관리 메뉴

c0smicb0y

거버넌스 본문

정보보안/보안개론

거버넌스

2015. 9. 7. 00:43

거버넌스: 조직의 보안을 달성하기 위한 구성원들 간의 지배 구조

거버넌스 구현의 어려움
    1. 효율적 조직 구성의 어려움
    2. 성과 측정의 어려움
    3. 경영진과 조직 구성원의 무관심

거버넌스 구현 요건
    1. 전략적 연계
    2. 위험 관리
    3. 자원 관리
    4. 성과 관리
    5. 가치 전달

ISMS(Information Security Management System)
    1.계획
    2.수행
    3.점검
    4.조치

정보보안 책임자 주요 업무 (안정적인 활동을 보장하는 사람)
    1. 적정한 예산 확보하고 지원 (budget)
    2. 조직 구성하고 적정한 인적 자원 지원(staffing)
    3. 필요시 적정한 내외부 정보 보안 교육 지원 (education)
    4. 필요한 지침과 절차 수립하고 시행할 수 있도록 지원 (policy)
    5. 보안 활동이 지속적으로 이행될 수 있도록 보장하고 지원

정보보안 관리자 주요 업무 (부장?)
    1. 정보보안 업무 기획하고 점검
    2. 시스템 담당자 및 일반 사용자의 정보보안활동 실천 독려
    3. 정보 보안 담장자의 의견을 기술적으로 검토한 후 관련 조치 지시
    4. 각종 시스템 관련 작업 요청에 대한 검토 및 수행

정보보안 담당자 (대리?)
    1. 전체 시스템 보안 관리
    2. 일반 사용자에게 보안 교육
    3. 웜, 바이러스 대비

각 부서 및 팀별 정보 보안 담당자
    1. 일일 팀별 보안 점검을 수행
    2. 팀 내에 보안문제 있으면 보안팀에 전달

보안 정책
    문서화수준 == 회사수준
    정책->목적관 방향에 따라 구분
        1. 규칙으로 지켜져야 할 정책 (법)
        2. 하려는 일에 부합하는 정책이 없을 때 참고하거나 지키도록 권유하는 정책 (법 만들어줭)
        3. 어떠한 정보나 사실을 알리는 데 목적이 있는 정책 (신문)

영미권 보안 정책
    - Security Policy
        가장 힘쎈놈
        상위 관리자가 만든 보안 활동에 대한 일반 사항
        기록 사항
            - 보호하고자 하는 자산(Domain 설정)
            - 정보의 소유자와 그에 대한 역할과 책임 (권한 부여)
            - 관리되는 정보의 분류와 기준 (관리의 용이함)
            - 관리에 필요한 기본적인 통제 내용 (내용)
    - Standards
        소프트웨어나 하드웨어 사용할때 지켜야할 표준(Standard)
        세부적인 기술이 아니라 일반적인 절차 표준(Standard는 Genral하니깐)
    - Guidelines
        어떻게 해라는 지 알려주는거
    - Procedures
        가장 하위 문서 -> 세세한거 담고 있음

국내의 보안 정책
    - 정보 보안 정책서
        보호해야 할 정보 자산 정의 (Domain 설정)
        기본 목표와 방향성 설정
    - 정보 보안 지침서
        기준이 되는 문서
        조직의 구성과 운영에 대한 내용
    - 정보 자산 분류 절차서
    - 전산센터 운영 절차서
    - 시스템 보안 절차서
    - 네트워크 정보 보안 절차서
    - 보안 시스템 정보 보안 절차서
    - 개발 보안 절차서
    - 일반 사용자 정보 보안 절차서
    - 침해 사고 및 장애 대응 절차서
    - 정보 보안 교육 훈련 절차서
    - 제3자 및 아웃소싱 보안 절차서

보안 인증
    TCSEC
    ITSEC
    CC == TCSEC + ITSEC
        PP(Protection Profile)평가 -> ST(Security Target) 평가 -> TOE(Target of Evaluation) 평가

개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다.
    신분관계
    개인성향
    심신상태
    사회경력
    경제관계
    기타

컴퓨터윤리기관에서 발표한 윤리 강령 10계명
    컴퓨터를 타인을 해치는 데 사용하지 않는다.
    타인의 컴퓨터 작업을 방해하지 않는다.
    타인의 컴퓨터 파일을 염탐하지 않는다.
    컴퓨터를 절도해서 사용하지 않는다.
    거짓 증거로 컴퓨터를 사용하지 않는다.
    소유권 없는 소프트웨어를 사용하거나 불법 복제하지 않는다.
    승인이나 적절한 보상 없이 타인의 컴퓨터를 사용하지 않는다.
    타인의 지적 재산권을 침해하지 않는다.
    자신이 만든 프로그램이나 시스템으로 인한 사회적 결과에 책임을 진다.
    동료를 고려하고 존중하는 방식으로 컴퓨터를 사용한다.

Comments