[Day 197] Acceptable Use Policy(AUP)

Acceptable Use Policy(AUP)

• 허용 가능한 사용 정책, 이용목적 제한 방침 등으로 해석됨
• AUP는 네트워크와 컴퓨터 장치들이 사용되는 방법을 제한하는 규칙의 집합
• 업무와 관련되지 않은 일에 회사의 자산이 사용되지 않도록, 정책문서를 만들어 배포하고 사용자가 직접 읽고 서명하도록 해야 함

 

AUP 작성 시 주의사항

• 금지하는 것은 명확하게 기술해야 한다. "부적절한 사용 금지"같은 문장은 애매모호하다. 부적절한 사용이 무엇인지 정의해야 한다. 물론 "부적절함"과 관련된 모든 개별적인 행위를 전부 기술할 수는 없지만 빈번히 발생하는 것은 정확하게 기술 해야 한다. 예를 들어, 성을 노골적으로 표현하거나 외설적인 글과 사진을 포함하는 이메일을 금지할 수 있고 웹브라우저로 온라인 도박 사이트 등에 접속하지 못하도록 금지할 수도 있다.
• 포괄적인 구절로 명확하게 이름을 기술하지 않은 행동도 금지할 수 있다. 예를 들어, 법을 위반하면서 인터넷을 사용하거나 이메일, 인스턴트 메시지, 문서 등의 방법으로 회사, 고객, 파트너의 기밀을 노출시키는 것을 금지할 수 있다.
• 효과적이고 실현 가능하도록, 정책은 관리돼야 하고 정책의 갱신과 개발을 감독하는 책임자도 있어야 한다. 보통 CIO(Chief Information Officer)가 담당한다. 정책은 회사의 변호사에 의해 검토되는 것이 좋다. 정책문서에 법률 용어가 포함되어야 할지도 모르지만, 각 정책은 비전문가들이 이해할 수 있는 쉬운 말로 요약돼야 한다. 

 

AUP에 포함되는 정책 예시

• 네트워크의 사용자를 위한 정책 : 회사의 프라이버시 정책과 보안을 위해 회사의 컴퓨터와 네트워크에서 전송되거나 저장된 모든 내용이 감시될 수도 있다는 내용
• 회사의 소유 정보에 관한 정책
• 암호와 계정정보를 공유하는 것에 관한 정책 : 자신의 계정이 아니라 다른 사람의 계정으로 로그인하거나 다른 사람에게 로그인할 때 자신의 시스템을 사용하거나 자신의 인증서로 로그인하도록 허가하지 못하도록 하는 것
• 자리비움 시 컴퓨터를 잠그도록 요구하는 것 같은 보안 정책
• 이메일 첨부와 관련된 보안 정책
• 사용자가 컴퓨터와 네트워크의 보안 정책을 교묘히 피하거나 끄지 못하게 하는 것
• 허가되지 않은 소프트웨어를 설치하지 못하게 하는 것
• 허가 없이 이동디스크로 회사의 정보를 복사하거나 외부 네트워크로 전송하지 못하게 하는 것
• 암호화 이용에 관한 정책
• 뉴스그룹과 게시판에 글을 게시하는 것에 대한 정책: 회사의 직원으로서가 아니라 개인의 자격으로 의견을 게시하지 말 것
• 개인의 랩톱, 핸드헬드PC, 스마트폰을 회사의 네트워크에 연결시키는 것에 관한 정책 : 회사의 네트워크에 허가없이 모뎀이나 무선 AP 등에 연결하는 것을 금지하는 것.
• 외설, 저작권 위반, 불법적인 파일 공유 같은 부적절한 행위의 정의
  • 위협적이거나 귀찮게 하는 내용을 전송하는 것;
  • 스팸을 전송하는 것;
  • 피싱과 다른 방법으로 남을 속이는 행위;
  • 내부나 외부 네트워크에 있는 다른 시스템을 해킹하는 것;
  • 악성코드를 배포하고 권한 없이 네트워크에 있는 데이터에 접근하는 것;
  • 스니퍼 같은 것을 이용하여 네트워크상에 있는 다른 사람의 데이터를 가로채는 것;
  • 스푸핑 기술로 이메일 주소나 IP, Mac Address 등을 속이는 것

---

* 출처

기업을 위한 최선의 보안정책「AUP」 - ZDNet korea

기업을 위한 최선의 보안정책「AUP」