신수정 박사(sjs1234@skinfosec.co.kr) 정보보호관리체계 수립 방법 2004.12 신수정 박사(sjs1234@skinfosec.co.kr)
목 차 보안 위험의 특징 기업의 목표 어떻게 대응할 것인가? 위험평가 체계 및 계획 수립 운영 및 점검 시스템화 목 차 보안 위험의 특징 기업의 목표 어떻게 대응할 것인가? 위험평가 체계 및 계획 수립 운영 및 점검 시스템화 보안이 잘되는 기업의 비밀
I. 보안 위험의 특징 Risk 존재의 근본적인 이유 정보시스템 및 전산망이 Static하지 않음 새로운 대상 출현 수 준 TIME 위험의 GAP 위 험 (2) 새로운 보안위험의 증가 신규 자산의 증가 위협의 증가 새로운 취약성의 증가 (1) 지속적인 관리 방안의 부족 Risk 존재의 근본적인 이유 정보시스템 및 전산망이 Static하지 않음 새로운 대상 출현 공격의 형태와 방법이 Static 하지 않음 새로운 공격 출현 모든 서비스를 폐쇄할 수 없음
2. 기업의 목표 보 안 수 준 TIME 위 험 위험의 GAP
3. 어떻게 대응할 것인가? 보안 시스템 구축 3 취약성 분석 및 대책 보안정책 수립…
3. 어떻게 대응할 것인가? Source: Gatner
3. 어떻게 대응할 것인가? 체계/계획수립 위험평가 보안관리 프로세스 구현 운영 및 점검
4. 위험평가 체계/계획수립 구현 운영 및 점검 보안관리 프로세스 위험평가
5. 체계 및 계획 수립 체계/계획수립 구현 운영 및 점검 보안관리 프로세스 위험평가
5. 체계 및 계획 수립 정책 체계
5. 체계 및 계획 수립 정책 체계
5. 체계 및 계획 수립 프로세스 체계
5. 체계 및 계획 수립 기술 체계 Data Application User System(OS) Network Physical
5. 체계 및 계획 수립 기술 체계
5. 체계 및 계획 수립 서비스 관점의 체계 물리 기술 관리 예방 탐지 추적 및 복구
6. 운영 및 점검 이행 관리 변화 관리 수준 관리 점검/감사 관리 체계/계획수립 위험평가 보안관리 프로세스 구현
6. 운영 및 점검 이행 관리
6. 운영 및 점검 변화 관리
6. 운영 및 점검 수준 관리
6. 운영 및 점검 수준 관리
6. 운영 및 점검 수준 관리
6. 운영 및 점검 수준 관리 보안 측정 지표 서비스 수준 합의 보안 서비스 수준 조사 측정 단위를 고려한 포트폴리오의 구성 서비스 수준 조사 설명회 보안 능력 조사 사용자 기대 수준 조사 서비스 수준 합의 보안 서비스 수준 조사 결과 분석 갭 도출 및 보안 서비스 수준 조정 보안 서비스 수준 합의 측정 단위를 고려한 포트폴리오의 구성
6. 운영 및 점검 illustrative 점검 관리 주요 감사 목적 주요 점검 사항 대상 주요 기술적 필요사항 1. 외부의 보안 침투 및 정보유출 위험에 대해 얼마나 안전한가? 보안 전반의 관리적인 실태 보안 전반의 물리적인 실태 기술적인 실태 본사 – 보안 침투 및 회사 기밀 정보 유출 위험 초점 2) A사업 - 보안침투 및 고객정보 유출 위험 초점 시스템, 네트워크, APPlication, 보안시스템 에 대한 기술적 취약성 분석(Sampling 또는 전수) 인터넷 상에서의 모의해킹을 통한 가상 침투시험 내부망에서의 모의해킹을 통한 가상 침투시험 2. 내부자에 의한 정보 유출 위험에 대해 얼마나 안전한가? 내부 정보에 대한 관리적인 실태 내부 정보의 물리적인 보안 실태 내부 정보 유출의 기술적인 실태 1) 본사 2) 공장 3) A사업 - 위험 내부 정보 유출 경로 분석 내부 정보 유출 가능성 시험 illustrative
7. 시스템화
8. 보안이 잘 되는 기업의 비밀 명확한 관리체계 지속 적인 유지 대책 기본보안시스템 + 철저한 운영 및 관리 주기적인 최신 취약성 정보 획득 및 대응 주기적인 취약성 분석/모의침투 및 대책 이행 변화관리 주기적인 Compliance Check 측정 및 감사
Source: CIO/CSO Magazine 8. 보안이 잘 되는 기업의 비밀 Source: CIO/CSO Magazine
Thank you