6. 위험관리.

Presentation on theme: "6. 위험관리."— Presentation transcript:

1 6. 위험관리

2 1. 위험관리 전략 및 계획수립

3 위험이란? 위험(Risk) 원하지 않는 사건이 발생하여 영향(손실)을 미칠 가능성 자산, 위협, 취약성의 함수
risk = f(asset, threat, vulnerability) 위험의 크기 = 발생가능성 * 손실

4 위험관리 위험의 정의 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성 위험 = 발생가능성 × 손실의 정도
- 위험의 유형과 규모를 확인하기 위해서는 위험에 관련된 모든 요소들과 그들이 어떻게 위험의 규모에 영향을 미치는 지를 분석해 가장 합리적인 대책 결정 위험관리(Risk Management) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정 위험관리 과정 : 5단계로 구성 위험관리과정 : 전반적인과정 위험분석 : 위험을 식별하는 단계 위험평가 : 위험규모를 결정하는 단계 정보보호계획수립 : 새로이 필요한 대응책을 식별하는 단계 새로 취약성의 증가 위험관리 전략 및 계획수립 위험분석 위험평가 정보보호 대책수립 정보보호 계획수립 위험 공식 위험 = 발생가능성 × 손실의 정도 위험 = f (자산, 위협, 취약점) 함수 정의

5 위험관리의 정의 및 목적 위험관리(Risk Management)
위험을 평가하고 피해자가 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 마련하여 위험을 용인할 수 있는 수준으로 유지하는 것 위험의 측정과 관리를 통하여 다양한 위협요소들로부터 피해를 최소화하거나 막지 위함 조직 문화와 정보자산에 적절한 위험관리 전략과 계획을 수립하기 위해 위험을 분석하고 평가하여 대응이 필요한 위험과 운선순위를 결정 조직이나 기관의 자산을 보호하기 위하여 이에 대한 위험을 분석하고 비용/효과 측면에서 적절한 보호대책을 마련하고 이들을 구현할 계획을 수립함으써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정 우선순위에 따른 효율적 투자 체계적인 위험분석과정 없이 보호대책을 수립할 경우 보호대책 수립에 불필요하거나 과도한 투자 발생 보호대책의 수립에도 불구하고 위협에 대처하지 못하는 경우 발생 즉 적절한 수준의 보호대책을 필요한 곳에 마련하기 위함

6 위험관리의 구분 정보보호 정책을 바탕으로 각 조직에 적합한 전반적인 위험관리 전략의 결정
위험분석 활동의 결과 혹은 기본 통제에 따른 개별 IT 시스템에 대한 대책의 선택 보안 권고에 의거한 IT 시스템 보안 정책의 정형화, 조직의 정보보호 정책 승인된 IT시스템 보안 정책을 토대로 하여 대책을 구현하기 위한 IT 보안 계획의 수립

7 위험관리 위험관리의 필요성 정보시스템에 관련된 투자가 대형화되고 관련된 자산의 특성 및 취약점, 각종 위협의 형태와 대책들이 지속적으로 변화 위험관리 과정을 조직 관리 과정의 일부로 정착시키는 것이 더욱 중요해 지고 있음 불필요하거나 과도한 투자 발생 보호대책을 수립하였음에도 불구하고 위협에 대처하지 못하는 경우 발생 위험수준을 지속적으로 유지하기 위해서는 지속적이고 반복적인 위험관리 필요 새로 취약성의 증가 초기의 위험분석은 화재, 사고 등의 물리적 위협에 적용되어 위협의 발생 가능성에 따른 잠재적인 손실 계산 보험산업에서 이러한 분석 방법을 채택하여 위험의 개념을 정립하였고 이 개념이 정보처리 분야 적용 초창기 최근에는 이러한 위험분석이 각종의 분야에 적용되어 재무위험, 사업위험, 감사위험 등을 평가하는데 사용 현 재

8 위험관리 계획 위험분석 통제되거나 받아들여질 필요가 있는 위험을 확인하는 것 자산 가치평가, 위협, 취약성을 포함
모든 시스템에 대한 간단한 초기분석을 통해 불필요한 시간과 자원의 투자없이 실행할 수 있음 위험평가 위험평가의 목적은 적절하고 정당한 보안대책을 선정하고 식별하기 위하여 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한것 위험은 위험에 처한 자산, 잠재적이고 불리한 업무 충격을 유발하기 위해 발생하는 위협 가능성, 식별된 위협으로 인한 취약성의 용이한 사용 및 위험을 감소시키는 기존의 혹은 계획된 어떤 대책에 따른 새로운 위협 가능성 등을 포함 대책선정 허용가능한 수준으로 평가된 위험을 줄이기 위해 적절하고 정당한 대책을 식별 및 선정 대책을 위협을 방지하고 취약성을 감소시키고 원치않는 사고의 감지 및 충격을 제한하고 복구를 촉진하는 실행, 절차, 메커니즘임 일반적으로 효과적인 보안에는 자산에 대한 보안계층을 제공하는 다양한 대책의 조합이 요구됨

9 위험관리계획 구축 위험관리 방법 및 절차에 따라 위험관리 대상, 위험관리 수행인력 등이 포함된 위험관리 계획을 매년 수립하고 이행하여야 한다. 조직의 목표 및 정책, 법적 요구사항등을 고려하여 조직, 역할, 책임, 주요과정을 포함한 위험관리 전략 및 계획을 수립 위험관리를 수행할 조직을 지정하고 관련된 각 조직의 역할과 책임, 기본적인 절차 등을 문서화 해야 한다. 조직에는 전담조직 뿐만 아니라 관련 대상 부서의 책임자가 당연히 포함되어야 하며 필요한 경우 외부 전문가가 포함될 수 있다. 조직의 정보자산 변화 및 정보보호 환경의 변화에 따라 조직의 위험 수준이 변동될 수 있기 때문에 위험관리는 주기적으로 수행하는 것이 가장 효과적이다.

10 위험관리 절차 대책선정 위험분석 자산평가 정보보호 위험관리 주기적 재검토 정보보호대책 계획 정보보호대책 구현

11 정보보호 관련 위협 위협의 종류 포괄적 정보보호 위협
가로채기(Interception) : 비인가된 사용자, 공격자가 전송 중인 정보를 몰래 열람하거나 도청하는 행위로 정보의 기밀성 보장을 위협 위조(Fabrication) : 마치 다른 송신자로부터 정보가 수신된 것처럼 꾸미는 것으로 시스템에 불법 접근 후 저장 정보를 변경하여 정보를 속이는 행위로 무결성 보장을 위협 변조(Modification) : 시스템에 불법적으로 접근하여 데이터를 다른 내용으로 바꾸는 행위로 정보의 무결성 보장을 위협 차단(Interruption) : 정보의 송수신을 원활하게 유통하지 못하도록 막는 행위로 정보의 흐름을 차단하고 정보의 가용성 보장을 위협 포괄적 정보보호 위협 구분 소분류 내용 사람과 관련한 위협(인위적 위협) 의도적인 위협 도청, 절도, 해킹, 악성코드, 비인가된 사용, 사용자 위장 등 비의도적인 의협(우연한 사고) 작업자의 실수로 인한 파일 삭제, 하드웨어 고장, 컴퓨터 오류 등 환경적 위협 지진, 폭풍, 화재, 전자기 오류

12 2. 위험분석 방법론

13 정보보호대책(Safeguard, Countermeasure)
위험분석 위험관리 부분에서 가장 중요한 역할을 하는 부분으로 정보시스템과 그 자산의 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 다양한 위협에 대해서 정보시스템의 취약성을 인식하고 이로 인해서 인식할 수 있는 예상 손실을 분석 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류해야하며, 이 정보 자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별, 분석 구성요소 위험 자산(Asset) 위협(Threats) 취약점(Vulnerability) 정보보호대책(Safeguard, Countermeasure) 사례 30년에 한번씩 지진이 발생한다는 통계자료가 있다면 위험에 대한 취약점이 존재한다고 볼 수 있다. 이 경우에 피해액이 약 30억이라 하고 이 위험이 연간으로 발생한다면 발생확률은 1/3이고 이때 피해액은 30억이므로 잠재적인 피해액은 연간 1억이다. 그렇다면 연간 1억의 범위내에서 지진에 대비해 어떻게 대응할 것인지를 결정한다. 12

14 위험분석 위험의 구성요소 자산(Asset) : 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인적, 물적 또는 유형 등의 무형자산 포함(정보자산, 인력자산, 물적자산, 소프트웨어 자산, 종이자산, 서비스자산, 이미지나 브랜드에 대한 평판 등으로 구분) 위험분석을 위해 자산에 관하여 파악할 것은 보안사고 발생시 나타나는 손실(Loss)-사고시 미칠수 있는 영향의 규모를 파악, 즉 자산의 파괴, 기밀성, 무결성, 가용성의 손상 또는 조직의 이미지 실추와 같은 것들이 포함. 이러한 손실을 양적으로 측정할 수 있다면 보안사고로 인한 손실과 손실을 완화하는 보호대책의 비용간에 균형을 맞출 수 있고 방법에 따라서는 이 손실을 영향, 결과 등으로 표현하기도 함 일반적으로 어떤 사건이 발생했을 때 손실의 규모는 파악하기가 매우 어렵기때문에 해당 자산이 회사에 대해 갖는 가치를 우선 평가하고 이 가치가 특정 위협 사건에 의해 손상되는 정도를 취약성으로 파악하여 적용하며, 이 가치는 구체적인 금액으로나 손상시 발생하는 피해의 정도로 표현될 수 있음 자산에 관련된 비용으로는 구매비용, 복구비용, 기회비용 등 여러가지가 있으나 자산에 따라 이들 비용외에도 사고에 따른 법적보상책임이 발생하여 비용이 더 높아지는 경우도 있음 자산의 가치산정을 정확하게 하기는 매우 어려우나 이러한 측면을 모두 고려하고 단기적 손실과 장기적 영향을 포함하여 자산의 중요도 또는 사고 발생시 미칠수 있는 영향의 규모를 파악하는 것이 필요함 새로 취약성의 증가

15 위험분석 위험의 구성요소 위협(Threats) : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인(source)이나 행위자(agent)로서 자연재해나 장비고장의 환경적 요인에 의한 것과 인간에 의한 것으로 나눌 수 있고 인간에 의한 위협은 다시 의도적인 위협과 우연한 위협으로 구분 위협과 관련하여 파악해야 할 속성은 발생가능성(연간발생 가능횟수 또는 발생정도로 표현)이며 이것은 연간 발생횟수 또는 발생정도로 표현 위험분석 방법론마다 다양한 위협의 목록을 제시하고 있으나 어느 것도 완벽한 목록은 없으며, 수많은 위협이 존재하기 때문에 일반적으로 많이 발생하는 위협을 중심으로 담당자 및 책임자가 특히 우려하는 위협을 추가적으로 고려하는 것이 좋음 위협이 발생했다고 해서 반드시 피해가 발생하는 것은 아니며, 자산이 그 위협에 취약한지, 그리고 그 취약성을 보호할 대책이 있는지에 따라 결과는 달라짐 위협의 발생가능성(외부에서의 공격 시도)과 위협의 성공가능성(홈페이지 변조)은 다를 수 있음에 유의하여야 함 위험분석 방법에 따라서 위협의 외부적인 발생 가능성을 평가하여 이용하는 경우도 있고 위협이 성공할 가능성을 평가하는 경우도 있기 때문에 이 두 값은 다를 수 있으므로 위험분석 방법을 주의깊게 이해하여 어떤 가능성을 평가하는지를 확인해야 함 새로 취약성의 증가

16 위험분석 위험의 구성요소 취약성(Vulnerability) : 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의하나, 또는 정보보호 대책의 미비로도 정의. 자산에 취약성이 없다면 위협이 발생해도 손실이 나타나지 않는다는 점에서 취약성은 자산과 위협사이의 관계를 맺어주는 특성으로 파악할 수 있음 자산과 위협간에 어느정도 관계가 있는지 즉, 특정 위협이 발생할 때 특정 자산에 자산의 가치와 관련하여 어느 정도의 피해가 발생할지를 취약성, 노출정도 또는 효과 라는 값으로 나타냄. 이러한 관계를 나타내는 값이 없다면 특정 위협의 발생은 이에 취약한 특정 자산의 전면적 피해, 즉 자산가치 전액의 완전한 손실로 파악될 것이므로 이러한 가정은 현실적이지 않아서 위협이 자산에 영향을 미칠 가능성을 취약성 값 또는 정도로 표현 취약성 역시 완전한 목록은 없으며 위협도 일부 그러한 측면이 있지만 취약성은 때로 위협과 위험과의 구분이 모호한 경우도 있음 예를 들어 어떤 위험분석 방법론의 취약성 목록에는 직원부재, 인력부족, 부정확하거나 부적절한 유지보수 계획과 같은 것들이 포함되는데 이는 다른 경우에는 위협이나 위험을 묘사하는데 사용되기도 함. 이러한 문제점을 해결하기 위해 최근의 위험분석 도구나 방법론에서는 위협과 취약성을 결합한 ‘우려(Concern)’라는 개념을 사용하기도 함. 우려는 ‘어떤 위협이 어떤 취약성에 작용하여 어떤 피해를 발생시킬 가능성’으로 표현되며 위험의 유형이라고 볼 수 있고 이러한 피해의 가능성이 자산의 가치에 적용되면 그것이 위험의 규모로 표현함. 새로 취약성의 증가

17 위험분석 위험의 구성요소 정보보호대책(Safeguard, Countermeasure) : 위협에 대응하여 자산을 보호하기 위한 관리적,물리적, 기술적 대책으로 정의(이러한 대책에는 방화벽 침입탐지, 디도스 등 제품과 절차, 정책, 교육 등의 모든 통제(control)가 포함) 어떤 위험분석 방법은 보호대책이 자산의 취약성에만 영향을 미치는 것으로 판단하기도 하는데 일반적으로 보호대책은 다양한 측면에서 역할을 함. 패치 프로그램이나 항온항습기처럼 취약성을 보호하기도 하고 감사나 침입탐지 시스템처럼 사고를 발견하도록 하거나, 침해사고 대응체계 구축처럼 침해사고의 영향을 줄이기도 하고, 백업처럼 복구를 지원하기도 하며, 교육이나 훈련처럼 위협의 발생자체를 억제하기도 함. 보호대책을 선택할 때는 조직의 환경과 문화에 맞는 것은 선택하는 것이 중요하며, 그 비용을 산정할 때는 구축비용뿐만 아니라 운영에 따른 관리비용을 반드시 고려해야 함 보호대책과 관련하여 파악해야 할 특성으로는 보호대책의 효과가 있음. 잔여위험(Residual Risk) : 대책을 구현한 후 남아 있는 위험 새로 취약성의 증가

18 위험분석 ※ 위협과 취약성의 차이 감기바이러스는 어디에나 존재하지만 감기에 걸리는 사람이 있고 안걸리는 사람이 있다. 그것은 그 사람의 건강상태에 의해서 결정된다. 마찬가지로 위협(감기 바이러스)은 어디에나 있지만 취약성(건강상태)여부 및 정도에 따라 위험(감기에 걸리는 상태)으로 바뀌어 지는지의 여부가 결정된다.

19 위험분석 위험 위험 구성요소들과의 관계 위협 자산 보안요구사항 가치 (사업영향) 보안대책 취약점
위협은 취약점을 공격하여 이용하게 되며 취약점은 자산을 노출시킴 자산은 가치를 보유하는데 이러한 위협, 취약점, 자산 가치는 모두 위험을 증가시킴 위험을 파악함으로써 보안 요구사항을 파악할 수 있고 보안 요구사항을 만족시키는 정보보호대책을 선정하여 구현함으로써 위협을 방어할 수 있음 정보보호대책은 위협을 방어함으로써 위험을 감소시킴 새로 취약성의 증가 위협 자산 보안요구사항 가치 (사업영향) 보안대책 취약점 위험 공격 노출 보유 충족 방어대상 증가 현시

20 위험관리 위험관리 세부과정 위험관리 세부과정 위험관리 흐름 5.정보보호 계획수립 2.위험분석 3.위험평가 4.정보보호 대책수립
전략과 계획 수립 위험 구성요소 분석 위험 평가 정보보호대책 선정 구현계획 수립 위험관리 세부과정 >> 위험관리 흐름 1.위험관리 전략 및 계획수립 5.정보보호 계획수립 Risk Management 2.위험분석 3.위험평가 4.정보보호 대책수립

21 위험분석 방법론 정보기술 보안관리를 위한 국제 표준 지침인 ISO/IEC13335-1에서는 위험분석 전략을 크게 4가지로 나눔
베이스라인접근법 (Baseline Approach) 비정형접근법(Informal Approach) 상세위험분석(Detailed Risk Analysis) 복합접근법(Combined Approach)

22 위험분석 접근법 기준선 접근법(Baseline Approach)
위험분석을 수행하지 않고 모든 시스템에 대하여 표준화된 보안대책을 구현한다. 체크리스트 형태로 제공되는 보안대책이 현재 구현되어 있는지를 조사하여 구현되지 않은 보안대책을 식별해내는 방법 보안관리를 수행하기 어려운 소규모 조직이나 대규모 조직에 중요하지 않은 일반자산에 대하여 사용하는 접근법 조직의 보안정책을 참조하여 세부통제사항을 작성한다. 공공기관의 경우 정부부처 및 공공기관에서 요구하는 보안요구사항을 참조하여 반영한다. ISO, KICS등 국내ㆍ외 표준을 참조하여 반영한다. 외국의 보안컨설팅 기관에서 작성한 기본통제를 참조한다. 정보감리 등을 통하여 얻은 결과를 반영한다. 장 점 위험분석을 위한 자원이 필요하지 않고 보호대책 선택에 들어가는 시간과 노력이 줄어든다. 단 점 조직의 자산변동이나 새로운 위협과 취약성의 발생 등 보안환경변화를 적절히 반영하지 못한다. 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 구현되는 경향이 있다. 기본적인 보호대책이 너무 높게 설정되었다면 어떤 시스템에 대해서는 비용이 너무 많이 들고, 너무 제한적이며, 만약 너무 낮게 설정되었다면 어떤 시스템에 대해서는 보안 결핍을 가져올 수 있다.

23 위험분석 접근법 세부적 접근법(상세위험분석Detailed Risk Analysis)
자산의 가치, 이 자산들에 대한 위협의 수준평가, 그리고 자산의 취약성 분석의 각 단계를 수행하여 위험을 분석한다. 조직의 자산 및 보안요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있는 방법 목록 작성 후 새로운 추가, 변경, 삭제 조치를 취함으로써 보안환경에 적절히 대처가 가능하다. 핵심자산에 대한 기술적 위험분석의 경우, 상세위험분석(자산, 중요도, 위협, 취약점)을 수행하는 것이 바람직하다. 장 점 각 시스템에 필요한 적절한 보안의 수준이 확인된다. 세부적인 위험 분석으로부터 얻은 추가적인 정보로 보안관련 변화의 관리는 이익을 얻는다 단 점 가시적인 결과를 얻기 위해 많은 시간, 노력, 그리고 전문성이 필요하다. 중요한 시스템의 보안 필요성이 너무 늦게 다루어질 가능성이 있다.

24 위험분석 접근법 세부적 접근법(상세위험분석Detailed Risk Analysis) 절차
자산분석단계 : 주요자산을 유형별로 분류하고 목록화한다. 작성된 목록에 의해 자산의 가치를 평가한다. 그자산에 대한 기밀성, 무결성, 가용성의 요구 정도를 평가한다. 자산목록을 얼마나 상세하게 할 것 인가. 그리고 그것을 어떻게 분류할 것인가는 상황에 따라 달라질 수 있으며 최종적으로 필요한 것은 어떠한 자산을 어떤 방법으로 어느 정도의 비용으로 보호해야 할 것인가를 결정하는 것임. 따라서 기밀성, 무결성, 가용성 요구사항이 달라지는 수준에서 그룹화하는 것이 좋다. 위협, 취약성 평가단계 : 발생가능한 위협을 목록화하고 발생 가능성을 예측한다. 또한 위협에 대한 취약성을 자산 별로 확인하여 그 정도를 결정한다. 가능한 위협을 누락하지 않아야 한다는 것이 중요한 사항이다(모든 발생가능성과 취약성을 평가하는 것은 불가능하기 때문에 파악된 위협에 대해 자산별로 취약성을 평가하거나 인증심사기준과 같은 표준적인 대책 목록에 대해 구현여부를 확인한 후 구현되지 않은 대책의 영향을 파악하기도 함). 정보시스템의 사용자와 관리자가 사업에 관련된 자산의 특성과 위험을 이해하는 좋은 기회가 될 수 있음 정보보호대책평가 단계 : 자산에 대해 존재하는 위협 및 취약성에 대비하여 이미 조치한 정보보호대책에 대한 효과를 평가하는 단계이다. 대책의 종류에 따라 취약성을 낮추거나 피해의 규모를 감소시키고 위협발생가능성을 낮추어 최종적으로 현재 조직의 위험규모를 평가하게 되는 것. 자산분석 위협평가 취약성평가 정보보호대책 평가 잔여위험 평가

25 위험분석 접근법 비정형 접근법(Informal Approach)
구조적인 방법에 의존하지 않고 경험자의 개인적인 지식과 경험을 이용한다. 내부보안전문가가 없다면 외부 계약자가 이 분석을 시행할 수 있다. 소규모조직에는 적합하나 수행자의 경험 분야가 적은 영역의 위험을 놓치기가 쉽다. 개인적인 경험에 의존하기 때문에 보안전문성이 높은 인력이 참여해야 하고 그렇지 않으면 실패할 위험이 높다. 장 점 비공식적 분석을 하기 위한 추가적인 기술 습득이 필요하지 않고 세부적인 위험분석보다 신속하게 수행된다. 비용 효과적이며 소규모 조직에 적합할 수 있다. 단 점 구조화되지 못해서 어떤 위험이 있는 관심지역을 잃어버릴 가능성이 증가한다. 비공식적인 특성때문에 검토자의 주관적 관점과 편견에 영향을 받을 수 있다. 보호대책 선택에 정당성이 부족하다. 따라서 보호대책에 들어가는 비용이 정당화되기 어렵다. 반복적인 재검토없이는 시간에 따른 보안관련 변화의 관리가 어려울 수 있다. 비공식 위험분석을 했던 사람이 조직을 떠나면 문제가 발생할 수 있다.

26 위험분석 접근법 복합(혼합) 접근법(Combined Approach)
기준선 접근법과 상세위험분석에 설명된 기능들 중 최상의 핵심기능들의 조합이다. 상세위험분석을 수행하고 그외의 다른 영역은 기준선 접근법을 사용하는 방식 보안요소 식별에 소요되는 최소한의 시간과 노력의 좋은 균형을 제공한다. 대부분의 시스템에서 가장 비용 효율적인 접근을 제공하고, 대개의 조직에서 가장 권장되는 접근방법이다. 비용과 자원을 효과적으로 사용, 고위험 영역을 빠르게 식별하고 적절하게 처리 고위험 영역을 잘못 식별하였을 경우 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있다. 장 점 중요한 자원을 투입하기 전에 필요한 정보를 얻기 위한 간단한 고수준 접근법을 사용하는 것은 위험관리 프로그램에 적합하다. 조직적인 보안 프로그램의 신속한 전략 구상이 가능하고 좋은 계획보조도구로 사용될 수 있다. 자원과 비용은 가장 큰 이익이 있는 곳에 사용될 수 있고, 높은 위험은 미리 다루어질 수 있다. 단 점 만약 고수준분석이 부정확한 결과를 가지고 온다면 세부적인 분석이 필요한 어떤 시스템은 적절히 다루지 못할수도 있다. 만약 고수준분석이 적절하게 점검된다면 어떤 사건에 대해서는 그 시스템은 여전히 기준선 안전요소에 의해 보호된다.

27 위험분석 접근법 및 장단점 비교 방법 분석방법 장점 단점 기준선접근법
정보자산을 개별적으로 분석하는 것이 아니라 어떤 보호대책(위험을 줄이는 실천 수단,절차,메커니즘)을 채택하여 모든 시스템에 적용하는 방법, 체트리스트 활용 보호대책 선택에 필요한 시간이나 노력이 적고 쉽다 일률적으로 적용함으로서 설정수준이 너무 높으면 비용이 많아지며, 너무 낮으면 불충분한 정보보호가 된다. 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 정보보호 환경의 변화에 적절하게 반영하지 못한다. 비형식적 접근법 (전문가 판단법) 모든 정보자산에 기업 이외의 전문가 지식 및 경험을 활용하는 방법 비용대비 효과가 우수하여 소규모 조직에 적합하다 누락하는 경우가 발생하기 쉽다. 설정근거가 희박하며 검토자의 개인적인 경험에 지나치게 의존하므로 사업분야 및 정보보호에 전문성이 높은 인력이 참여하여 수행하자 않으면 실패할 위험이 있다. 상세위험분석 접근법 모든 정보자산에 대해 상세 위험 분석을 하는 방법 정보자산에 대해 정보가치, 위협, 취약성의 평가에 기초한 위험을 산정하므로 경영상 허용 수준까지 위험을 줄이는 근거를 명확하게 할 수 있다. 상당한 시간, 노력, 숙련이 필요하다 복합접근법 Baseline approach와 상세위험분석을 조합하여 분석하는 방법 전략적인 전체모습을 파악할 수 있다. 가장 유익한 부분에 자원을 배분할 수 있다. Baseline approach가 부정확한 경우 상세위험분석이 필요한 시스템이 누락된다.

28 위험분석 접근법 접근방법론별 특징 선택의 요소 조직규모 정보자산 개별적인 수치화 적용 필요성 측정의 완전도 개별측정의 수치화
조직규모 적정 베이스라인 중간 없음 전체 비정형 하위 소규모 상세 분석 상위 가능 (정량적) 혼합 접근 중위 가능 (부분적)

29 위험분석 방법론 정성적 분석 정량적 분석 위협 1.1 위험분석 방법론
- 위험분석 및 평가 방법론은 과학적이고 정형적(Structured)인 과정으로 위험을 알아내고 측정하려는 노력을 정리한 것이다. - 방법론 자체는 전 세계적으로 수백여 가지가 존재 하지만 실제로 분석 및 평가를 수행하고자 할 경우, 대상 조직 및 특징, 요구사항, 수행기간 등에 따라 다양한 방법론을 적용할 수 있다. - 방법론을 특정 조직에 적용시 상황과 여건을 고려하여 가장 적절한 방법을 선택하는 것이 중요하다. 정성적 분석 정량적 분석 위협

30 위험분석 방법론 위험분석 방법론 정성적 방법 : 손실이나 위험을 개략적인 크기로 비교
델파이법 시나리오법 순위결정법 정량적 방법 : 손실이나 위험의 크기를 금액으로 표시(주로 미국에서 사용) ALE(연간예상손실) 계산법 과거자료 분석법 수학공식 접근법 확률분포법

31 위험분석 방법론(정량적 분석방법) ALE(년간예상손실) 계산법 측정요소
EF(손실율) : 자산에 대한 손실율(%) SLE(단일예상손실)=자산가치x손실율(EF) ARO(년간 발생빈도) : 1년을 기준으로한 년간 발생빈도 ALE(년간 예상손실)= SLExARO=자산가치x손실율xARO 이러한 방식은 비용/가치 분석이 수행될 수 있고 예산계획에 활용할 수 있다. 하지만 분석에 필요한 시간과 노력에 대한 비용이 커져서 실제 자산의 가치를 정확하게 반영할 수 없다는 것이 단점이다. 예 : 태풍 볼라벤에 의해 통신센터 시설의 50%가 손실을 입었다. 시설의 가치는 200,000,000원이고, 태풍 발생 확률은 10년에 한번이다. SLE, ALE를 구하시오. SLE=200,000,000x0.5=100,000,000원 ALE=SLExARO=100,000,000x0.1=10,000,000원

32 위험분석 방법론(정량적 분석방법) 위협 가능성 상실비용 위험(피해액) 고객데이터베이스 붕괴 0.005 24,000,000
120,000 경쟁사의 비인가된 접근 0.003 35,000,000 105,000 네트워크 구성요소의 태업 0.001 18,000,000 18,000 빌링시스템 붕괴 0.002 8,000,000 16,000 웜/바이러스 공격 0.05 90,000 4,500 총계 263,500

33 위험분석 방법론(정량적 분석방법) 과거자료 분석법 수학공식 접근법 확률분포법
과거의 자료를 통하여 위험 발생 가능성을 예측하는 방법 과거에 대한 자료가 많을수록 분석의 정확도가 높아지는데 반해 과거의 사건이 미래에 발생이 낮아질 수 있는 환경에 대해서는 적용이 어렵다 수학공식 접근법 과거자료 분석이 어려울 경우 사용되는 방법 위협, 발생빈도를 계산하는 식을 이용하여 위험을 계량화하는 것 기대손실을 추정하는 자료의 양이 적다는 것이 단점 확률분포법 미지의 사건을 확률적으로 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법 추정하는 것이라 정확성이 낮다.

34 위험분석 방법론(정성적 분석방법) 어떠한 위험 상황에 대한 부분을 ‘매우높음’, ‘높음’, ‘중간’, ‘낮음’등으로 표현
5점 척도나 10점척도로 표현하기도 하지만 표현이 주관적이고 사람에 따라 그 이해가 달라질 수 있다는 단점이 있다. 피해의 크기 발생가능성 낮음 중간 높음 매우높음 위협(a) 영향(자산)가치 위협발생가능성 위협의 측정 위협의 서열 위협A 5 2 10 위협B 4 8 3 위협C 15 1 위협D 위협E

35 위험분석 방법론(정성적 분석방법) 델파이법 시나리오법 순위결정법
전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시하여 의견을 정리하는 분석방법 짧은 시간에 도출할 수 있기 때문에 시간과 비용이 절약되지만 전문가의 추정이라 정확도가 낮다. 시나리오법 어떤 사실도 기대대로 발생하지 않는다는 조건하에서 특정 시나리오를 통하여 발생 가능한 위협의 경과를 우선순위로 도출해내는 방법 적은 정보를 가지고 전반적인 가능성을 추론할 수 있지만 발생가능성의 이론적 추측에 불과하여 정확성이 낮다. 순위결정법 비교우위 순위 결정표에 위험항목들의 서술적 순위를 결정하는 방식 위험의 추정 정확도가 낮다는 단점이 있다.

36 위험분석 방법론 구분 정량적 기법 정성적 기법 특징 손실크기를 화폐 단위로 측정이가능할 때 사용함
ALE계산법, 과거자료 접근법, 수학공식 접근법, 확률분포 추정법 손실크기를 측정할 수 없어서 위험을 구간 및 기술변수(예: H:3, M:2, L:1)로 표현함. 분석자의 경험 및 지식에 기초한 위험분석 방법 델파이법, 시나리오법, 순위결정법 장점 정량화된 자료의 사용으로 비용- 효과 분석 및 예산 계획이 용이함 수리적 방법의 사용으로 계산이 논리적임. 객관적이 평가기준이 적용됨 위험관리 성능평가가 용이 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해가 쉬움 정량화하기 어려운 정보의 평가에 용이함 계산에 대한 노력이 적다 용어의 이해가 쉬움 분석의 소요시간이 짧음 비용/이익을 평가할 필요가 없다. 정보자산에 대한 가치를 평가할 필요 없다 단점 정확한 정량화 수치를 구하기가 어려움 수리계산에 많은 시간과 노력이 필요함 수작업의 어려움으로 자동화도구 사용시 신뢰도가 벤더에 의존한다. 주관적 판단의 남용 여지가 있음 비용-효과 분석이 어려움 위험관리 성능을 추적할 수 없다 측정결과를 화폐가치로 표현하기 어렵다 위험완화 대책의 비용/이익 분석의 근거는 제공되지 않고 문제에 대한 주관적 지적만 있다.

37 위험평가 위험분석단계에서는 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석
위험평가는 이미 파악되었거나 잠재적인 위협과 취약성에 따라 정보자산이 입을 수 있는 피해와 현재 구현된 정보보호 대책의 실패가능성 및 영향을 평가하고 수용가능한 위험수준을 결정하는 단계 목표 위험 수준을 경영진이 결정하고 책임지도록 하는 것이 중요 위험분석 결과와 위험도 산정 매트릭스, 관리자의 의견을 종합하여 위험도를 결정하고 위험도 구간에 따라 위험처리 전략을 결정하기 위하여 “수용가능 위험 수준(DoA:Degree of Assurance)”을 결정한다. 정량적방식에서는 자산의 가치는 금액으로 위협은 연간 발생률 횟수로 취약성은 백분율로 평가 연간 예상손실(A,T)=자산A의 가치(원)x위협 T의 연간 발생횟수xT에대한A의 취약성(%) A = 자산 T = 위협 % = 취약성

38 위험평가 자산 분류 예시 - 위의 분류에서 문서, 시설, 지원서비스, 인력, 매체의 경우 조직의 업무상 이들의 중요도가 낮아 보안상 큰 영향을 미치지 않거나 분석에 필요한 인력과 시간이 부족한 경우 혹은 위험분석을 IT 시스템 중심으로 수행하는 경우에는 세부 목록을 작성하지 않을 수 있다. 자산 유형 설명 데이터 전산화된 정보를 말한다. 문서파일, 데이터 파일, 데이터베이스 내의 데이터 등이 해당된다. 문서 종이로 된 정보를 말한다. 보고서, 계약서, 매뉴얼, 각종 대장 등이 해당 된다. 소프트웨어 패키지 소프트웨어, 시스템 소프트웨어, 응용 프로그램 등이 해당된다. 서버 공용 자원을 갖고 여러 사용자에게 서비스를 제공하는 컴퓨터 시스템을 말한다. PC 공용 자원을 갖지 않고 단일 사용자 기반으로 사용되는 PC 등의 컴퓨터 시스템을 말한다. 네트워크 네트워크 장비, 통신 회선 등을 말한다. 시설 건물, 사무실, 데이터 센터 등의 물리적 시설을 말한다. 지원서비스 전력 공급, 환기 시설, 방재 시설 등 정보시스템 운영을 지원하기 위한 시설을 말한다. 인력 소유자, 관리자, 사용자, 운영자, 개발자 등 정보시스템관린 인력들을 말한다. 매체 전산화된 정보를 저장하는 장치로서 이동 가능한 디스켓, 테이프, 디스크, USB 메모리 등의 매체를 말한다.

39 위험평가 자산의 중요도 평가 기준 - 침해사고 발생 시 피해 규모에 따라 다음과 같이 분류할 수 있다. 중요도 설명 높음
핵심정보서비스 중단 및 개인정보의 상당한 노출, 경제적 손실이 매우 치명적인 수준 중간 핵심정보서비스 일부중단 및 개인정보의 노출, 경제적인 손실이 일부 치명적인 수준 낮음 핵심정보서비스가 미포함 되어 있으며 경제적인 손실이 경미한 수준 - 장애 복구를 위한 목표시간에 따라 다음과 같이 분류할 수 있다. 중요도 설명 높음 2시간 이내 중간 2시간 ~ 24시간 이내 낮음 24시간 이상 소요

40 위험평가 자산의 중요도 평가 기준 보안특성 중요도 설 명 기밀성 높음 중간 낮음 무결성 가용성
조직내부에서도 특별히 허가받은 사람들만이 볼 수 있어야 하며 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준 중간 조직내부에서는 공개될 수 있으나 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 상당한 문제를 발생시킬 수 있는 수준 낮음 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이 미미한 수준 무결성 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 치명적인 피해를 중 수 있는 수준 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 상당한 문제를 발생시킬 수 있는 수준 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 미미는 영향이 미미한 수준 가용성 서비스가 중단되는 경우 조직의 운영과 사업진행에 치명적인 피해를 줄 수 있는 수준 서비스가 중단되는 경우 조직의 운영과 사업진행에 상당한 문제를 발생시킬 수 있는 수준 서비스가 중단되는 경우 조직의 운영과 사업진행에 미치는 영향이 미미한 수준

41 위험평가 수용가능한 목표 위험 수준 및 우선순위 결정 위험평가가 이루어지면 수용가능한 위험수준과 우선순위를 결정하는 것이 중요
이는 사전에 정의해야 하고 그렇지 않을 경우 높은 위험은 수용하지만 낮은 위험은 대책을 구현하는 등 일관성이 결여 목표 위험 수준의 설정에 대한 책임은 조직의 책임자(경영진)가 결정 조직의 책임자가 현재 조직의 위험수준과 목표위험 수준을 알아야 하고 어느 정도 투자를 통하여 수용가능한 목표수준까지 관리할 것인지에 대한 결정을 내려야만 하기 때문 목표 위험수준보다 낮은 위험은 수용하고 그 이상의 위험에 대해서는 당장 대응하지 못하더라도 이 목표 수준을 달성하기 위한 장기 계획을 수립하여 대응할 수 있음 위험을 완전히 제거할 수는 없으나 어느 정도의 위험이 어떤 분야에서 발생가능한지를 알고 있는것은 대단히 중요 DoA 이상의 위험은 줄여야 하는 수준으로 판단하고 위험감소를 위해 적용이 요구되는 각 위험별 정보보호 관리체계 통제항목을 정한다 위험별 정보보보관리체계 통제항목의 통제를 실현하기 위하여 해당 부서별 구체적인 정보보호 대책과 이의 추진시기 등을 포함하는 정보보호 계획을 취합한다. 일반적으로 공공의 조직은 낮은 위험수준을 선호하고 민간 분야는 위험감소를 위한 비용을 절약하려는 경향이 있음

42 위험분석 흐름도 N Y 수용 가능한 목표 위험 수준 Y N 자산분석 인증심사 기준 통제 확인 위협 및 취약성 분석 위험평가
수용가능? N 위험도 매우 높음? 수용 가능한 목표 위험 수준 Y Y 필수 통제사항 선정 N 상세 위험분석 자산별 통제 선정 위험도별 통제 선정 전문가의 도움 요청 대책 명세서 작성

43 위험처리 전략 경영진이 결정한 수용가능한 목표 위험 수준과 비교하여 위험도가 목표 위험 수준과 같거나 그 이하인 위험은 수용, 즉 아므런 조치를 취하지 않지만 조직이 수용가능한 위험을 넘어선다면 그 위험을 어떤 식으로 처리할 것인지 결정해야 한다. 그 방법에는 위험수용, 위험감소, 위험회피, 위험전가의 4가지 방법이 있다. 위험 수용(Acceptance): 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로, 일정수준 이하의 위험은 감수하고 사업을 진행하는 것이다 위험감소(Mitigation): 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것을 말한다. 직접적인 피해가 발생할 수 있는 중대한 위험을 잠재하고 있어 정보보호대책을 선택하여 구현하는 것이다. 이는 많은 비용이 소요되기 때문에 실제 감소되는 위험의 크기와 비교하여 비용분석을 실시한다. 위험회피(Avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다. 위험 전가(Transfer): 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것이다. 위험식별 위험도 ≤목표위험수준 비용효과적 대책존재 적절한 보험 or 전가대상 존재 위험회피 위험수용 위험감소 위험전가 Y N <위험처리 절차>

44 수용가능 위험수준 결정 ※ 위험처리 전략의 예시
- 어떤 조직이 인터넷을 이용하여 고액의 전자거래 시스템을 운영하고자 위험분석을 수행하였다. 위험분석의 결과는 고액의 온라인 전송에 따른 거래 금액 노출, 변조, 거래사실 부인의 위험이 매우 높았다. - 이 위험을 처리하기 위해서는 위험 감소의 방안으로 전자서명, 암호화, 송신자 부인방지를 위한 공중 시스템과 같은 대책을 도입할 수 있다.(위험감소) - 그러나 이러한 대책은 고가이며 공중 시스템의 운영 사례가 많지 않으므로 도입을 주저할 수 있다. 그렇다면 다른 대책으로 이 시스템 운영을 포기하고 기존 오프라인 방식으로 거래하는 방법을 고려 할 수 있다.(위험회피) - 이미 이러한 거래 시스템을 안전하게 운영하고 있는 다른 업체에 위탁하거나, 문제가 발생한 경우 배상해 주는 보험이 있다면 그 보험에 가입 할 수도 있다.(위험전가) - 위험 수용의 방안으로 여러 가지 이유로 일정 기간 위험을 감수하고 시스템을 운영하기로 결정할 수도 있다. ※ 어떠한 방식을 선택할 것인지는 평가된 위험수준과 조직이 수용하기로한 위험수준(보장수준), 그리고 각 대응 방식의 비용에 따라 달라진다.

45 정보보호대책 선정 및 계획서 작성 위험을 수용가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 구축하여 경영진의 승인을 받아야 한다. 정보자산 식별 및 그룹핑 정보보호대책 선택 위험 분석 수용가능한 위험수준의 결정` 위험수용: 위험을 받아들여 손실 감수 위험감소: 정보보호대책 마련 - 위험관리: 모니터링

46 정보보호대책 선정 및 계획서 작성 식별된 위험을 수용가능한 위험 수준으로 감소시키기 위하여 조직과 보안환경에 따라 정보보호관리체계의 통제항목과의 연계성을 고려하여 정보보호 대책을 선정 대책 선정을 위한 위험처리 전략은 위험감소를 목표로 수립하는게 일반적이며 위험회피, 위험전가, 위험 수용등으로 고려할 수 있다. DoA를 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단되는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다. 즉시 교정가능한 취약점을 제거하는 시스템이나 장비에 환경설정 및 각종 기본적인 설정값을 다시 점검하여 제거할 수 있는 취약점은 즉시 제거-절차와 규정을 반드시 준수 위험수용 전략의 선택은 경영진, 정보보호관리체계 인증 심사팀 등 조직 외부에서 객관적으로 인정하는 경우에 가능하다. 정보보호대책은 법적 요구사항수준과 동일하거나 높은 수준으로 마련하여야 한다. 통제사항은 ‘정보보호관리체계 인증심사 기준’에서 제시하는 분류에 따라 선택하며 비용, 효과적인 측면에서 정당화 되어야 하고 통제구현과 유지에 들어가는 비용이 해당 위험 감소량보다 적어야 한다. 문서화된 보안정책과 목적, 정보보호 조직 및 책임 정의서, 위험평가 및 분석서, 정보보호 계획서 등 문서로 계획서를 작성한다.

47 정보보호대책 선정 및 계획서 작성 문서요건 대책 선정 제약의 식별 및 검토
정보보호관리체계 활동에 관련된 해당 조직의 규모, 기능 등을 고려하여 문서화 관련 문서들은 정보보호관리체계 정책에 따라 필요한 모든 임직원이 쉽게 이용할 수 있어야 함 문서종류 정보보호관리체계의 내역서 문서화된 보안정책과 목적 정보보호 조직 및 책임정의서 위험분석ㆍ평가보고서 정보보호계획서 통제사항적용명세서 정보보호 과정의 효과적인 계획, 운영, 통제를 보증하기 위해 요구되는 기타 문서 대책 선정 대책은 감지, 억제, 방어, 제한, 교정, 복구, 모니터링, 인식 중 하나 이상의 기능을 수행하는 것으로 대책의 적절한 선택은 보안 프로그램의 올바른 구현에 필수적 대부분의 대책이 복합적인 기능을 수행하므로, 복수의 기능을 만족시키는 대책을 선택하는 것이 비용 효율적 제약의 식별 및 검토 대책 선정에 영향을 주는 많은 제한이 있음 권고안을 작성하거나 실행할 경우 반드시 시간적, 재정적, 기술적, 사회적, 환경적, 법적 제약을 고려

48 정보보호 대책의 효과=기존 ALE-대책구현 후 ALE-연간대책비용
정보보호대책 선정 및 계획서 작성 정보보호 대책 수립 위험처리 전략 설정 <위험수용(Acceptance)> 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는것 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로 일정 수준 이하의 위험은 감수하고 사업을 진행하는 것 <위험감소(Risk Reduction)> 위험을 감소시킬수 있는 대책을 채택하여 구현하는 것으로 대책의 채택시에는 이에 따른 비용이 소요되기 때문에 이 비용과 실제 감소하는 위험의 크기를 비교하는 비용효과분석을 실시 분석을 통하여 양(+)의 효과를 갖는 정보보호 대책을 선택 수용가능한 한계선(위험허용 한계수준)까지 위험발생가능성과 목표에 미치는 영향력의 수준을 낮추는 방법을 의미 적극적 수용 위험이 막 발생하여 하거나 발생한 경우 어떤식으로 대처하겠다는 비상계획을 개발해 놓는 것을 의미 소극적 수용 특정 위험이 발생할 가능상과 목표에 미치는 영향력이 낮기 때문에 해당 위험에 대해서는 어떠한 조치도 취하지 않고 그대로 내버려두는 것을 의미 정보보호 대책의 효과=기존 ALE-대책구현 후 ALE-연간대책비용

49 정보보호대책 선정 및 계획서 작성 정보보호 대책 수립 <위험전가(Risk Transfer)>
<위험회피(Risk Avoidance)> 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것 위험발생 원인을 제거하는 것, 즉 위험의 영향으로부터 프로젝트 목표를 보호하기 위해 프로젝트 계획 자체를 수정하는 것 프로젝트를 수정하여 프로젝트의 일부 범위를 수행하지 않는 것이라고 볼 수 있지만 프로젝트 일부 범위를 제거하는 것은 프로젝트 위험 뿐만 아니라 비즈니스 위험에도 영향을 미칠 수 있으며, 프로젝트 영역을 변경하면 비즈니스 케이스도 변경될 수 있기 때문 수행 규모가 축소된 프로젝트는 수익이나 비용 절감의 기회가 더 적을 수도 있음 <위험전가(Risk Transfer)> 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것 위험의 발생결과 및 대응의 주체를 제3자에게 이동시키는 것 위험자체를 제거하는 것은 아님 위험전가는 주로 재무적인 위험을 처리하는 경우에 많이 사용, 보통 위험에 대해 책임을 지는 제3자에게 위험 프리미엄을 지불하곤 함

50 정보보호대책 선정 및 계획서 작성 보호대책 선정 시 고려사항 정보보호대책 도출 - 보호대책은 다음과 같은 속성을 지닌다.
가. 보호대책은 자산을 현존하는 위협으로부터 보호한다.(자산과 위협과의 관계) 나. 보호대책이 증가할수록 취약성은 감소하지만, 대응책 자체도 취약성을 가지고 있으므로, 취약성은 결코 ‘0’이 될 수 없다.(취약성과의 관계) 다. 보호대책은 위협의 발생으로 인한 피해를 감소시키고, 유형에 따라 위협의 주기도 감소시킨다. 보호대책 선정 시 고려사항 - 시간적 제약: 관리를 위하여 허용하는 기간 내에 이루어질 수 있도록 수립하고, 주요자산이 위험에 노출되도록 남겨 둘 수 있는 허용기간 내에 수립해야 한다. - 재정적 제약(비용): 예산을 고려하되 보호대책을 수립, 구현, 유지하는 비용이 보호되는 자산의 가치보다 높으면 안 된다. - 기술적 제약: 프로그램 및 H/W의 호환성, 기술구현 용이성과 같은 기술적인 문제를 고려해야 한다. 사회적 제약: 조직의 목표, 업무특성 등 조직의 사회적 환경을 고려해야 한다.(직원들의 이해 필요) 환경적 제약: 지리공간이나 기후 등에 대한 환경문제 - 법적 제약: 관련 법규를 반영해야 한다.

51 정보보호 계획 수립 정보보호 계획 수립 프로젝트별 구현 계획 수립
위험을 목표 수준 이하로 감소시키기 위하여 필요한 대책들을 선택하고 유사한 대책들은 하나의 프로젝트로 통합하여 우선순위를 결정 즉시 교정가능한 취약점 제거는 주로 시스템이나 장비의 구성 설정 변경, 파일 등의 권한 변경, 취약한 패스워드 변경 등으로 빠른 시간 내에 처리할 수 있는 사항 정책 및 절차를 수립하는 작업은 다른 업무보다 높은 우선순위를 가짐 프로젝트별 구현 계획 수립 프로젝트별로 예산, 구현일정, 프로젝트의 세부 내용, 해당 프로젝트 수행에 관한 책임 등이 포함된 정보보호 계획을 수립 정보보호 대책 명세서 작성 대책을 선택한 후에는 정보보호 대책 명세서에 137개 통제 사항에 대해 선택한 통제 내용과 현재 운영 현황을 구체적으로 명시하고 15개 분야별 120개 통제 사항 중 선택하지 않은 통제 사항이 있다면 그 이유 또한 명확하게 기술

52 업무연속성계획에 대해 정기적인 교육 및 훈련을 실시하고 지속적인 검토와 평가 및 변경관리를 수행해야 한다.
정보보호 계획 수립 정보보호대책명세서 작성 방법 - 정보보호 대책 명세서에는 다음과 같은 사항을 포함해야 한다. 가. 선정된 정보호호대책의 명세 나. 구현 확인 근거 다. 선정되지 않은 정보보호대책 목록 라. 선정되지 않은 근거 보호호대책명세서 예시 ※ 120개 통제 중 선택한 통제 ___개, 선택하지 않은 통제 ___개 번호 통제사항 통제내용 선정 여부 운영내용 (미선택 시 사유) 관련문서 1.1.1 정책의 승인 문서화된 정보보호정책은 최고경영자의 승인을 받아야 한다. Y 최고경영자의 승인을 받은 증적이 있음 정보보호 정책서 ... .... 11.1.5 외부 운영 설비의 관리 외부계약자가 정보시스 템 및 장비를 관리하는 경우 데이터의 손상, 손 실 등의 상황을 고려하 여 통제방안을 수립하고 계약서에 반영해야 한다. N 사외에서 운영하는 설비가 없음 15.3.1 업무연속성계획 유지관리 업무연속성계획에 대해 정기적인 교육 및 훈련을 실시하고 지속적인 검토와 평가 및 변경관리를 수행해야 한다. 연 1회 업무연속성계획 교육 훈련 및 검토 예정

53 위험관리과정 요구사항 위험관리 상세내용 세부과정 위험관리
위험관리 전략 및 계획수립 조직의 목표 및 정책, 법적 요구사항 등을 고려하여 조직, 역할, 책임, 주요과정을 포함한 위험관리 전략 및 계획을 수립하고 조직에 적합한 위험관리 방법을 선택하고 문서화하여야 한다. 이 위험분석 방법은 조직과 정보보호 환경변화에 대응할 수 있도록 지속적으로 검토하여야 한다. 위험분석 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여, 잠재적 손실에 대한 영향을 식별/분석하여야 한다. 위험평가 정보자산에 대한 잠재적 및 알려진 위협과 취약성으로 나타날 수 있는 조직의 피해와 현재 구현된 정보보호대책의 실패 가능성 및 영향을 평가하고 수용 가능한 위험수준을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하여야 한다. 정보보호 대책선택 조직의 정보보호정책과 목적에 부합하도록 위험을 수용가능한 수준으로 감소시키기 위해 위험분석 및 평가에 의거하여 위험처리, 위험수용, 위험회피, 위험전가 등의 전략을 설정하고 정보보호대책의 선택은 비용/효과 분석에 의해 정당화될 필요가 있다. 계획수립 정보보호대책의 선택 이후 구현할 정보보호대책 및 구현의 우선순위, 일정계획, 예산, 책임, 운영계획 등을 포함한 정보보호계획을 수립하고 각 위험에 대한 정보보호대책 및 선택하게 된 근거를 정보보호대책 명세서로 문서화하여야 한다.

54 정보보호대책 구현 및 운영

55 정보보호대책 구현 및 운영 정보보호 대책은 위험을 감소시키기 위한 정보보호조치를 의미하며 여기에는 장치, 절차, 기법, 행위 등을 포함한다. 안전대책, 혹은 통제, 혹은 대응책이라고 함 정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인하여야 한다. 보호대책의 구현 이전단계에서 선택된 통제사항을 정보보호 계획에서 정의된 일정계획과 우선순위에 따라 구현하는 것이 적절 구현 및 운영 시 가장 중요한 요소는 자원(인력, 시간, 비용)이고 이를 확보하기 위해서 경영진의 의사와 지원이 가장 필요 보호대책 구현 후 정보보호대책에 대한 검토를 수행하여 프로젝트가 계획대로 진행되었으며 목적을 달성하였는지를 승인자에게 보고, 결재하여 문서화 위험관리 단계에서 수립된 정보보호 계획에 따라 정보보호 대책을 효과적으로 구현하고 필요한 교육과 훈련을 진행

56 정보보호대책 구현 및 운영 통제(Control) 합리적인 수준의 보증을 제공하기 위해 설계된 정책, 절차, 실무관행, 조직구조
수행시점에 따라 예방통제, 탐지통제, 교정통제로 나누어짐 구현방식에 따라 하드웨어통제, 소프트웨어 통제로 나누어짐 관리통제 : IT자원을 관리하는 직원에 대한 통제, 직원의 보안, 직무관리, 직무순환, 최소한의 원칙, 최소지식의 원칙, 변경형상관리 통제 등이 포함 운영통제 : 운영에 관련된 통제를 의미. 문서화, 하드웨어 통제, 소프트웨어 통제, 매체통제, 물리적 접근 통제 등 구체성에 따라 일반통제, 응용통제로 나누어짐 다단계 보안대책(통제) 관리적 대책 조직의 구성원들이 준수해야 할 책임과 역할 등의 관리통제 정책, 표준, 지침, 절차, 보안인식교육, 훈련, 인적관리 등 기술적 대책 조직의 시스템 및 데이터를 보호하기 위한 기술 통제 암호화, 패스워드, 스마트카드, 방화벽, IDS등 물리적 대책 조직 내 시스템을 보호하기 위한 시설 및 환경통제 울타리, 자물쇠, 맨트랩, ID카드, CCTV, 센서 등

57 정보보호대책 구현 및 운영 접근통제 접근통제의 원칙
자원에 대하여 비인가된 접근을 감시, 접근을 요구하는 이용자의 식별 및 권한 검증을 수행 보안정책으로 비인가자의 접근을 통제하여 하드웨어, 소프트웨어, 행정적인 관리를 통치 접근통제의 원칙 최소권한의 정책 ‘Need-to know’정책이라고 부름 사용자들이 업무를 수행하기 위해 꼭 필요한 권한과 허가권만을 부여 시스템 주체들은 사용자들의 활동에 필요한 최소분량의 정보를 사용 객체접근에 대하여 강력한 통제를 부여하는 효과 단점:정당한 주체에게 초과적 제한을 부과 최대권한의 정책 개방형 시스템 등 대부분의 시스템에서 사용 데이터 공유의 장점을 증대시키기 위하여 적용하는 최대 가용성 원리에 기반 사용자와 데이터 교환의 신뢰성 때문에 특별한 보호가 필요하지 않은 환경에 효과적으로 적용할 수 있음 장점 : 데이터 공유, 가용성 극대화, 데이터 활용 극대화 직무분리의 원칙 보안/감사, 개발/생산, 암호키 관리/암호키 변경 등

58 정보보호대책 구현 및 운영 접근의 절차 잔류위험
관리를 통하여 사건발생 가능성과 손실관점에서 위험을 허용하는 부분에 남아있는 위험. 대책 구현시 잔류위험의 허용 여부에 대한 결정도 내려야 한다. 보안이 조직의 필요에 적절한지를 판단하는 일의 일부는 잔류위험의 허용이며 이프로세스를 위험허용이라 함 1단계 식별 시스템에 자신이 누구라는 것을 밝히는 것 유일한 식별자 ID를 가짐 사용자의 신원을 나타내기 때문에 책임 추적성 분석에 중요한 자료가 됨 2단계 인증 시스템이 사용자가 자신임을 주장하는 것을 인정해 주는 것 임의의 정보에 접근할 수 있는 주체의 능력이나 자격을 검증하는 단계 접근하는 사용자의 패스워드, 생체인식으로 인정 3단계 접근권한유무판별 정보를 바탕으로 사용자의 접근 허용여부 결정 4단계 허가 시스템이 사용자에게 권한을 부여하며 권한의 정도에 따라 자원에 접근함 5단계 감사 부여된 권한 내에서 작업이 진행되었는지 감사 사용자의 행동을 기록하여 필요시 추적하여 책임을 명확하게 함

59 정보보호대책 구현 및 운영 수행시점에 따른 통제 통제유형 설명 통제 예 예방(Preventive)
발생가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제이며 바람직하지 못한 사건이 발생하는 것을 제지하고 피하기 위해 사용되는 통제 물리적 접근통제와 논리적 접근통제로 구분 보안정책, 직무분리, 직무순환, 암호화, 백신, 방화벽, 자물쇠, 보안경비병 등 탐지(Detective) 예방대책을 마련하다고 해도 예방통제로 완전히 막을 순 없다. 이러한 예방통제를 우회하는 문제점을 찾아내는 통제로 발생된 바람직하지 못한 사건을 적발하기 위해 사용되는 통제 보안감사, 감사로그, 침입탐지, 경보, CCTV등 교정(Corrective) 탐지통제를 통하여 발견된 문제점들을 해결하기 위하여 조치가 필요하다. 문제 발생 원인과 영향을 분석하여 교정하기 위한 조치가 필요한 통제로 사고 발생 후 손실의 최소화나 사고 후 복구활동, 대응절차 등이다. 발생된 바람직하지 못한 사건을 교정하기 위해 사용되는 통제 불법적인 접근 시도를 발견해내기 위한 접근 위반 로그는 탐지통제에 속하지만 데이터 파일이 복구를 위헤 사용되는 트랜잭션 로그는 교정통제에 해당 백신, 재해복구계획, 데이터백업 절차

60 정보보호교육 및 훈련 정보보호에 대한 교육은 인식제고와 정보보호 정책 이행을 위한 중요한 과정 중 하나
정보보호 대책 필요성에 대하여 이해하기 쉽도록 교육 과정을 수립하고 훈련 프로그램을 이행 구현된 정보보호 대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여야 한다. 구분 주요 교육내용 임원 관리직/부서 신입사원 외부자 인식 보안환경, 사건/사고 사례 등 보안관련법규 보안의 중요성/필요성 보안관리 팀 소개 전 직원/담당 부서(팀) 보안교육 신입사원 보안인식 교육 외부인 파견근무자 보안교육 기타 보안교재 발간 제공 ->기술정보 유출 방지를 위함 등 직무 보안관리 규정/표준 (보안관리자/개인 보안활동 기준) 자산관리 해야 할 일 해서는 안되는 일 ISMS운영 실행매뉴얼/절차서 위험성 평가요령 개선목표 설정요령 내부감사 등

61 정보보호대책 구현 정보보호 인식 프로그램 정보보호 인식은 조직 내의 보안에 대한 인식 수준을 높이고 쉽게 수행하고자 하는 목적이 있다. 교육과 훈련 프로그램은 범용적인 수준에서 부처 전문적인 수준의 고급화 과정까지 수준별 교육과 훈련이 마련되어야 한다. 훈련 프로그램은 연간 계획서를 수립하여 교육훈련계획표에 따라 실제 적용할 수 있도록 하고 이는 위원회나 의사결정자의 승인을 받아 추진하는 것이 필요하다. 정보보호 교육은 IT담당자가 받는 직무교육과 최고경영진, 임원 및 직원을 대상으로 하는 정보보호 인식교육으로 나눌 수 있다. 정보보호 교육 및 훈련의 목적은 모든 직원에게 IT보안 필요성을 인식시키기 위한 것이다.

62 정보보호 교육 및 훈련 교육대상과 교육형태 IT및 정보보호 조직 내 임직원은 정보보호 관련 직무별 전문성 제고를 위하여 정보보호 관련 컨퍼런스, 세미나, 전문교육기관 등을 활용하여 별도의 직무교육을 받아야 한다. IT 조직 이외의 모든 직원(경영진 포함) 및 관련된 외부 사용자들은 조직의 정책 및 절차에서 보안이 차지하는 중요성에 대하여 정기적인 정보보호 인식 교육 및 훈련을 받아야 한다. 교육 대상자 분류 최고경영자를 포함한 임직원 조직의 신입사원 조직의 IT이용자 그룹 IT시스템의 운영자와 개발자 그룹 시설을 물리적/전자적으로 출입하는 제3자 그룹 조직이 제공하는 정보를 이용하는 일반 외부자 그룹 개인정보보호 교육의 경우 취급자, 관리자, 담당자, 책임자 대상별 교육

63 정보보호 교육 및 훈련 교육 내용 전문 교육 일반교육 정보보호의 기본 개요 정보보호 관리체계 구축 절차 및 방법
정보보호 정책 및 관련 법률, 정보보호 규정 위반시 상벌규정 및 책임 등을 포함 정보처리정책과 물리적인 정보보안 방법 인터넷에 대한 접근 정책, 정보방치 및 억제 정책 노트북과 같은 휴대용 컴퓨터에 대한 정보보호, 무선통신에 대한 정보보호 재택근무자들에 대한 교육 일반교육 직원, 외부직원을 대상으로 기본적인 정보보호 이행 활동 및 정보보호에 대한 인식 전환을 목표로 연1~2회 실시 정보보호정책 규정의 변경이 있을 시와 신규 직원 채용시마다 교육 실시 정보보호정책/규정 전파, 정보보호 개요, PC정보보호, 인터넷 사용 및 이메일 보호 등 조직 구성원들에게 전반적인 정보보호에 대한 인식의 중용성울 포함하는 내용으로 방식은 집체교육이나 온라인교육도 가능 전문 교육 정보보호 담당자 및 정보시스템 업무 종사자를 대상으로 실무적인 관점에거 주요 정보시스템을 보호하기 위한 전문적인 지식습득을 목표로 연1회 이상 실시하는 것이 바람직, 보통 상하반기 1회씩 권장 정보시스템 운영 및 관리, 정보보안시스템 운영 및 관리, 침해사고 대응 및 복구 등 실질적으로 실무에서 적용 가능한 고급화된 교육 내용

64 정보보호 교육 및 훈련 교육 평가와 피드백 교육과 훈련 진행 후에는 반드시 설문조사를 통하여 교육에 대한 피드백을 받아야 한다. 이러한 피드백은 차기 교육시에 더 나은 교육을 하기 위한 참고자료로 사용되며 교육의 효율을 높이기 위해서는 교육 후 일정 기준의 평가를 하는 것도 교육참여율과 집중도를 높이는 방법 중 하나이다. 교육 점검사항 교육시행 후 교육공지, 교육자료, 출석부 등과 같은 기록을 남기고 평가 기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성을 평가 평가 결과 내용에서 도출된 문제점에 대한 개선 대책을 마련하고 차기 교육 수립시 반영 훈련사항 훈련에는 구성원들이 무엇을 해야 하며 어떻게 할 수 있는지에 대한 교육을 포함 보안의 중요성, 주어진 보안장치의 사용방법, 오류의 보고절차 등 단계적으로 진행 운영/관리 직원은 독립적으로 직무수행 범위와 단순고장에 대한 검출과 조치, 직접 자료를 저장하는 방법, 외부 운영자에 취해지는 안전대책의 이해사항들을 미리 훈련 받아야 한다.

65 컴퓨터/네트워크 보안운영 컴퓨터 보안 운영 컴퓨터 운영기록(로그) 관리 :운영기록의 관리는 컴퓨터 운영 및 응용 프로세스의 활동과 사용자 활동에 대한 기록을 유지하는 것으로 적당한 도구와 절차를 함께 사용하여 보안 위반사항이나 성능문제 등을 찾는데 도움 운영기록 관리의 필요성 개인의 책임 추적성 : 사용자에게 운영기록에 기록된 내용을 이용하여 개인에게 책임을 추구할 수 있다는 것을 알려주어 사용자가 올바르게 행동하도록 고무시킬수있다. 사고조사 : 운영기록을 관리함으로써 문제가 일어난 후에 사건을 재구성하는데 사용될 수 있다. 시스템 활동에 대한 운영기록을 조사함으로써 어떻게, 언제, 왜 일상적인 동작이 정지되었는지 정확하게 지적하여 피해 평가를 쉽게 할 수 있다. 침입탐지 : 운영기록이 적절한 정보를 기록하도록 설계되고 구현되었다면 침입을 탐지하는 데에도 도움을 줄 수 있다.

66 컴퓨터/네트워크 보안운영 운영기록관리 기준사항 및 조치 방법 운영기록내용 로그파일 보관 운영기록관리 기준
운영기록 관리는 언제 사건이 발생하였고 그 사건에 연관된 사용자 ID, 그 사건을 일으키는데 사용된 프로그램이나 명령, 그리고 결과를 명기하여야 한다. 로그파일 보관 외부인이나 비인가자가 접근할 수 없도록 전자서명을 이용하거나 한번만 쓸 수 있는 저장장치를 이용하는 것 운영기록관리 기준 시스템 시작 및 종료 시간 시스템 오류 및 수정 내용 데이터 파일 및 컴퓨터 출력물의 정확한 취급에 대한 확인 기록을 이행한 직원의 신원 정보

67 컴퓨터/네트워크 보안운영 PC보안 운영 준수 가이드 업무적 목적 외 사용제한 주변장치 설치 및 변경 제한
이동식 보조기억장치의 승인 PC 및 저장 매체 반출 승인 지적재산권 준수 소프트웨어 설치 제한 PC유지보수 저장매체 폐기 바이러스 백신프로그램 운영 관리 보안패치 적용 권고 인터넷 사용의 기준 수립 이동 컴퓨팅 장비의 사용 승인 공용PC의 사용 관리

68 컴퓨터/네트워크 보안운영 네트워크 보안 운영
비인가된 접근을 막기 위해 사용자 터미널과 컴퓨터 서비스 간에 물리적ㆍ논리적 경로를 통제하고 접근이 허가된 네트워크에 대한 권한 절차, 네트워크와 서비스에 대한 접근을 보호하기 위한 관리 통제와 절차 같은 사항을 접근 정책에 포함하여야 한다. 네트워크의 효율적인 관리를 위해 정보통신망 접속 기준 및 절차를 규정한다. 접근 가능한 통신 경로 및 컴퓨터를 최소화하여 정보통신망 접속에 따른 장애발생을 최소화하고 장애 발생시의 책임한계를 명확히 한다. 중요한 전송로 및 네트워크에 대해서는 각각의 전송로 및 네트워크의 특성에 따른 감지, 제어 및 통보기능을 설치해야 한다. 네트워크 관리 서비스를 제공하는 전산망은 다른 업무용 전산망과 분리 개발업무에 사용되는 네트워크는 다른 업무의 네트워크와 분리 네트워크 서비스에 관련되는 기기에 대한 관리는 해당 기기를 소장하고 있는 구역뿐만 아니라 시스템 요소들을 연결하는 그리고 시스템의 운영에 필요한 다른 모든 요소 및 그 위치를 포함 중요한 네트워크 및 네트워크 설비에 대해서는 각각의 특성에 따른 감지, 제어 및 통보기능을 설치

69 컴퓨터/네트워크 보안운영 매체관리 데이터 보관 : 관리기준에 명시되어야 할 사항
데이터 식별번호 보관목적 보관일시 보관기간 보관책임자 데이터 폐기 : 규정된 절차에 따라 실시, 다음 내용이 포함 데이터 보존연한 데이터 매체에 따른 폐기방식 폐기확인 방법 폐기 이유 폐기 일시 폐기 내용 폐기 관리대장 목록 작성

70 사후관리, 내부감사, 변경관리 사후관리 정보보호관리체계의 재검토 : 조직의 목표, 기술 등 내ㆍ외부의 변화와 내부감사 결과, 보안 사고 등을 고려하여 정보보호관리체계의 문서를 공식적이고 정기적으로 재검토하여야 한다. 재검토시 고려할 사항 검증 및 유효성 확인의 목적에 부합 정보보호 정책의 영향분석이나 잠재적인 위험성 평가 정보보호정책에 대한 전 과정(Life Cycle) 재검토 정보보호관리체계의 모니터링 및 개선 : 정보보호관리체계가 정보보호정책과 목적을 충족시키는지 여부에 대해 모니터링하고 효과를 측정하여 개선사항을 식별하고 적절한 수정이나 예방조치를 통해 효과적으로 개선사항을 구현 정보보호정책의 성과 측정 시 요구사항 정보보호정책의 적합성 실증 정보보호관리체계의 적합성 보증 정보보호관리체계의 효과성에 대한 지속적 개선의 달성 감시 및 측정방법은 다음 사항을 고려 정책만족도 측정 내부감사 재정평가

71 사후관리, 내부감사, 변경관리 내부감사 조직은 정보보호관리체계가 계획된 절차에 따라 효과적으로 실행되는지를 점검하기 위하여 감사의 기준, 범위, 주기 및 방법을 규정하고 계획된 주기로 내부감사를 수행하여야 한다. 정보보호정책이 계획된 결정사항 및 조직이 설정한 요구사항을 충족시키는지 그리고 이 규격의 요구사항을 충족시키는지 여부 효과적으로 실행되는 유지되는지 여부 이전 감사의 결돠를 고려하여 감사 프로그램을 계획 감사자 선정 및 감사 수행에는 감사 프로세스의 목적성 및 공정성이 보장 감사자는 자신의 업무에 대하여 감사를 수행하여서는 안된다. 문서화된 절차에는 감사의 계획, 수행, 감사의 독립성 보장, 결과의 기록 및 보고에 대한 책임과 요구사항을 정하여야 한다. 경영자는 발견된 부적합 및 원인을 제거하기 위한 조치가 적시에 취해질 수 있도록 보장하여야 한다. 후속조치는 취해진 조치의 검증 및 검증 결과의 보고를 포함하여야 한다.

72 사후관리, 내부감사, 변경관리 변경관리 정보시스템에 관련된 변경을 지속적으로 관리한다. 장비, 소프트웨어, 절차 등에 대한 모든 변경사항들을 반영할 수 있는 공식적인 관리책임 및 절차를 수립한다. 변경절차 수립시 반영사항 변경대상 및 주요변경사항에 대한 정의 및 기록 변경사항이 자원의 성능, 보안기능, 구조에 미치는 영향 변경방법 및 변경시간이 업무에 미치는 영향 제안된 변경사항에 대한 공식적인 승인절차 변경사항에 대한 관련인력들의 관계 및 책임 변경사항에 대한 공지 및 교육 변경작업이 실패하였을 경우 복구나 폐기에 대한 책임 정의 및 절차 비상계획

73 사후관리, 내부감사, 변경관리 침해사고 대응절차 1단계 : 사고처리 지침 및 절차, 필수적인 문서, 업무연속성 계획 등 준비
2단계 : 사건을 보고하기 위한 수단을 위한 절차 및 책임 3단계 : 사고조사 및 심각성 조사를 위한 절차 및 책임 4단계 : 사고처리, 피해제한, 사고근절, 상부보고에 대한 절차와 책임 5단계 : 정상 서비스 등 재구축을 위한 절차와 책임 6단계 : 법적 관계에 대한 조사 및 분석을 포함한 후기사고 조치에 대한 절차 및 책임