[보안_GPT] 보안 정책·컴플라이언스(GRC)란?

보안 정책(Security Policy)·컴플라이언스(Compliance)는 기업이 지켜야 할 보안 규칙과 법·규제 요건을 체계화한 것을 말해.
쉽게 말하면 **“회사가 안전하게 운영되도록 지켜야 할 보안 규칙과 준수 기준”**이라고 보면 돼.

기술적인 장비 운영이나 관제와 달리, 정책·컴플라이언스는 ‘사람과 프로세스’를 관리하는 영역이야.

---

📜 보안 정책(Security Policy)이란?

1️⃣ 목적

• 기업 자산(정보, 시스템, 데이터)을 보호
• 직원·파트너의 행동 규범 제시
• 보안 위협과 사고를 예방

---

2️⃣ 구성 요소

• 정보보호 정책: 기밀성, 무결성, 가용성 확보
• 계정/권한 정책: 사용자 계정 생성, 삭제, 권한 부여
• 네트워크/시스템 운영 정책: 패치, 백업, 로그 관리
• 물리 보안 정책: 출입 통제, 장비 관리, CCTV 운영
• 클라우드/애플리케이션 정책: 접근 제어, 데이터 암호화

---

3️⃣ 실무 활용

• 직원·파트너에게 정책 준수 교육
• 보안 장비 운영 기준과 연계
• 사고 발생 시 책임 소재 판단 기준 제공

---

⚖️ 컴플라이언스(Compliance)란?

1️⃣ 목적

• 법규·규제·표준 준수
• 외부 감사 대응
• 기업 신뢰 확보

---

2️⃣ 주요 기준

• 국내: ISMS-P, 개인정보보호법, 정보통신망법
• 국제: ISO 27001, NIST, GDPR, SOC2
• 산업별: 금융보안기준, HIPAA(헬스케어)

---

3️⃣ 실무 적용

• 보안 정책이 컴플라이언스를 충족하도록 설계
• 정기 점검·감사(Audit) 수행
• 미준수 항목 개선 계획 수립

---

🔄 보안 정책과 컴플라이언스 관계

구분보안 정책컴플라이언스

목적	내부 운영 기준 수립	법/규제 준수
범위	직원·시스템·데이터·장비	국가법, 산업표준, 국제표준
적용	내부 문서, SOP, 지침	감사, 인증, 보고
예시	비밀번호 정책, 백업 주기	ISMS-P 인증, GDPR 준수

---

🎯 한 문장 요약

보안 정책·컴플라이언스 = “기업이 안전하게 운영되도록 내부 규칙을 만들고, 법과 표준을 지켜 점검·감사하는 체계”