반응형
보안이나 개인정보 업무는 결과물이 눈에 잘 안 보이는 편이다.
그래서 이직 준비를 하면서도 “내가 뭘 했는지”를 설명하기가 어렵다고 느끼는 사람이 많다.
그런데 실무에서는 오히려 문서가 실력을 보여주는 경우가 많다.
특히 정합성이 있는 문서는 그 사람의 사고방식을 그대로 드러낸다.
정합성이란 결국 “앞뒤가 맞는 구조”다
정합성이 없는 문서는 대체로 이런 특징이 있다.
- 수집 목적과 항목이 연결되지 않는다
- 보유기간이 근거 없이 길거나 짧다
- 보호조치는 나열돼 있지만 실제 적용 위치가 없다
- 접근권한은 “통제”라고 적혀 있지만 역할 구분이 없다
반대로 정합성이 있는 문서는
서비스 흐름 → 데이터 흐름 → 리스크 → 보호조치가 자연스럽게 이어진다.
실무에서 문서를 쓸 때 내가 잡는 기준
- 문서 한 장만 봐도 처리 흐름이 그려지는가
- “왜 필요한지”가 설명되는가
- 누가 실행하는지(역할)가 적혀 있는가
- 증빙으로 확인 가능한가(로그, 설정, 정책, 화면)
- 예외가 존재하면 예외의 통제 방식이 적혀 있는가
이 기준을 지키면 문서는 단순 보고서가 아니라 운영의 기준이 된다.
마무리
보안·개인정보 실무자는 결국 “기준을 만들고 운영되게 하는 사람”이라고 생각한다.
그 기준을 가장 잘 보여주는 건, 정합성 있는 문서와 기록이다.
반응형