조직의 정보 시스템과 정보 자산을 보호하는 것을 의미합니다. 높은 수준의 전략과 세부적인 실행 전략.
1. 상위 수준 전략: 상위 수준 전략은 조직의 전략적 목표 및 위험 평가를 기반으로 전체 비즈니스 전략과 밀접하게 관련된 정보 보안 전략을 수립하는 것을 의미합니다. 이 수준에서 정보 보안 정책은 비즈니스 목표에 맞춰 조정되어야 하며 정보 보안을 전체 조직의 핵심 요소로 간주해야 합니다. 상위 수준 전략에는 정보 보안의 전략적 방향, 목표, 자원 할당 및 관리 책임에 대한 조직의 계획이 포함됩니다.
2. 세부 실행 전략: 세부 실행 전략은 상위 수준의 전략을 바탕으로 구체적인 실행 방안과 운영 지침을 수립하는 것입니다. 이러한 세부 실행 전략에는 정보 보안 표준, 기술 통제, 운영 절차, 훈련 및 교육 등에 대한 규정 및 지침이 포함됩니다. 이 수준의 전략은 조직이 특정 운영 수준에서 정보 보안 통제를 효과적으로 구현할 수 있도록 보장하는 것입니다.