기업의 보안 아키텍쳐 수립 및 인증대비 중심의 컨설팅 방안

Slides:



Advertisements
Similar presentations
신진영 현지 조사 방법 및 보고서 작성법 제 7 강 - 자료 수집과 설문지 작성 -
Advertisements

1 Lect. 2 : Introduction II Are you ready to begin?
지지금 우리나라에서는 정보보안전문가가 약 500 명도 되지 않는다. 그그리고 지금 컴퓨터를 쓰지 않는 곳이 없다. 또, 농협 해킹 등 여러 가지 이유 등으로 유망하다.
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
 의  변화와  혁신  차세대  전략    
항공 예약 시스템 1 조 ( 김민철, 김영주, 이혜림, 장유정, 조윤주, 문하늘 ). 목차 차세대 전산시스템 도입의 필요성 현재 항공 시스템 ( 대한항공 ) 항공 시스템의 변화 미래항공 시스템.
ICT 기반 베이비붐 세대 창업 사업계획서 작성양식. 목차 1. 창업 동기 2. 지원 동기 3. 자체역량 분석 4. 시장 전망 5. 재무 분석 6. 창업자 및 경영진 준비하시는 사업 특성에 따라 목차 및 세부내용의 일부 변경 ( 추가 및 Skip) 은 가능합니다.
대표자명 / 연락처 / 이메일 ( 기 창업인 경우 회사 명칭 ) 지원하려는 사업 명칭 사업계획서 작성양식.
HRD 목표 HRD 전략 HRD 실행과제 HRD 실행계획 Human Centered Process/SystemDevelopment 체계적 육성과 지속적 관리를 통한 인적가치 극대화 소통과 신뢰 투명하고 공정한 인간중심 문화 HRD ERP 구축 성과 역량.
국내 조사 산업의 현황 장 재 섭 ACNielsen Korea.
KPC 자격 강원지역센터 사업계획서 OO. OO. 제안사 명칭.
나무커뮤니케이션 전략팀 최준우 팀장 Tel : H
QPR 솔루션을 이용한 전략경영 시스템 구축 주식회사 임팩트라인.
Secure Coding 이학성.
신수정 정보보호관리체계 수립 방법 신수정
- 사업의 수익증대와 마케팅 자질 및 전문성 향상을 위하여 교육 Ⅱ. 환경분석 - 거시환경분석
밥 파이크의 창의적 교수법.
ISO/IEC Information technology – Security techniques
II. 전략기획 템플릿 (17) 과제 정의서 과제 정의서 과제명(No.) 전략 과제 명 과제성격 강화 보완 신규 과제 목표
5. 위험평가 신수정.
정보보호 관리체계 인증요구사항 및 컨설팅의 활용 넷시큐어테크놀로지 신수정 박사
ISO 실무교육 교재.
BPMS의 이해 (Business Process Management System)
(Software Process Improvement & Case)
무선인터넷 보안기술 컴퓨터공학부 조한별.
BSC 기법에 의한 성과지표설정방법 강사 : 오영환(달란트HR컨설팅 대표/경영학박사)
ISO 9001:2000 프로세스 접근방법의 이해와 적용 베스트경영컨설팅(BMC).
- Make Processes Manageable -
BPR 추진전략 및 사례 1.
품질경영(ISO/FDIS 9001:2008) 개정규격 핵심내용 설명
Mind Map - 교육 공학 영역 분반 04 소속 음악교육과 학번 이름 장미희.
ISO 14001: 2015 개정전.후 차이점 비교표 ■ ISO 개정표준의 조항 구조
KMS 구현 및 활용사례 경쟁력 강화를 위한 2002년 5월 28일(화) 김 연 홍 상무 / 기술사
1장. 데이터베이스 자료의 조직적 집합체_데이터베이스 시스템의 이해
‘2012년 정보화 사업 교육 버그추적시스템(BTS) 사용 절차 2012, 02.
Technology Strategy : An Evolutionary Process Perspective
제 10 장 의사결정이란 의사결정은 선택이다.
Spring 프레임워크의 이해 1.Architecture.
정보기술 아키텍처의 구축에 관한 연구 장시영 (성균관대)
ERP의 구축방법과 장·단점 1조 김두환 김수철 가민경 김정원.
제 15 장 직무설계 15.1 노동인력관리 목적 최대의 성과 만족스러운 성과 의사결정 직무설계 충원수준 선발 훈련과 경력개발
9장 아웃소싱 보안구조 신수정.
3 지식경영을 위한 인사·조직시스템 설계 현선해·차동옥 교수(성균관대학교 경영학부).
‘BSC기반 전략실행전문가 과정’+’The 6 Boxes Model’
인터넷 은행의 역할 現 핀테크포럼 의장 페이게이트 대표 박소영.
Project Leader [DMAIC] : O O O.
Intranets : Connecting LANs to the Internet
-네트워크 관리 개요 및 SNMP 프로토콜 동작과정
CONTENT CONTENT BPR의 등 장 배 경 BPR의 정 의 BPR의 4 가지 근 간
판매 교육 발표자: [이름].
단계1 단계2 단계3 단계4 단계5 단계별 제목 상세내용1 상세내용
추가 개선 요청사항 ▣ 조치내역 항목 상세 입력 요망 (항목별 별도 시트 작성 후 첨부)
경영정보시스템(MIS) management information system.
소프트웨어 중심에 존재하는 복잡성 에 도전장을 내밀다
주요 패턴 (한)문화방송 14 HY울릉도M 13 [ Bottom-Up ] 휴먼새내기체 12 [ Top-Down ]
3장, 마케팅조사의 일번적 절차 마케팅 조사원론.
고객정보 및 내부정보 유출 대응 체계 인포섹㈜ 신수정 상무
음악 수업 & 수업 지도안.
제안 요약 프로젝트 범위 프로젝트 기간 수행 전략 ㈜인성교육의 정보화전략계획(ISP) 수립
창의적 공학 설계 < 사용자 중심의 공학설계 > : Creative Engineering Design
조직화란 조직의 목표를 최상의 방법으로 실현할 수 있도록 인적자원과 물적자원을 결합하는 과정
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
(Wed) Hyun Woong Nam.
< 대면평가 자료 작성요령 > 안녕하십니까! 창업진흥원 창업인프라팀입니다.
멀티미디어시스템 제 5 장. 멀티미디어 데이터베이스 개념 IT응용시스템공학과 김 형 진 교수.
PMBOK 9개 지식 영역 프로세스 요약 통합 범위 일정 원가 품질 인적자원 의사소통 위험 조달
6장 정보분류 신수정.
WISE DQ.
목 표 관 리.
Part 7 호텔 식음료 직원의 인적관리 Ch 01 호텔 식음료의 인사관리 Ch 02 호텔 식음료부서의 교육훈련.
Presentation transcript:

기업의 보안 아키텍쳐 수립 및 인증대비 중심의 컨설팅 방안 2002.9 신수정

I. 정보보호 관리의 현황 및 이슈 II. 정보보호 수준향상 전략 III. 컨설팅 방안 1. 정보보호에 대한 고민과 실수 기존 정보보호 컨설팅의 한계

1. 정보보호에 대한 고민과 실수(경영층) Budget Constraints Lack of Internal Policies 정말 위험한가? 끝이 없다. 진정한 로드맵은 무엇인가? 비용효과적 대책은? 명확한 성과와 진척은? 직원들이 과연 제대로 아는가? 항상 동일한 문제 9% 3% 4% 29% 6% 8% 8% 14% 9% 10% Budget Constraints Lack of Senior Management Support Lack of Employee Training / End-User Awareness Lack of Competent Infosecurity Personnel Lack of Internal Policies Lack of Centralized Authority Technical Complexity Unclear Responsibilities Lack of Good Security Products Other Source: information security magazine

1. 정보보호에 대한 고민과 실수(CIO) Access! Speed! Confidence & Control CIO BOARD BUSINESS UNITS NETWORK OPS SECURITY AUDIT EMPLOYEES CUSTOMERS SUPPLIERS PARTNERS REGULATORS ACCREDITORS INSURERS 1) In today’s hyper-connected world, enterprise security is a balancing act between: a) Opening up networks to ever greater access and speed and b) Ensuring that network resources are available, confidential data stays confidential, and systems and applications are trusted. 2) The drivers for opening up networks are unstoppable. Employees, customers, and partners are all demanding real-time access to information, products, and support. And they want it quickly and seamlessly. 3) At the same time, there is a growing recognition that our basic network infrastructure is insecure, and that the very openness that is our goal also leaves us incredibly vulnerable. How do we find the right balance?

1. 정보보호에 대한 고민과 실수 (보안담당자) 인력의 부족 보안영역이 사라짐 인식과 투자의 부족 해커는 항상 침투가능 전문성의 부족 프로세스의 부족 권한의 부족 보안영역이 사라짐 해커는 항상 침투가능 오늘의 안전이 내일을 보장하지 않음 사용자들은 복잡한 정책을 신경쓰지 않음 사고의 책임 경영층 및 내부 조직의 요구 고객의 요구 권한의 부족 책임의 증가

2. 기존 정보보호 컨설팅의 한계 컨설팅도 받았는데… 정보보호관리체계 수립 및 유지가 어려운 이유 Design Assess Deploy Design Manage Assess 프로세스 정착의 어려움 조직/책임/역할/권한의 불분명 및 협조체계 미흡 유익: 취약점 발굴, 보안인식 증대, 보안 시스템 도입 아쉬움 - 이행곤란, 보안시스템 도입중심 - 취약성 해결중심 - 보안업체에 대한 의존도 심화 - 유지관리 곤란 - 아키텍쳐 중심이 아님… 적절한 위험평가 기법의 적용부족 대부분 컨설팅의 접근법 기존 시스템 중심 취약성 분석 보안시스템 선정 및 배치 선진 지침/절차 제시 장기간의 유지보수와 변경관리활동 어려움. 주기적인 측정 부족.

I. 정보보호 관리의 현황 및 이슈 II. 정보보호 수준향상 전략 III. 컨설팅 방안 정보보호 발전과정 기업의 정보보호관리 수준모델 기업의 정보보호 프레임웍 정보보호 수준향상을 위한 핵심요소

The Third Wave: Institutionalization 1. 정보보호관리 발전과정 The Third Wave: Institutionalization Information security standardization International information security certification Cultivating an information security culture right throughout a company Implementing metrics to continuously and dynamically measure Information security aspects in a company The Second Wave: Management Internet, E-commerce Information security policy, organization Information security manager Corporate effort regarding information security The First Wave : Technical Mainframe-based Technical people responsible for information security Source: Sloms

2. 기업의 정보보호관리 수준모델 Level 5 Level 4 Optimized Level 3 Managed Level 2 2. 기업의 정보보호관리 수준모델 Level 5 Level 4 Optimized Level 3 Managed Level 2 Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modeling with other organizations. Defined Level 1 It is possible to monitor &measure compliance with procedures and to take action where processes appear not to be working effectively. Repeatable Level 0 Procedures have been standardized and documented, and communicated through training. Initial Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. Non -Existent The organization has recognized the issues exist and need to be addresses. No standardized processes Complete lack of any recogniz -able processes Source: COBIT

3. 기업의 정보보호 프레임웍 핵심요소 전략 및 정책 위험평가 아키텍쳐(청사진) 유지 관리 Design Assess 3. 기업의 정보보호 프레임웍 People Technology Process Protect Detect Respond/Recover 핵심요소 전략 및 정책 위험평가 아키텍쳐(청사진) 유지 관리 Deploy Design Manage Assess

4. 정보보호 수준향상을 위한 핵심요소– 위험평가 국내의 현실!!! 측정훈련부재, 업무위험파악곤란, 기업부재, 잘못된 평가방법 선택 대응방안 ??? - 위험관리 체계선택, 평가훈련, 지식축적, 위험추적 Only the right people get access at any time to the right information with the best possible performance and at the lowest possible cost

4. 정보보호 수준향상을 위한 핵심요소– 아키텍쳐 침입차단시스템을 비롯한 각종 보안 시스템도 구입했다. 그러면 다음에는 무엇을 해야 하나? 이것으로 보안이 된것인가? 도대체 보안을 한다는 것은 무엇인가? 전사적 정보보호 조직을 구성했으나 조직의 주요 활동방향에 대해 혼란이 있다. 조직의 활동은 보안시스템 도입과 운영이 초점인가? 주기적 취약성 분석과 이행이 초점인가? 도대체 정보보호조직이 중장기적으로 수행할 미션이 무엇인가? 컨설팅 회사의 도움으로 과거환경을 구축하고 대책을 수립했다. 그런데 새롭게 대형 시스템을 구축했다. 그러면 과거 컨설팅 회사에서 제시한 분석결과와 대책은 변화하는 환경에 무슨 도움이 되는가? 기존의 보안은 대부분 네트웍 중심이고 인프라 중심이다. 실제 보안의 핵심이 어플리케이션과 데이타라면 개발과정가운데서의 보안이 핵심인데 이 가운데서의 보안체계는 무엇인가? 우리는 대규모 조직이라 별도의 정보보호조직이 존재한다. 그럼에도 불구하고 정보보호조직이 모든 부서의 정보보호 활동을 관찰하고 설계할 수 없다. 결국 각 부서별, 프로젝트별로 보안 설계과 구성이 된다. 결과적으로 각기 다른 방식으로 보안이 이행되고 시간이 지난후 도입된 정보보호 대책들은 일관성이 없다. 미시적, 국소적, 상향식, 분석중심 아키텍쳐의 부족은 기업내 일관성이 없고, 비효율적이며, 연결되지 않는 파상적인 보안구현을 가져옴. 영역간의 정책, 표준 등이 불일치함에 따라 조직으로 하여금 보안취약성을 가져오게 함. 보안정책, 절차 및 정책을 수행할 능력을 제한하게 됨 거시적, 통합적, 하향식, 설계중심: 아키텍쳐 중심 임기응변식이 아닌 원칙과 방향을 가진 체계

Security Architecture Enterprise Architecture Security Architecture 4. 정보보호 수준향상을 위한 핵심요소– 아키텍쳐 정보보호요구사항을 만족시키고 보안정책을 실현시키는 기술, 관리 프레임웍/청사진 정보보호목적을 이루기 위한 기업의 보안원칙, 기능, 요소, 메커니즘, 프로세스, 표준의 체계 조직내 통일되고 일관성있는 보안의 의사소통의 도구 Security Architecture Enterprise Architecture Security Architecture People Process Technology Mission Objective Strategy Security Policy Security Requirement System Eng Process Principles Fundamental Concepts Functions Component & security mechanisms Standard, Guideline Security Architecture

Enterprise Architecture & IT Planning 4. 정보보호 수준향상을 위한 핵심요소– 아키텍쳐 People Principle 변화하는 요구 대응 통합된 보안서비스 제시 플랫폼 독립적으로 일관된 체계 사용성 최대화, 미래 변경 최소화 보안레벨의 적정화 보안전략 정책, 절차 보안기술 프레임웍 Data Application User System Network Physical 성과측정 사고대응 사업연속 인력보안 보안교육 감사/인증 보안관리 프레임웍 Enterprise Architecture & IT Planning Process Technology

4. 정보보호 수준향상을 위한 핵심요소– 유지관리 특성 평가와 설계는 순간이지만 이행과 유지관리는 연속임. 정착이전 까지는 지속적인 트래킹이 필요 추진요인이 부족한 경우 원 상태로 돌아가기 쉬움 초기에는 경영층의 강력한 보고, 감사 필요 Design CSF 구체적이고 실제적이며 단계적 방안 측정과 감사 인증준비 및 획득 - 시스템화 - 보안회사와의 지속적인 파트너쉽 Assess Deploy Manage

4. 정보보호 수준향상을 위한 핵심요소– 유지관리 인증 Pros 정보보호체계수립 및 유지의 강력한 추진요인 자체적인 정보보호체계의 적합성 검증 국내외적인 대세 Cons 전시행정 인증따로 실행따로 과정보다는 결과에 초점 BS7799 세부통제사항 정보보호 관리과정 문서화 정보통신부 민간인증(TRUSECURE 등)

4. 정보보호 수준향상을 위한 핵심요소– 유지관리 인증 정보보호 관리 과정 정보보호 대책 정보보호정책 정보보호조직 외부자 보안 업무 연속성 관리 정보자산분류 정보보호 교육 및 훈련 인적 물리적 시스템 개발 암호 통제 접근 운영 관리 전자 거래 사고 검토, 모니 터링, 감사 범위설정 및 정보자산식별 정보보호 정책 및 조직 구현 및 운영 사후관리 위험관리 출처: 정보통신부 인증기준

I. 정보보호 관리의 현황 및 이슈 II. 정보보호 수준향상 전략 III. 컨설팅 방안 설계중심의 컨설팅 유지관리중심의 컨설팅 인증대비 중심의 컨설팅 결론

Enterprise Architecture & IT Planning 1. 설계 중심의 컨설팅 People Technology 보안전략 정책, 절차 보안기술 프레임웍 Data Application User System Network Physical 성과측정 사고대응 사업연속 인력보안 보안교육 감사/인증 보안관리 프레임웍 Enterprise Architecture & IT Planning Process IT 보안환경 분석 To-Be 보안 모델 정의 보안 아키텍처 수립

2. 유지관리 중심의 컨설팅 People Process Technology Policy 보 안 정기 점 검 원격모의침투 보안교육 보안감사 정기방문 지원 보안관리시스템 제공

2. 유지관리 중심의 컨설팅

3. 인증대비 중심의 컨설팅 대응방안 관리체계 프레임웍 이해 및 대상선정 위험평가 스킴 채택 및 문서화 통제사항 선정 및 이행 관리과정 세부관리과정 체크리스트 적용여부 및 내용 적용대상 적용지침 적용증적 담당자 일시 1. 정보보호 정책 및 조직의 수립 정보보호정책의 수립 위험평가 스킴 채택 및 문서화 통제사항 선정 및 이행 보안 문서 체계의 정립 통제목적 통제사항 체크리스트 적용여부 및 내용 적용대상 적용지침 적용증적 담당자 일시 책임할당 및 규정화 책임할당 인증기준대비 적용사항 매트릭스 관리 필요 효과적인 증적 및 변경관리

3. 인증대비 중심의 컨설팅 위험평가 통제대책 인증 범위선정 선정 GAP 분석 이행지원 및 인증준비 개선계획 수립 위험평가 통제대책선정 교육 매트릭스 작성 인증 요구사항 분석 통제대책 선정 대상 조직 및 자산분석 인증 범위 선정 GAP분석 이행지원 및 인증준비 개선사항 도출 개선계획 수립 이행 지원 인증 준비 개선계획수립 매트릭스 작성

4. 결론 A Culture of Security : 모든 레벨에 있는 직원들이 보안의 위험으로부터 기업을 4. 결론 A Culture of Security : 모든 레벨에 있는 직원들이 보안의 위험으로부터 기업을 보호하기 위한 필요를 인식하고 commit 하는 환경

Thank you