기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 암호화 정책 암호화 정책의 목적은 고위 경영진 수준에서 조직이 충족해야 하는 비즈니스 및 규정 준수 기대치를 설정하는 것입니다. 이 정책은 적절한 암호화 전략을 정의하는 출발점 역할을 합니다. 정책은 구현의 자유와 유연성을 제공할 수 있을 만큼 추상적이어야 합니다. 동시에 조직 목표를 충족하는 허용 가능한 구현의 범위를 정의할 수 있을 만큼 구체적이어야 합니다. 일반적으로 정책은 기술에 구애받지 않으며 엔터프라이즈 암호화 전략의 기본 특성을 정의하므로 매우 자주 변경되지 않습니다. 일반적으로 암호화 정책에는 다음이 포함되지만 이에 국한되지는 않습니다. + 기업이 충족해야 하는 모든 규제 또는 규정 준수 체제 + 데이터 암호화에 대한 모든 비즈니스 약정 또는 기대치 + 암호화해야 하는 데이터 유형 + 해싱 또는 토큰화와 같은 암호화 이외의 데이터 보호 기술을 사용해야 하는 경우의 기준 CIO, CTO 및 CISO와 같은 조직의 최고 관리 수준은 일반적으로 암호화 정책을 정의하고 승인합니다. 암호화 정책을 생성할 때 다음 사항을 고려하세요. + 사업부는 준수해야 하는 규정 준수 및 규제 체제를 결정합니다. 이러한 체제는 데이터 암호화 요구 사항을 지정합니다. 비즈니스를 새로운 리전으로 확장하거나 제품 제공을 확장하기 위한 경영진 수준의 결정은 데이터에 적용되는 규정에 영향을 미칠 수 있습니다. 예를 들어 은행이 고객에게 신용 카드를 제공하기로 결정한 경우 데이터 암호화가 필요한 [결제 카드 산업 데이터 보안 표준](https://www.pcisecuritystandards.org/document_library/)(PCI-DSS)을 준수해야 할 수 있습니다. + 정책은 암호화해야 하는 데이터 유형을 지정해야 합니다. 이는 규정 준수 요구 사항과 기업의 데이터 처리 목표에 따라 달라집니다. 예를 들어 정책에는 비즈니스가 캡처하거나 소유하는 모든 데이터를 저장 시 암호화해야 한다고 명시되어 있을 수 있습니다. + 암호화 정책은 내부 데이터 분류 표준에 부합해야 합니다. 효과적인 암호화 정책을 공식화하려면 메타데이터 수준에서 데이터 범주를 결정해야 합니다. 예를 들어, 범주에는 퍼블릭, 내부, 기밀, 비밀 또는 고객 데이터가 포함될 수 있습니다. + 암호화해야 하는 데이터와 토큰화 또는 해싱과 같은 다른 기술로 보호해야 하는 데이터를 결정하는 방법에 대한 기준을 포함합니다. 예를 들어 정책에 *감사, 추적 또는 애플리케이션 로그로 이동하는 개인 식별 정보(PII)가 토큰화되어야 한다고 표시될 수 있습니다*.