정보보호 관리체계 인증요구사항 및 컨설팅의 활용 넷시큐어테크놀로지 신수정 박사 sjs1234@netsecuretech.com

목차 정보보호관리체계 인증의 요구 담당자의 고민 대응방안 컨설팅의 활용 시스템의 활용 맺는말

정보보호관리체계 정보보호관리체계는 조직내 정보자산의 비밀성, 무결성, 가용성 등 정보보호 목적의 적절한 수준을 달성하고 유지하기 위한 활동을 기획, 구현, 운영 및 감사하기 위한 일련의 관리과정과 이러한 과정을 통해 선택되고 구현된 정보보호대책으로 구성됨 정보보호 관리 과정 정보보호 대책 정보보호정책 정보보호조직 외부자 보안 업무 연속성 관리 정보자산분류 정보보호 교육 및 훈련 인적 물리적 시스템 개발 암호 통제 접근 운영 관리 전자 거래 사고 검토, 모니 터링, 감사 범위설정 및 정보자산식별 정보보호 정책 및 조직 구현 및 운영 사후관리 위험관리

정보보호관리체계 정보보호대책은 관리적, 기술적, 운영적 대책으로 구성되며 세부적으로는 다음과 같은 항목을 포함함. 정보보호조직 정보보호정책 정책의 문서화와 공표 정책의 체계 정책의 유지관리 조직의 체계 책임과 역할 정보자산 조사 및 책임할당 정보자산 분류 및 취급 정보자산 분류 정보보호교육 교육 및 훈련 프로그램 수립 시행 및 평가 계약 및 SLA관리 외부자 보안실행관리 외부자 보안 인적보안 책임할당 및 규정화 적격심사 및 직무관리 비밀유지 물리적 보호대책 데이타센터 보호 장비보호 사무실 보호 분석 및 설계 보안 구현 및 이행 보안 변경관리 시스템 개발 보안 물리적 보안

정보보호관리체계 정보보호대책은 관리적, 기술적, 운영적 대책으로 구성되며 세부적으로는 다음과 같은 항목을 포함함. 암호통제 접근통제 운영관리 전자거래 암호 정책 암호 사용 키관리 접근 통제 정책 사용자 접근 관리 접근 통제 영역 운영 절차 및 책임 시스템 운영 네트워크 운영 매체 및 문서관리 악성소프트웨어 통제 이동컴퓨터 및 원격작업 교환합의서 전자거래 보안 전자우편 공개서버 보안 이용자 공지 검토, 모니터링,감사 보안사고관리 대응계획 및 체계 대응 및 복구 사후관리 법적 요구사항 준수검토 정보보호정책 준수검토 모니터링 보안감사 관리체계 수립 계획수립 과 구현 시험 및 유지관리 업무 연속성 관리

II. 인증의 요구 정보보호관리체계의 수립 및 유지관리에 대해 최근 인증의 요구가 대두됨. 정보통신부 BS7799 세부통제사항 정보보호관리체계의 수립 및 유지관리에 대해 최근 인증의 요구가 대두됨. 정보통신부 BS7799 세부통제사항 정보보호 관리과정 문서화 민간인증(TRUSECURE 등)

III. 담당자의 고민 정보보호관리자는 기존의 요구뿐 아니라 인증의 요구를 어떻게 해결할까에 대한 고민에 직면하게 됨. 안전한 보안 환경으로 Business 사업 확장 에 대한 자신감 확보 고객의 신뢰성 제고 및 이미지 향상 인력의 부족 경영층 및 내부 조직의 요구 보안 침해 사고 억제  예방 및 발생시의 즉각적인 대응 체제 정립 불법적인 사용 통제 및 대외 중요 정보 유출 방지 보안 측면의 자원 사용 현황 분석 안전한 보안 환경으로 Business 사업 확장 에 대한 자신감 확보 고객의 신뢰성 제고 및 이미지 향상 인식과 투자의 부족 고객의 요구 안전한 보안 환경으로 Business 사업 확장 에 대한 자신감 확보 고객의 신뢰성 제고 및 이미지 향상 전문성의 부족 감독기관의 요구 안전한 보안 환경으로 Business 사업 확장 에 대한 자신감 확보 고객의 신뢰성 제고 및 이미지 향상 보안 정책 및 체계적인 보안 프로세스 정립, 보안조직 및 역할 강화를 통해 내부 보안 의식 을 고취하고 실질적인 보안 수준을 확보 프로세스의 부족 게다가…. 인증의 요구까지 !!!

III. 담당자의 고민 정보보호관리체계를 제대로 수립하고 유지하면 인증의 요구에도 적극적으로 대응할 수 있지만 관리체계의 수립 및 유지가 어려운 많은 이유들이 존재함. 정보보호관리체계 수립 및 유지가 어려운 이유 컨설팅도 받았는데… 프로세스 정착의 어려움 Deploy Design Manage Assess 조직/책임/역할/권한의 불분명 및 협조체계 미흡 적절한 위험평가 기법의 적용부족 장기간의 유지보수와 변경관리활동 어려움. 주기적인 측정 부족.

IV. 대응방안 결국 정보보호체계를 효과적으로 수립하고 유지하며, 인증의 요구까지 대응하기 위해서는 관리의 중점화, 시스템화, 컨설팅 회사와의 파트너쉽이 요구됨. 대응방안 Deploy Design Manage Assess 관리체계 프레임웍 설정 위험평가 스킴 채택 및 문서화 보안관련 문서체계의 정립 주요 프로세스의 선정 및 이행 적용명세 관리 이행과 관리의 중점화 시스템화 컨설팅 회사와의 PartnerShip 효과적인 변경관리

V. 컨설팅의 활용 컨설팅회사의 효과적인 활용은 신속한 체계구축에 상당한 도움을 줄 수 있고 전사적인 참여를 유도할 수 있음. 또한 기업은 컨설팅회사를 활용함으로써 인증노하우를 빠른 시간내 습득할 수 있음. 컨설팅의 접근 평가 GAP분석 개선안 도출 개선계획수립 이행지원 인증심사지원 범위설정 자산분석 GAP분석 위험평가 대책선정 적용성 평가 구현 증적 관리 인증심사

V. 컨설팅의 활용 보안관리체계구축 및 인증대비를 위해 컨설팅업체를 활용할 경우 기업은 업체의 선정시 다양한 사항을 고려해야 하며, 기업자체적으로도 준비가 필요함. 컨설팅 선택 및 활용시 유의사항 컨설팅 회사 기업 기존의 취약성 분석 중심의 컨설팅과는 다른 패턴이 요구됨. 감사의 시각을 반영할 수 있어야 함. 위험관리의 경험이 풍부해야 함. 기업에 스스로의 힘을 길러줄 수 있어야 함. 지속적인 관계 컨설팅을 수행할 수 있어야 함. 시스템화 할 수 있는 능력이 필요함. 컨설팅회사에 모든 것을 맡기는 방식이 되어서는 안됨. 스스로 체계운영을 할 수 있어야 함 스스로 변경관리를 할 수 있어야 함. 인증을 위한 작업이 되어서는 안됨. 문서산출만의 작업이 되어서는 안됨.

VI. 시스템의 활용 보안관리체계의 효과적인 구축과 운영을 위해서는 시스템화가 중요함. 넷시큐어테크는 그동안의 다양한 컨설팅 경험을 활용하여 ‘정보보호관리체계 시스템’ 을 자체 개발하여 이러한 요구에 부응하고 있음.

VI. 시스템의 활용 보안관리체계의 효과적인 구축과 운영을 위해서는 시스템화가 중요함. 넷시큐어테크는 그동안의 다양한 컨설팅 경험을 활용하여 ‘정보보호관리체계 시스템’ 을 자체 개발하여 이러한 요구에 부응하고 있음.

VII. 맺는 말 인증을 정보보호체계구축 및 정착의 기회로 활용 정보보호체계구축 및 정착의 핵심요소는 인식 및 의지, 시스템화, 컨설팅 업체와의 효과적인 파트너쉽임. 인증의 요구와 관련하여 기업간의 Best Practice 및 성공사례의 공유기회를 활성화할 필요가 있슴. 인증만을 위한 준비는 수 많은 쓸모없는 문서만 양산함. 인증을 돈으로 획득하는 방식의 접근은 궁극적으로 고객과 컨설팅 업체 모두를 실패하게 함.

감사합니다! Q & A