ISO/IEC Information technology – Security techniques

Slides:



Advertisements
Similar presentations
신진영 현지 조사 방법 및 보고서 작성법 제 7 강 - 자료 수집과 설문지 작성 -
Advertisements

Popcon 이규태 김준수 강예진. 목차  Popcon 이란  개발동기 및 목적  필요성  차별성  설계  개발일정  기대효과 및 향후 계획.
 의  변화와  혁신  차세대  전략    
ICT 기반 베이비붐 세대 창업 사업계획서 작성양식. 목차 1. 창업 동기 2. 지원 동기 3. 자체역량 분석 4. 시장 전망 5. 재무 분석 6. 창업자 및 경영진 준비하시는 사업 특성에 따라 목차 및 세부내용의 일부 변경 ( 추가 및 Skip) 은 가능합니다.
CRM의 성공사례와 실패사례 6조 송혜정 신은수 원종환
Secure Coding 이학성.
Trend Watching 과정 (주) 미래인재개발원 변화의 시대를 읽자!
발표자 : 박 문 규 한국선급(KR) 울산지부장/상무 ISO/TC 176 전문위원 ISO 9001 검증심사원
1Day CEO 독서 경영 1일 세미나 과정 CEO 독서 경영 1일 세미나 안내 독서 경영은 . . .
두뇌유출지수 경영학부 홍석민.
기업의 사회적 책임 고은선.
- 사업의 수익증대와 마케팅 자질 및 전문성 향상을 위하여 교육 Ⅱ. 환경분석 - 거시환경분석
제 3 장 유통 환경 1. 거시 환경 2. 소비자 변화.
ISO 9001: 2015 개정전.후 차이점 비교 표 ■ ISO 9001 개정표준의 조항 구조
디지털 컨버전스 시대의 기업전략 三 星 電 子.
기업 경영전략의 의의 경영전략 기업경영전략의 요소 확인 전략수행과 달성 기업의 모든 자원인 물적, 인적자원과 능력, 환경적인
분석적 사고 (Analytical Thinking)
시스템 설계와 산업디자인 개발.
1. 현대 생활과 응용 윤리의 필요성 2. 윤리 문제의 탐구와 실천 3. 윤리 문제에 대한 다양한 접근
3과목 데이터 분석기획 2장 분석 마스터 플랜 정훈기
ISO 14001: 2015 개정전.후 차이점 비교표 ■ ISO 개정표준의 조항 구조
KSA 콜센터 교육과정 안내 2018년 4월 고객을 이기는 컴플레인 관리하기 전화모니터링 반나절 만에 따라잡기
1장. 데이터베이스 자료의 조직적 집합체_데이터베이스 시스템의 이해
간지 Ⅰ. 시스템소개 Autoway Groupware User Manual Ⅰ. 시스템 소개 | 시스템 소개.
DMAIC Template (제조).
안전규정 협력업체 및 방문자용 안전환경팀 2014.
제3절 인터넷 비즈니스 창업성공전략과 고려사항
Technology Strategy : An Evolutionary Process Perspective
제 10 장 의사결정이란 의사결정은 선택이다.
재무회계의 개념체계 재무회계의 목적 회계의 기본가정 회계정보의 질적 특성 재무제표의 구성요소 회계원칙(회계기준) 제약조건
고대 구로병원 IRB 전문간사 종양내과 오상철
ERP의 구축방법과 장·단점 1조 김두환 김수철 가민경 김정원.
Term Projects 다음에 주어진 2개중에서 한 개를 선택하여 문제를 해결하시오. 기한: 중간 보고서: 5/30 (5)
2016 동계 실습 프로그램.
제 15 장 직무설계 15.1 노동인력관리 목적 최대의 성과 만족스러운 성과 의사결정 직무설계 충원수준 선발 훈련과 경력개발
부서 QI 및 지표 담당자 모임 2012년 8월 2차 QI 활동 방법 지표 관리 회의록 작성법
3 지식경영을 위한 인사·조직시스템 설계 현선해·차동옥 교수(성균관대학교 경영학부).
Chapter 03. 관계 데이터베이스 설계.
AUTODESK AUTOCAD ELECTRICAL 전기제어 2D 설계 소프트웨어 표준기반 설계 생산성 도구 구조도 설계
외과병동에서 시행되는 Wound dressing시 처치/재료 입력 누락방지를 위한 개선활동
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
VTalk Solution 소개자료
국가 간 불평등 현상과 해결방안 본 연구물은 학교 수업을 위해 개발된 것으로 교육 이외의 목적으로 사용될 수 없습니다.
CONTENT CONTENT BPR의 등 장 배 경 BPR의 정 의 BPR의 4 가지 근 간
1. 인재 육성의 의의 1) 인재육성 프로세스 T & D needs 결정 T & D 목표 설정 T & D 방법 선정
데이터 베이스 DB2 관계형 데이터 모델 권준영.
판매 교육 발표자: [이름].
경영정보시스템(MIS) management information system.
제 5장 교수설계의 실제 - ASSURE 모델 적용
클러스터 시스템에서 효과적인 미디어 트랜스코딩 부하분산 정책
3장, 마케팅조사의 일번적 절차 마케팅 조사원론.
McKinsey 7S MODEL McKinsey 의 7S Model 은
음악 수업 & 수업 지도안.
햄버거가 만들어내는 사회·생태적 문제는?.
제안 요약 프로젝트 범위 프로젝트 기간 수행 전략 ㈜인성교육의 정보화전략계획(ISP) 수립
창의적 공학 설계 < 사용자 중심의 공학설계 > : Creative Engineering Design
16장 보안테스트 및 평가 신수정.
조직화란 조직의 목표를 최상의 방법으로 실현할 수 있도록 인적자원과 물적자원을 결합하는 과정
보험경영론 보험경영론 경일대학교 경영학과.
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
다문화교육론 호 원 대 학 교.
(Adjustment to New Pressures) (New Self-Expectations)
PMBOK 9개 지식 영역 프로세스 요약 통합 범위 일정 원가 품질 인적자원 의사소통 위험 조달
제1장 재무관리란 무엇인가? 에센스 재무관리 (제5판).
WISE DQ.
Chapter 4 사회복지 전문직과 윤리강령.
Recommended course of action for HRDers
Part 7 호텔 식음료 직원의 인적관리 Ch 01 호텔 식음료의 인사관리 Ch 02 호텔 식음료부서의 교육훈련.
이 은 Tyler 교육과정 개발 모형 이 은
생산성 증대 효율성 향상 측정 수행 능력.
Presentation transcript:

ISO/IEC 27000 Information technology – Security techniques Information security management systems Overview and vocabulary

ISMS family of standards Agenda ISMS Ⅰ ISMS family of standards Ⅱ

3.2. 정보보호 관리체계란? 정보보호 관리체계는 정보 자산을 보호하기 위한 목적으로 조직에 의해 전체적으로 관리되는, 정책 절차 가이드라인 관련된 자원(인적 자원, 투자와 보안 기술)과 활동들로 구성. 정보보호 관리체계는 비즈니스 목표를 달성하기 위해 조직의 정보 보안을 수립하고, 구현하고, 운영하고, 모니터링하고, 검토하고, 유지하고, 향상하기 위한 체계적인 접근 방법 2

3.2. 정보보호 관리체계란? 정보보호 관리체계는 효과적으로 위협과 위험을 관리하기 위해 설계된 위험 평가와 조직의 위험 수용 수준을 기반으로 한다. 정보보호 관리체계의 성공적인 구현을 위한 기초 원칙 정보 보안에 대한 필요성 인식 정보 보안에 대한 책임 할당 경영 의지와 이해 관계자의 이익 통합 사회적 가치 향상 수용 가능한 위험 수준에 도달하기 위해 적절한 통제를 결정하는 위험 평가 네트워크와 정보 시스템의 핵심적 요소로써 보안 통합 정보 보안 사고의 적극적인 예방과 탐지 정보 보안 관리에 대한 포괄적인 접근을 확실히 함. 지속적인 정보보안에 대한 재평가와 적절한 수정 3

3.3. 정보보호 관리체계의 표준 프로세스 PDCA – Plan, Do, Check, Act 1. 계획 – 목표 설정과 계획 수립 (조직 상황 분석, 총체적인 목표 수립과 대상 설정, 달성 위한 계획 개발) 2. 실행 – 계획 실행 (하기로 했던 것 하기) 3. 확인 – 결과 측정 (계획했던 목표를 달성했는지에 대한 측정과 모니터링) 4. 조정 – 수정과 향상 활동 (실수로부터 보다 나은 결과를 달성하기 위한 활동 향상을 배움.)

3.4. 왜 정보보호 관리체계가 중요한가? 정보 보안 = 보안 기술? 솔루션? : 제한적이며 통제 효과가 없을 수도 있음. 정보 보안 = 보안 기술? 솔루션? : 제한적이며 통제 효과가 없을 수도 있음. 지속성 기반으로 위협에 대해 적절한 보호에 대한 더 높은 보증 수준 달성. 정보 보안 위험을 식별하고 평가하며, 적용 가능한 통제 수단을 선택하고 적용하며, 그것의 효과성을 측정하고 향상시키기 위한 구조화되고 포괄적인 프레임워크 유지 통제 환경의 지속적인 향상과 효과적으로 법적 규제 준수 달성.

3.5. 정보보호 관리체계의 구축, 모니터링, 유지 및 향상 정보 자산과, 정보자산과 연관된 정보 보안 요구사항의 식별 정보 보안 위험 평가와 처리 수용 가능한 수준으로 위험을 관리하기 위해 적절한 통제 선택 및 구현 정보 자산과 연관된 통제의 효과성을 모니터링, 유지 및 향상 조직의 전략과 비즈니스 목표 내에서 혹은 위험의 변화를 식별하기 위해서 지속적으로 반복한다.

3.5.2. 정보 보안 요구사항의 식별 정보 자산과 그 가치 식별 정보 처리, 저장, 전송에 대한 비즈니스의 필요 법적, 규제, 계약 요구사항 등

3.5.3. 정보 보안 위험 평가 Risk = likelihood (= Threat X Vulerability) X Impact - 위험 평가는 조직에 관련된 목표와 위험 수용 수준에 대한 기준에 대해 위험을 식별, 정량화와 우선 순위를 결정해야만 한다. - 그 결과로부터 정보 보안 위험을 관리하고, 이 위험으로부터 보호하기 위해 선택된 통제를 구현하기 위해 적절한 경영층의 행동과 우선 순위를 가이드하고 결정해야만 한다. - 위험 평가는 위험의 중요성을 결정하기 위한 위험 기준에 대해 예상되는 위험과 비교하는 프로세스와 위험의 등급을 예상하는 시스템적인 접근 방식을 포함해야만 한다. 위험 평가는 정보 보안 요구사항과 위험 상황의 변화를 설명하기 위해 주기적으로 수행되어야만 한다. 위험 평가는 비교될 수 있고, 재현 가능한 결과를 만들어 내야 함.

3.5.4. 정보 보안 위험 처리 위험의 처리를 고려하기 전에 조직은 위험이 수용 가능한지 혹은 그렇지 않은지를 결정하기 위한 기준을 결정해야만 한다. 위험 통제 위험 수용 위험 회피 위험 전가

3.5.5. 통제의 선택과 구현 통제는 수용 가능한 수준으로 위험을 줄인다는 것을 확실히 해야만 한다. 국가적, 국제적 법 규제 요구사항과 제약 조건 조직 목표 운영 요구사항과 제약 조건 줄여야 하는 위험과, 조직의 요구사항과 제약 조건에 비례하여 남아 있는 위험과 관련하여 구현 및 운영 비용 정보 보안 사고로부터 발생될 수 있는 손실에 대해 통제 구현 및 운영에 소요되는 투자 비용과의 균형 필요

3.5.6. 정보보호 관리체계의 효과성에 대한 모니터링, 유지 및 향상 정책과 목표에 대한 성과 모니터링과 평가, 그리고 경영층의 검토를 위해 결과 보고를 통해서 정보보호 관리체계의 유지와 향상된다. 정보보호 관리체계에 대한 검토는 관리체계 범위 내에서 위험을 처리하기에 적절한 특정 통제를 포함하는지를 확인한다. 또한, 모니터링 부분에 대한 기록을 토대로 조정, 예방 및 향상을 위한 조치들에 있어 검토와 추적성에 대한 증거를 제공한다.

3.6. 정보보호 관리체계의 핵심 성공 요소(CSF) 비즈니스 목표와 연계된 정보 보안 정책, 목표와 활동 조직 문화와 부합하는 정보 보안 설계, 구현, 모니터링, 유지와 향상을 위한 접근 방법과 프레임워크 특히 최고 경영층을 포함하여, 모든 수준의 경영층으로부터 “가시적인” 지원과 지지 정보 보안 위험 관리의 실행을 통해 달성한 정보 자산 보호 요구사항에 대한 이해 정보 보안 정책과 표준 등과 그에 상응하는 행동을 장려하기 위해 모든 임직원과 다른 모든 관련된 조직들이 가져야 할 정보 보안 의무를 알려주기 위한 효과적인 정보 보안 인식, 훈련과 교육 프로그램. 효과적인 정보 보안 사고 관리 프로세스 효과적인 비즈니스 연속성 관리 접근 방식 정보보안 관리체계 내의 성과를 평가하기 위해 사용되는 측정 시스템과 향상을 위한 제안과 피드백.

3.7. 정보보안 관리체계 표준의 이점 정보보안 관리체계 구현을 통한 주요 이점은 정보 보안 위험의 감소이다. 정보보호 관리체계 표준의 채택을 통해 지속적인 정보보안의 성공적인 유지를 달성할 수 있다. 조직의 요구사항을 충족하는 포괄적이고 비용 효과적이며, 가치 창출적이고, 통합되었으며, 연계된 정보보안 관리체계의 특정, 구현, 운영 및 유지 프로세스를 지원하는 구조화된 방식 제공. 정보 보안의 전체적인 관리 상에서의 비즈니스와 IT 소유자들을 교육하고 훈련시키는 것을 포함하여 기업 위험 관리와 거버넌스의 문맥 내에서 정보 보안 관리로의 접근을 응답 가능한 방식으로 지속적으로 관리 및 운영함에 있어 경영층을 지원. 특정 환경에 적절한 관련된 통제를 적용하고 향상하며, 내외부의 변화에 직면해서도 통제들을 유지하기 위한 척도를 조직에 제공함으로써 규정되지 않는 방식으로 국제적으로 수용되는 좋은 정보 보안 사례의 증진. 준수되는 정보보호 관리체계와 함께 비즈니스 파트너들과도 비밀 정보를 다루기가 좀더 쉽게 만들어 주며, 정보보안에 대한 공통의 언어와 개념적인 기반 제공 조직 내 관련자들의 신뢰 증대 사회적 요구사항과 기대 만족 정보 보안 투자에 있어 보다 효과적인 경제성 관리

4. 정보보안 관리체계 표준들

ISO/IEC 27005 – FAIR Integration Model

Open Information Security Management Maturity Model (O-ISM3)

Enterprise Security Program Framework & Architecture

IBM Security Framework

NIST CyberSecurity Framework

End of Document