6장 정보분류 2005.9 신수정.

Slides:



Advertisements
Similar presentations
2016 년도 1 학기 정보보호관리체계 (ISMS) 인증 이 강 신
Advertisements

1 Lect. 2 : Introduction II Are you ready to begin?
도 경 화 제 3 장 접근통제. Copyright © 2008 Do.KH :: 도경화 :: 2 접근통제.. 다양한 보안기술이 발전한 이유.. 접근통제 목적, 필요성 …  책임추적성 - 시스템.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | HR Trend & Customer’s HR Issue address OracleDirect Sales Consulting Jan 2015 고객사.
PART
번역관련 자격증 소개 및 시험 대비 안내 정 윤 희.
Gale Database 국립중앙 도서관 2013년 10월 ㈜엔라이브미.
Chapter 2 정보시스템 아키텍처 (IS Architecture)
보안전문가의 요건과 관련 자격증 소개 정보 보안 개론 14장.
Seoul Jar Project SMVD | 양소은 | 정은지 Design P&R Assignment Concept Research.
DICOM Security 디지털정보융합학과 심영복.
1장 품질경영의 기본개념 ▶ 경영시스템 INPUT OUTPUT CUSTOMER VALUE ADDED ▶ 품질통제문제
인사조직 부분 컨설팅성공사례 ㅡ조직혁신(Organization Innovation) 컨설팅 사례연구ㅡ
4. 데이터 기능 유형.
전자정부 서비스 운영을 위한 SLA 적용 방안 남기찬 교수 서강대학교 아웃소싱연구센터 (
4. ITIL 개요 * ICT : Information & Communication Technology
Operating Systems Overview
Business Strategy & KMS in Financial Industry
5. 위험평가 신수정.
ISO 9000 : 2000 설명회 <목차> 1) ISO 9000 패밀리 개정에 관하여 2) 개정판의 특징
1. 정보보호 관리체계(ISMS) 이해.
‘CEO의 8가지 덕목’ 탁월한 리더의 공통점 ‘무엇을 하고 싶나’ 보다 ‘무엇을 해야 하나’ 를 물음
OWASP Mobile TOP 10 학번 : 이름 : 공 우 진 발표일 :
최 연식 ( ) EDMS를 활용한 EKP 구축 전략 2002년 09월 04일 성우시스템 주식회사 김 정훈 ( ) 최 연식 ( )
Internet 및 EC 관련 기술들.
설계를 위한 분석단계 사용자, 과업, 맥락.
한국 소비자 마음속에 차별적으로 브랜드 심는 방법과 사례 :
BPMS의 이해 (Business Process Management System)
AMS (Application Management Service) Requester 사용자 Manual Ver 1.3
☞ 기업혁신과 통합정보시스템 도입을 동시 수행하는 전사적 활동인 ERP에 대한 개념과 구축방법의 실무 습득
ISO 9001:2000 프로세스 접근방법의 이해와 적용 베스트경영컨설팅(BMC).
S18/S49 The VISUAL Quality System
차트와 SmartArt 슬라이드 작성하기 송종훈.
- Make Processes Manageable -
선진사 Benchmarking 결과보고 통합 ERP 구축 전담반.
BPR 추진전략 및 사례 1.
품질경영(ISO/FDIS 9001:2008) 개정규격 핵심내용 설명
제2장 기업 전략과 마케팅 전략.
제 3 장 품질 경영.
목 차 PGP S/MIME. 전자우편 보안 Security 목 차 PGP S/MIME.
Cognitive radio Either a network or a wireless node changes its transmission or reception parameters to communicate efficiently avoiding interference with.
KMS 구현 및 활용사례 경쟁력 강화를 위한 2002년 5월 28일(화) 김 연 홍 상무 / 기술사
제 1 장 소 개 시스템 분석 및 설계 허철회 2006학년도 2학기 상주대학교 컴퓨터공학과.
3. 위험관리.
제11장 정보전략계획과 정보시스템계획.
OSI 모델 OSI 모델의 개념과 필요성 OSI 모델의 데이터 전송 과정 OSI 모델 7계층 한빛미디어(주)
ERP 시스템의 구축 ERP 시스템의 구축 기업이 ERP 시스템의 도입을 검토하는 단계에서부터 실제 업무에 적용하고 사후관리에 들어가는 단계에 이르기까지 시스템을 효과적으로 사용하기 위해 필요한 모든 활동.
Strictly Confidential
The Pay System Techno MBA과정 박 시 연.
9장 아웃소싱 보안구조 신수정.
‘BSC기반 전략실행전문가 과정’+’The 6 Boxes Model’
ITIL 정리.
시스템 분석 및 설계 글로컬 IT 학과 김정기.
Chapter 1 개요.
Outsourcing도입전략방식의 연구
과정 정리 오 세 종.
2. 고객(시장)의 요구변화 및 이슈-(3) 정보유출위협에 대한 대응
10장 OSI 7 Layer 강원도립대학교 정보통신개론.
PI 추진 시 Change Agent의 역할.
농원 사업계획서.
Chapter 1 개요.
(Source: G.T.Milkovich and J.M.Newman, Compensation 7th ed, 2002.)
Convergence Security 융합보안학과 17학번 이재승.
The R&D Boundaries of the Firm: An Empirical Analysis
Bizforms PowerPoint 파워포인트배경(혼합도시배경,건설업) 원본 PPT 바로가기 >
기업경쟁력 강화를 위한 직원 역량개발과 육성전략
중간고사 기출문제.
기술경영학 박사과정 곽규태 사회학과 석사과정 권애정
다국어 번역채팅 “헬로챗” 서비스 소개서 NOTICE : Proprietary and Confidential
Presentation transcript:

6장 정보분류 2005.9 신수정

Reference Information Security Architecture – Tudor 2, 4장 Security Architecture – King 3장 Information Classification and Access control Plan ISO 13335

1. Introduction 위험평가 People 보안전략/조직 정책/정보분류 보안기술 아키텍쳐 Process Data Application User System Network Physical Data Application User System Network Physical Process Technology 기밀성 무결성 가용성 Identification Authentication Authorization Administration Audit 보안관리 아키텍쳐 모니터링 사고대응 사업연속 인력보안 보안교육 외주보안 Validation/Audit/Measure/Certification Enterprise Architecture & IT Planning

2. Classification의 목적 - Classification 의 기본적인 목적은 자산들을 그룹핑하여 적절한 Class로 할당하는 것임 - Class를 정의함으로써, 기업은 그 자산을 어떻게 취급(보호)할지에 대해 알게됨 - 분류는 보호에 대한 사용자의 인식을 상승시킴 - 조직의 위험에 대한 민감도 정의 - 데이터의 분류 및 위반시의 결과에 대한 정의 조직의 정보보호정책 정보분류 및 접근제어 정책

3. Classification Methodology - C, I, A 중 어느 기준으로 할 것 인가? - I-> A-> C ? 몇 가지 원칙 자원을 분류하기 위해서 risk-based approach를 고려하라 직원들로 하여금 그들 스스로 무엇을 보호할지 할도록 하는 방법을 사용하라. 이를 위해서 사용자들로 분류 과정에 참여할 수 있도록 하라 가능함 단순하게 하고, 분류레벨도 최소화하라.

Application/ Data Name, Date, Owner, Application User Group 4. Risk-Based Approach Application/ Data Name, Date, Owner, Application User Group 목적 Impact 질문 체크 Confidentiality High 유출시에 기업, 고객, 종업원에게 손상을 줄 민감한 데이타인가? 급여데이타, 임원메일, 법적정보, 마케팅 전략, 개발 및 특허 정보등이 이 영역에 포함됨. 누출시 개인의 프라이버시를 손상시키는가? 누출시 기업의 경쟁력을 감소시키는가? 누출시 기업에 손상을 주는가? 이 정보는 기업의 전략, R&D의 방향, 기술의 발전 등에 대한 정보에 포함되는가? Medium 특정부서의 종업원들만의 사용을 위한 정보인가? 외부부서나 조직외부에 누출시 기업에 부정적인 영향을 초래하는가? 조직의 정책, 표준, 절차, 운영보고서, 내부 공지사항, 벤더 가격, 고객의 정보들에 속하는가? Low 공개가능한 정보이며, 공개시 사업적/법적 고려를 필요로 하지 않는 정보인가? 공적공지사항, 특별한 문제가 없는 내부의 의사소통등을 포함하는가? 웹사이트나 마케팅 material me을 통해 공개적으로 가용한 정보인가?

4. Risk-Based Approach 목적 Impact 질문 체크 2. Integrity High 이 애플리케이션으로부터의 정보/output에 근거하여 핵심적인 사업결정이 이루어지는가? 데이터의 에러는 다른 연계된 시스템에 전파되는가? 손상된 데이터는 매출, 고객서비스, 운영에 심각한 영향을 미치는가? 이 데이터에 대한 무결성문제는 실제 금전적 손실에 상당한 영향을 미치는가 ? 이 시스템/정보는 전역적으로 중요한가? 이 시스템에 대한 변경은 자주 일어나며 이 시스템과 연관된 정보의 사용은 상당히 증가하며 점점 중요해지는가? 이 시스템은 여러 다른 시스템들과 통합되어 있거나 다른 여러 플랫폼과 인터페이스가 이루어지는가? 이 정보/시스템에 대한 확인과 백업이 거의없고 문서화도 거의 존재하지 않는가? Medium 대부분의 데이터 요소가 확인되고 소스문서 또는 다른 애플리케이션시스템과 비교되는가? 데이터 에러가 다른 시스템을 파손시킬 확률이 보통인가? 기업의 의사결정이나 운영이 이 정보에 의존하는가? 이 데이터에 대한 무결성 문제가 금전적 손실에 영향을 미칠 수 있는가? 이 시스템/프로세스/애플리케이션은 몇몇 특정부서에만 한정되는가? 이 시스테은 자주 변경이 이루어지지 않으며, 이 시스템과 연관된 정보에 대한 사용은 보통인가? 이 시스템은 다른 몇몇의 시스템과만 통합되어있고 상대적으로 적은 인터페이스만 가지고 있는가? Low 여가의 데이터는 정보의 2차적 소스로 사용되고 신뢰성이 그다지 강하게 요구되지 않는가? 기업의 의사결정이나 운영이 이 애플리케이션의 정보에 그다지 의존하지 않는가? 무결성 문제가 금전적 손실에 거의 영향을 미치지 않는가? 이 시스템은 stand-alone이며 단일한 부서에만 사용되는가? 이시스템은 상대적으로 안정적이고 변경이 거의 없는가?

4. Risk-Based Approach 목적 Impact 질문 체크 3. Availability High 기업의 주요한 사업기능을 수행하기 위해 데이터가 매일 요구되는가? 데이터가 가용하지 않을 경우 기업의 매출, 이익, 고객의 복지 등에 상당한 금전적 손실을 가져오는가? 시스템의 연속성에 대한 법적 요구가 존재하는가? 데이터가 가용하지 않을 경우 종업원의 생산성의 급격한 감소를 가져오는가? Medium 데이터가 가용하지 않을 경우 기업의 생산성 및 손실의 약간의 감소를 가져오는가? 가용성 문제발생시 직원들이 약간의 기간동안 수작업등으로 효율성 감소로서 작업을 지속할 수 있는가? Low 주요한 관련 기능을 수행하기 위해 즉각적인 데이터의 접근이 요구되지 않는가? 수작업이 어느 정도의 기간동안 작업을 지속하기 위해 수행될 수 있는가?

5. Application 설계시 classification 고려사항 영역 질문 비밀성 이 어플리케이션에서는 어떤 타입의 정보를 처리하는가? 누가 이 정보에 접근할 수 있고, 어디서 접근할 수 있는가? 위의 정보가 유출되거나 망실되었을 경우 어떠한 영향을 미치는가? 직접적 손실(비즈니스, 벌금, 소송), 간접적 손실(경쟁력 손실)등을 포함한 잠재적 재무 영향은? 정보누설로 인한 신뢰(reputation)의 손실은? 정보 누설에 따른 법적, 계약적, 규정적 제한 불법적인 누설을 통해 고객이나 경쟁자가 얼마만큼의 불공정한 이익을 얻을 수 있나? 데이터의 프라이버시 어떠한 개인정보가 이 어플리케이션을 통해 수집되는가? 이 정보가 내부적으로 사용되는가? 또는 제 3자에게 가용하도록 하는가? 어떠한 정보가 수집되고 어떻게 사용되는지 사용자에게 공지할것인가? 무결성 이 어플리케이션에 대해 사용자는 어떠한 작업을 수행할 수 있는가?(읽기, 업데이트) 데이터가 수정되거나, 잘못되거나, 삭제될 경우 비즈니스에 어떤 영향을 미치는가? 이 시스템의 부정확한 정보가 어느 정도로 운영에 영향을 미치는가? 정보의 부정확이 공개되었을 경우 기업의 신뢰에 어느 정도 영향을 미치는가? 정보에 대한 불법적인 수정이 어느정도 사기(fraud)의 문제를 야기하는가? 정보에 대한 불법적인 변조가 법적, 규정적, 계약성 의무를 어느정도나 해치게 되는가? 정보가 비즈니스 의사결정에 사용되는가? 정보가 기업의 공식적인 재무기록의 업데이트에 사용되는가? 다른 부서등과의 의존성은 어떠한가? 부인방지 아 시스템을 통한 트랜잭션이나 메시지의 송신의 책임을 부인할 경우의 우려사항은 무엇인가? 이 시스템을 통한 트랜잭션이나 메시지의 수신의 부인시의 우려사항은 무엇인가? 가용성 이 어플리케이션에 의해 공급되는 정보는 얼마나 시간-민감한가? 시스템 장애시에(분, 시, 일) 기업의 금전적인 손실은 얼마나 되는가? 만일 이 시스템이 가용하지 않을 경우 고객은 어떠한 종류의 잠재적 손실을 겪게 되는가? 이 어플리케이션의 부재시 사업은 얼마나 오랫동안 효율적으로 운영되나? 시스템 장애/정시시 고객의 견딤(tolerance)는 어느 정도 되는가?

DoD multi-level security policy 5. Level of Classification(예시 1) DoD multi-level security policy (4) Top Secret - applies to the most sensitive business information which is intended strictly for use within the organization. Unauthorized disclosure could seriously and adversely impact the company, stockholders, business partners, and/or its customers (3) Secret - Applies to less sensitive business information which is intended for use within a company. Unauthorized disclosure could adversely impact the company, its stockholders, its business partners, and/or its customers (2) Confidential - Applies to personal information which is intended for use within the company. Unauthorized disclosure could adversely impact the company and/or its employees (1) Unclassified - Applies to all other information which does not clearly fit into any of the above three classifications. Unauthorized disclosure isn’t expected to seriously or adversely impact the company

- unclassified, baseline 5. Level of Classification(예시 2) 분류레벨 정의 예 대책 Public (공개) - unclassified, baseline 공개적인 유출이 명시적으로 허가되어 있을 경우 공개 정보는 기사, 잡지, 홈페이지 등의 허가된 채널을 통해 공적으로 배포됨 마케팅, 광고 자료 기사자료 잡지, 신문의 기사 소매 가격정보 특별한 보호대책 불필요 2. Internal (내부) -employee use only 공적으로 유출을 위해 명시적으로 허가되지 않은 모든 내부 정부 데이터는 저장되는 포맷(전자적이던 문서던)에 관계없이 동일한 분류레벨을 받아야 하고, 보호레벨도 비슷해야 함 고객 리스트 재고 정보 벤더 가격정보 조직도 정보보호정책 전화도 훈련, 교육자료 이메일 시스템 상식적인 수준에서의 대책 부서별 제한을 가지는 특정정보외에는 라벨링은 불필요함. Clean-desk 정책, 서랍잠금 대책

5. Level of Classification(예시 2) 분류레벨 정의 예 대책 3. Confidential (비밀) 훼손, 유출의 경우 기업에 고객, 벤더, 직원 등에 적대적인 결과를 가져오는 정보 허가없이 외부로 누출되서는 안됨 보호 및 취급에 대한 요구사항은 internal보다 높음 공개되지 않는 기업의 금융보고서 내부 감사 보고서 자재 및 생산 비용자료 단기 비즈니스 계획 경쟁자분석 자료 내부 개발 소프코드 및 문서화 구매 계약서 분류된 정보에 대한 접근은 디폴트는 ‘none’ 접근은 지정된 job기능에 의해 선정된 직원에게만 한정됨 보고서, 스크린, 미디어 등은 명확하게 라벨링되어야 함. 폐기시에 완전히 지워지거나 파기되어야 함. 백업이 정의되고 분류에 따라 안전하게 보관되어야 함. 문서의 복사본은 기록되고 등록되어야 함. 분류에 대한 검토 및 승인이 정의된 정차에 의해 수행되어야 함. 이메일 등으로의 전송시에는 암호화함 정보에 대한 접근을 로그할수 있는 감사증적이 존재해야 함. 접근을 허가하기 전에 누출금지 서약을 맺어야 함. 4. Restricted (제한) 훼손, 유출의 경우 기업에 고객, 벤더, 직원 등에 심각한 재정적, 법적, 규제적, 평판의 적대적 결과를 가져오는 정보 접근전에는 ‘Need to know’ 확인 필요 이 데이터의 수령, 복사, 폐기는 모두 Accountability가 보장되어야 함. 고객의 오더에 대한 세부정부 기업의 급여정보 발표하지 않는 제품정보 중장기 전략 사업계획 부서의 재무정보 주요 위험을 명시한 보고서 보안조사 보고서 무역비밀 Root 패스워드 방화벽 구성 및 룰

6. Case Study

6. Case Study * 조별로 Case Study 에 대한 몇 가지 샘플을 적용해봄