CCTV 등)에 대한 Profile
 예2) 기업의 보안활동에 따른 보안성과 기록물 등
○ 이해관계자의 개선 요구사항
 예) 고객, 주주 등의 보안관련 요구사항 및 문의사항
○ 보안 관련 자원
 예) 사전평가를 통해 도출된 공급사슬 보안시스템 구축을 위해 필요한 자원
○ 조직 보안 위협 및 리스크 관리 사항
 예) 과거 리스크 평가 기록이 있는 경우
○ 보안관련 기업이 이행해야 하는 법규 요구사항
 예1) 전략물자 관리, 마약법 및 기타 보안관련 강제법률
 예2) 관세청 AEO 및 WCO A대 등 국제사회가 요구하는 법률
○ 조직의 식별된 리스크
 예) 사전적으로 리스크를 평가하는 것이 좋다
[표 1] 보안경영방침 관련 자료

나. 보안경영방침 수립
1) 보안경영방침 수립 주체
ISO28000의 필요성을 인지하고 자사의 업무 범위에 해당하는지 확인하고 나면 검토 지시에 따라 보안경영방침을 수립하며 ISO28000은 조직의 최고경영자가 보안경영방침을 승인하도록 요구하고 있다. 그러나 인증범위를 특정 사업부문으로 한정하였다면 해당 사업부문의 책임자를 승인권자로 할 수 있다.
2) 보안경영방침의 형태
보안경영방침의 형태는 조직 최고경영자의 의지를 담은 간결한 선언문일 수도 있으며 보안경영시스템을 운영하기 위한 충분한 정보 및 지시를 제공하는 내부 목적의 상세한 내용을 포함한 것일 수도 있다.
만약 내부 목적으로 상세한 내용을 포함 시켰다면 그 중 일부는 사외비로 하고 조직 및 기타 이해관계자에게 배포하기 위한 개략적인 요약본(공개용)을 제작하여 활용할 수도 있다.
또한, 보안경영방침은 인증대상 범위에 속하는 모든 종업원, 계약자, 방문자 및 기타 모든 이해관계자에게 의사소통되어야 하므로 일반인도 납득할 수 있는 내용으로 구성되어야 한다.
3) 검토 및 승인
최고경영자는 다음의 사항을 검토하여야 한다.
▷위협 식별, 보안 리스크 성격 및 크기 평가, 리스크 관리 적절성 검토
▷조직의 성과 및 보안경영시스템 효과적, 효율적 개선 검토
▷보안 경영방침의 문서화, 개정 또는 변경 검토
▷내·외부 의사소통 검토, 보안 경영방침 승인
 기업(조직)의 최고경영자가 승인한 보안경영방침은 다음과 같아야 한다.
① 현실적인 실행을 위해 조직의 보안리스크 성격 및 크기에 적절해야 한다.
② 지속적인 보안개선에 대한 의지(Commitment)를 최고경영자, 종업원, 공급사슬 內 거래 기업과 의사소통해야 한다.
③ 최소한 승인하는 보안 규정과 기업이 적용하고 있는 다른 요구 사항과 적합해야 한다. 특히 실무관행과 충돌하면 실행되기 어렵다.
④ 문서화되어 실행되어야 한다.
⑤ 종업원에게 의사소통되어 각자의 의무, 책임을 알고 실행하도록 해야 한다.
⑥ 이해관계자, 공급사슬 內 거래기업에게도 보안경영방침이 받아들여지도록 알려야 한다.
⑦ 적절히 시행되는 것을 보장하도록 주기적으로 검토되어야 한다.

1.1 보안경영의 목적
 종합물류기업인 KOSTI는 회사의 사업 활동이 국제법 및 국제규정의 요건을 준수하여 수행되는 사업장을 제공 할 것을 약속한다.
 본 보안경영방침은 당 사업의 성공적인 수행과 미레성장에 있어서 필수적인 회사 직원, 고객 및 자산의 보안유지를 기반으로 작성되었고 각각의 이해관계자와 공급사슬 고객의 이익을 최대한 반영하였다.
1.2 보안방침 수립시 고려사항
1) 보안방침은 다른 방침(품질방침)과 상충되지 않도록 서로 조화를 이루며, 일관성 있도록 관리 한다. 보안방침은 회사의 임직원, 영업 및 운영상의 자산과 고객의 자산을 보호하는데 있다.
2) 보안방침을 실행하기 위해 전 사업장 및 각 부서에서는 소관 주요 프로세스에서 예상되는 보안위협을 식별하고, 보안위협 및 사건 시나리오에 대한 리스크 평가 및 리스크를 수용 가능한 수준으로 감소시키고 관리하는 통제기능을 구축하고, 보안목표, 보안 세부목표 밒 보안 프로그램을 수립하여, 실행, 유지 관리하며, 정기적인 보안위협 평가, 보안심사 및 보안경영시스템 검토를 통해 주요 보안 경영프로세스를 지속적으로 개선한다.
3) 현재 적용되는 법규, 국제/국내 강제 보안 요구사항 및 법규준수를 위하여, 전 임직원에게 공지. 교육/훈련을 통해 숙지, 이행하도록 주기적으로 법규 등록 및 준수관리를 관리한다.
4) 회사가 조직 변경, 사업의 인수/합병 혹은 사업범위 변경 등 보안경영시스템의 연속성 및 관련성에 영향을 주는 경우에 보안방침을 검토하여, 필요한 경우 개정 관리한다.
5) 회사에서 보안 실패 및 사건이 발생하는 경우, 행동의 시정 및 임직원의 보안인식을 증진하도록 적극 추진하며, 우발적 내지 비상시 대비·대응 및 사업지속, 그리고 복구를 신속히 하도록 전 사업장 및 각 부서에 개선 노력을 실시한다.
6) 모든 직원은 회사와 사업장에 야기할 가능성이 있는 평소와 특이한 사항이나 수상한 사람을 발견할 경우 이를 보안관계자에게 보고할 의무를 지며, 적극적인 침여와 절차서 준수를 통하여 보안목표를 달성하고 회사의 보안 우수성을 알린다.

1.3 보안방침
 “ 고객의 요구와 기대를 초월하여 실질적인 가치와 혜택을 창출하고 제공하기
위한 물류 보안 경영 시스템을 구축하여 고객 감동 물류 서비스 실현“

1) 회사의 경영진은 본 보안경영방침을 가시적으로 지지하고 전사적으로 추진하며, 보안관리 주관부서는 보안 관리 활동을 정기적으로 검토하고 필요시 방침도 검토한다.
2) 각 사업단위 및 센터의 관리자는 보안경영시스템이 본 방침과 일관되게 도입되고 실행되는데 책임을 지고 규정준수와 적절한 보안활동이 시행되도록 의무를 진다. 기타 부서는 보안경영시스템의 시행을 지원한다.
3) 보안상 중대한 영향을 줄 수 있는 업무를 맡은 직원은 보안경영방침 및 관계 규정을 준수하도록 훈련되고 책임을 진다.
4) 전 직원은 회사와 사업장에 위협을 야기할 가능성이 있는 평소와 다른 특이사항이나 수상한 사람을 발견할 경우, 이를 보안관계자에게 보고할 의무를 진다.
5) 전 직원의 적극적인 참여와 절차서 준수를 통하여 보안목표를 달성하고 회사의 보안 우수성을 알린다.
6) 회사는 본 방침과 보안경영시스템을 매년 혹은 필요시 즉각 검토하고, 필요한 경우 방침의 준수를 위하여 조치를 취한다.

○○○주식회사
대 표 이 사
△  △  △

[표 2] 보안경영방침 수립 사례

 (다음호 계속)

저작권자 © 물류신문 무단전재 및 재배포 금지