- 참치군
- ?
- stalk.io
- :: 2013년, 스리는 여섯살
- 웹 강좌
- 점프 투 파이썬
- 요니나의 대학생 재테크
- This is CS50
- 애자일 이야기
- isao의 IT,게임번역소
- 소프트웨어 이야기
- Color Scripter
- 어디를 가든지 마음을 다해 가라
- VisuAlgo
- 서울대 평생교육원
- 몽환
- RegExr: Learn, Build, & Test R…
- Hello, Stranger :D
- I Like Exploit
- Z3alous Security Story
- Project Euler
- Blog
- pieces of code
- window 쪼물딱 거리기
- IT - Informatics Alphabet
- rop
- 국제 정보교육센터 I2sec 대구 1기
- This is the moment. :)
- blackmoon
- z3alous는 세상에 소리 z3alous~
- Acord
- FORENSIC-PROOF
- 어셈블리
- Outsider's Dev Story
- Open Tutorials
- 코드라이언
- 컴퓨터 그래픽스와 3D 프린팅
- HACKABILITY
- Lee, Jae-Hong
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 오지총
- 공간복잡도
- Visual Studio
- Wireshark
- 염색
- 소켓
- 탈색
- C언어
- BOF
- 알고리즘
- 펌
- 호출규약
- Calling Convention
- 시간복잡도
- 창의공학설계
- 레지스터
- 디버깅
- Debug
- 동대구
- 추상데이터타입
- 베이스
- 블루블랙
- ubuntu
- 파이썬
- 피보나치
- 발표
- 버퍼오버플로우
- Packet
- 컴파일러
- Hello World
- Today
- Total
c0smicb0y
거버넌스 본문
거버넌스: 조직의 보안을 달성하기 위한 구성원들 간의 지배 구조
거버넌스 구현의 어려움
1. 효율적 조직 구성의 어려움
2. 성과 측정의 어려움
3. 경영진과 조직 구성원의 무관심
거버넌스 구현 요건
1. 전략적 연계
2. 위험 관리
3. 자원 관리
4. 성과 관리
5. 가치 전달
ISMS(Information Security Management System)
1.계획
2.수행
3.점검
4.조치
정보보안 책임자 주요 업무 (안정적인 활동을 보장하는 사람)
1. 적정한 예산 확보하고 지원 (budget)
2. 조직 구성하고 적정한 인적 자원 지원(staffing)
3. 필요시 적정한 내외부 정보 보안 교육 지원 (education)
4. 필요한 지침과 절차 수립하고 시행할 수 있도록 지원 (policy)
5. 보안 활동이 지속적으로 이행될 수 있도록 보장하고 지원
정보보안 관리자 주요 업무 (부장?)
1. 정보보안 업무 기획하고 점검
2. 시스템 담당자 및 일반 사용자의 정보보안활동 실천 독려
3. 정보 보안 담장자의 의견을 기술적으로 검토한 후 관련 조치 지시
4. 각종 시스템 관련 작업 요청에 대한 검토 및 수행
정보보안 담당자 (대리?)
1. 전체 시스템 보안 관리
2. 일반 사용자에게 보안 교육
3. 웜, 바이러스 대비
각 부서 및 팀별 정보 보안 담당자
1. 일일 팀별 보안 점검을 수행
2. 팀 내에 보안문제 있으면 보안팀에 전달
보안 정책
문서화수준 == 회사수준
정책->목적관 방향에 따라 구분
1. 규칙으로 지켜져야 할 정책 (법)
2. 하려는 일에 부합하는 정책이 없을 때 참고하거나 지키도록 권유하는 정책 (법 만들어줭)
3. 어떠한 정보나 사실을 알리는 데 목적이 있는 정책 (신문)
영미권 보안 정책
- Security Policy
가장 힘쎈놈
상위 관리자가 만든 보안 활동에 대한 일반 사항
기록 사항
- 보호하고자 하는 자산(Domain 설정)
- 정보의 소유자와 그에 대한 역할과 책임 (권한 부여)
- 관리되는 정보의 분류와 기준 (관리의 용이함)
- 관리에 필요한 기본적인 통제 내용 (내용)
- Standards
소프트웨어나 하드웨어 사용할때 지켜야할 표준(Standard)
세부적인 기술이 아니라 일반적인 절차 표준(Standard는 Genral하니깐)
- Guidelines
어떻게 해라는 지 알려주는거
- Procedures
가장 하위 문서 -> 세세한거 담고 있음
국내의 보안 정책
- 정보 보안 정책서
보호해야 할 정보 자산 정의 (Domain 설정)
기본 목표와 방향성 설정
- 정보 보안 지침서
기준이 되는 문서
조직의 구성과 운영에 대한 내용
- 정보 자산 분류 절차서
- 전산센터 운영 절차서
- 시스템 보안 절차서
- 네트워크 정보 보안 절차서
- 보안 시스템 정보 보안 절차서
- 개발 보안 절차서
- 일반 사용자 정보 보안 절차서
- 침해 사고 및 장애 대응 절차서
- 정보 보안 교육 훈련 절차서
- 제3자 및 아웃소싱 보안 절차서
보안 인증
TCSEC
ITSEC
CC == TCSEC + ITSEC
PP(Protection Profile)평가 -> ST(Security Target) 평가 -> TOE(Target of Evaluation) 평가
개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다.
신분관계
개인성향
심신상태
사회경력
경제관계
기타
컴퓨터윤리기관에서 발표한 윤리 강령 10계명
컴퓨터를 타인을 해치는 데 사용하지 않는다.
타인의 컴퓨터 작업을 방해하지 않는다.
타인의 컴퓨터 파일을 염탐하지 않는다.
컴퓨터를 절도해서 사용하지 않는다.
거짓 증거로 컴퓨터를 사용하지 않는다.
소유권 없는 소프트웨어를 사용하거나 불법 복제하지 않는다.
승인이나 적절한 보상 없이 타인의 컴퓨터를 사용하지 않는다.
타인의 지적 재산권을 침해하지 않는다.
자신이 만든 프로그램이나 시스템으로 인한 사회적 결과에 책임을 진다.
동료를 고려하고 존중하는 방식으로 컴퓨터를 사용한다.