9장 아웃소싱 보안구조 2005.10 신수정
Reference 신수정, 정보보호21 2002년 6월호 , IT아웃소싱 구조하에서의 보안체계 수립방안 Kim Hudges, Security Issues your company faces when storing data at an ASP, 2001 Malgorzata Pankowska, Outsourcing impact on security issues, 1998 CMU/SEI, Security for Information Technology Service Contracts, 1998 Richard Raysman, Network Security in outsourcing, 2002 Brad L. Peterson et al., Information Security in outsourcing agreement, 2002 ITAA, ITAA ASP SLA Guidelines, 2000 Eric Hansen, Internal SLA for Information Security, 2001 한국전산원, 정보시스템 운영을 위한 비용산출 방안에 관한 연구, 1999 ISACA, COBIT 3rd Edition Management Guidelines, 2000
1. Introduction 위험평가 People 보안전략/조직 정책/정보분류 보안기술 아키텍쳐 Process Data Application User System Network Physical Data Application User System Network Physical Process Technology 기밀성 무결성 가용성 Identification Authentication Authorization Administration Audit 보안관리 아키텍쳐 모니터링 사고대응 사업연속 인력보안 보안교육 외주보안 Validation/Audit/Measure/Certification Enterprise Architecture & IT Planning
2. 용어 아웃소싱이란: ‘기업의 하나 또는 그 이상의 기능들에 대해 외부 업체에게 책임을 맡기는 계약적 관계’ 2. 용어 아웃소싱이란: ‘기업의 하나 또는 그 이상의 기능들에 대해 외부 업체에게 책임을 맡기는 계약적 관계’ 계약자-아웃소서-서비스 제공자 분류: IT전체를 외부에 위탁하는 ‘전체 아웃소싱’과 데이터센터 운영 등의 특정부분을 위탁하는 ‘부분 아웃소싱’. 또한 유형에 따라 데이터센터, 네트워크 서비스, 응용시스템 유지보수 및 운영, 신규 응용시스템의 개발, 분산서비스, IT 기획 등으로 분류 계약자의 위치 계약자가 고객기업에 상주하면서 아웃소싱 업무를 수행하는 경우 계약자가 물리적으로 독립된 공간과 장비를 가지고 아웃소싱 업무를 수행하는 경우 계약자가 원격에서 고객기업의 내부자원을 관리하면서 아웃소싱 업무를 수행하는 경우
3. 위험
3. 위험
4. 구조 계약서/ SLA 기업 (고객) 계약자 (아웃소서) 요구제시 요건 제시 정책 제시 계약서 및 SLA 반영 4. 구조 계약서/ SLA 요구제시 요건 제시 정책 제시 계약서 및 SLA 반영 이행 및 보고 보안정책/지침 매핑 이행 자체 보안점검 결과 침해사고 결과 인력의 변동 결과 기업 (고객) 계약자 (아웃소서) 고지 및 승인 보안지침/절차 개정,이행 보안조직 구성의 변경 관리자 ID, 비밀번호 보안성 승인 주요 데이터 변경 평가 및 감사 ID, 비밀번호, 접근권한 AP 고객 원장 변경 로깅 내역 Security Test
4. 구조 1) 요구제시 - 기업은 계약자에게 계약자에 대한 보안요구사항을 명확하게 제시해야 한다. 4. 구조 1) 요구제시 - 기업은 계약자에게 계약자에 대한 보안요구사항을 명확하게 제시해야 한다. - 이러한 보안요구사항의 많은 부분은 보안정책의 형태로 제시된다. 이 때 기업은 계약자에게 지켜야 할 보안정책을 명확히 제시하고 이에 따라 계약자가 자체적인 보안정책과의 GAP을 파악하고 기업의 보안정책을 받아들일 수 있는지 확인해야 한다. - 기업은 계약자에 상위레벨의 보안정책을 제시하며 계약자는 이를 이행하기 위한 세부 지침과 절차를 제시할 필요가 있다. - 기업의 보안 요구사항들은 계약자와의 합의하에 계약서에 명확히 반영되어야 한다. - 기업의 요구사항은 SLA의 형태로 제시될 필요가 있다. SLA에는 제공될 서비스의 범위, 서비스의 품질의 레벨, 서비스에 대한 평가항목, 기준미달시의 조치사항 등이 포함되어야 하며, 제공된 서비스에 대한 성과 측정에 대한 적절한 방법이 상호 협의되어 한다. - 보안관련 항목에 관한 상호 책임사항이 명확히 정의되어야 한다. 2) 이행 및 보고 - 계약자는 합의된 고객 기업의 보안정책을 준용하기 위한 세부 지침과 절차를 개발한다. - 계약자는 계약서 및 SLA의 제시된 내용을 이행한다. - 이행의 증거 및 제공된 서비스에 대한 성과는 주기적으로 기업에 보고되어야 한다. 이를 위해 보고내용, 보고서의 양식, 보고의 주기, 방법에 대해 상호합의가 있어야 한다. 3) 고지 및 승인 - 계약자는 계약자의 임의대로 보안정책을 개정하거나 보안대책을 변경할 수 없다. 이 경우 기업의 승인이 필요하다. 그러므로 기업과 계약자간의 승인항목이 정의되어야 하고 계약자는 이 절차를 따라 승인관리 및 변경관리를 수행해야 한다. 또한 기업도 계약자에게 영향을 미칠 수 있는 보안관련 항목에 대해서는 적절하게 고지를 할 필요하다. - 일반적으로 고지 및 승인이 필요한 항목들은 보안정책/지침의 변경, 보안조직의 변경, 보안대책의 변경, 민감한 데이터의 변경 등이다. 4) 평가 및 감사 - 기업은 계약자의 보안관련 자체 위험 평가를 요청할 수 있고 이에 따라 정기적인 보고를 받을 필요가 있다. - 또한 기업은 주기적으로 자체 또는 제 3의 전문가 집단을 활용하여 계약자의 정보보호 상태를 감사할 필요가 있다.
5. 계약서와 SLA상의 보안 종합 계약 장비 및 설비 이전 인력 지적소유권 서비스 내역 감사 책임사항정의표 보안 서비스 스펙 . IT 아웃소싱 계약서와 SLA 의 기본구조 마스터 계약서 SLA 종합 계약 장비 및 설비 이전 인력 지적소유권 감사 보안 책임한도 분쟁 요금 등 서비스 내역 책임사항정의표 서비스 스펙 Metrics(수준정의) 기준 미달 시 조치 사항 보고체계 점수표 서비스 영역별 전산자원 목록
5. 계약서와 SLA상의 보안
5. 계약서와 SLA상의 보안