본문 바로가기

IT 살이/03. 관리 - 보안 관리

정책과 아키텍처의 관계

엔지니어로서 아키텍처에 먼저 눈을 뜬다. 근데 경영을 기웃거리다 보니까 정책 사슬(정책, 표준, 기준, 지침, 절차)에 접하게 된다. 생각에 잠긴다. 이 둘은 어떤 관계에 있지? 지금까지는 아키텍처 위주로만 생각해서 이게 제일 높을 줄 알았는데, 그게 아니다. 경영에도 아키텍처가 있을 텐데...그것이 제일 높지 않을까 했다. 엔지니어답게 이런 생각을 했던 것 같다.  내가 아무리 조직 관점에서 생각한다해도, 숲 밖에서 본다고는 하는데 여전히 엔지니어 관점을 벗어나지 못하고 있구나하는 생각을 하게 된다.


아키텍처는 엔지니어링용 툴이다. 아키텍처라는 툴을 이용해서 기존 조직의 구조와 관계, 환경 등을 파악할 수 있다. 또한 이 툴은 여러 이해관계자들의 관점을 반영한다. 그래서 커뮤니테이션을 위한 툴로도 사용할 수 있다.


조직은 조직의 비전, 미션 하에서 정의되고 운영된다. 이런 것을 달성하기 위한 목표가 정책에서 정의된다. 

아키텍처도 조직의 구성 성분으로서 정책의 영향을 받는다. 목표를 달성하기 위해서 정책이 명령하는 바에 따라서 아키텍처의 존재와 모양도 결정되는 것이다. 조직의 정책에서 "아키텍처를 정의해라"고 하면 아키텍처는 구성된다. 그리고 정책 이하의 표준, 기준 등에서 아키텍처의 모양을 지시하면 그 모양대로 정의되는 것이다. 


정책은 톱다운 방식으로 구현된다. 임원 또는 경영진이 조직을 위한 정책을 정의한다. 정책은 모든 조직 계층에 나아갈 방향을 지시한다. 그런 다음 중간계층의 관리자는 그것에 살을 더 붙여서 표준(standards), 지침(guidelines) 그리고 절차(procedures)를 만들어낸다. 그 다음, 운영 관리자( 그리고 보안 전문가)는 관리 문서(정책, 표준, 지침, 절차)에서 설명하는 환경을 구현해 낸다. 마지막으로 엔드 유저는 조직의 보안 정책에 따라야 한다.


참고로, 정책은 수준별로 구분될 수 있다는 것이다. 

☞조직 전체 정책 - 조직 전체를 대상으로 하는 정책

☞시스템 별 정책 - 특정 시스템을 대상으로 하는 정책

☞이슈 별 정책 - 특정 이슈를 대상으로 하는 정책


각 정책의 내용은 성격에 따라서 구분될 수 있다. 

☞ 규제적 regulatory 정책 - 법, 규제에 대응하기 위한 정책

☞ 권고적 advisory 정책 - 기밀 정보를 어떻게 처리해야 하는지, 의료 정보 혹은 금융거래를 어떻게 다루어야 하는지

☞ 정보적 informative 정책 - 기업이 파트너사들과 협력하는 방식, 기업의 목표와 임무 등


정책! 일상에서 많이 들어 익숙하고 직관적인 듯 하면서도 아직 배울 게 있는 듯하다.

함부로 정책을 세우자고 할 일이 아닌듯 하다. 할 일이 많다.