정보보호 마스터플랜

Download Report

Transcript 정보보호 마스터플랜 

I. 정보보호 컨설팅 개요
학교의 관리적·기술적·물리적 영역에 대한 정보보호 현황과 문제점을 인식하고, 장기적인 관점에서 목표 수준을
설정하며, 이를 달성하기 위한 종합적인 정보보호 관리 체계를 수립하는데 목적이 있습니다
과학기술 분야
중요 연구 정보자원 보유기관으로서
정보보호 수준 및 신뢰성 향상
POSTECH
정보자산 및
관리체계 전반에
대한 보안
컨설팅 실시
대학 환경에 특화된 정보보호관리체계 구축
정보자산 ‘취약성’ 개선
 보안 영역별 정보보호 취약점
분석 및 제거
 현행 정보보호 수준의 진단
정보보호 대책의
목표달성을 위한
사업 실행의
근거 확보
(대학 ISMS 구축 및 개인 정보보호체계 강화)
중장기 정보보호 목표 설정
및 마스터플랜 수립
종합적인 정보보호 체계 구축
 향후 정보보호 목표달성을 위한
추진 로드맵 구축
 ‘정보보호 정책 및 지침’ 개발
 ‘개인정보보호’ 체계 수립
주) ISMS (정보보호 관리 체계) : Information Security Management System 의 약자로 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현,
사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계이다.
0
II. 정보보호 컨설팅 수행 내용
대학의 정보자산과 업무에 대한 현황 조사 및 분석을 하고, 정보자산에 대한 취약성 분석을 통하여 정보보호 수준을
평가하고, 정보보호 관리체계 수립과 정보보호 장/단기 추진 사업을 포함하는 정보보호 마스터플랜을 수립합니다.
또한, 마스터플랜에서 제시된 추진 사업별로 구체적인 분석 및 설계와 구축 방안을 수립합니다.
대상 업무 범위
프로젝트 수행 내용
 환경 및 자산 분석
 환경 및 자산 분석
- POSTECH의 정보자산 현황 조사 및 분석
- 정보자산의 현황 분석 및 중요도 평가
- 조직 및 인력 현황 조사 및 분석
- 대학전체의 정보자산 대상 ( 대학, 가속기, 법인 포함)
 취약점 분석 및 위험 평가
- 취약점 진단 대상 시스템
> 서버 및 네트워크 장비 (OS 및 용도별 표본 진단)
> PC (대학법인 및 교수 PC 포함)
* 중앙전산실의 정보자산(하드웨어 및 정보시스템 등) 모두 포함
- 모의해킹 : 외부 모의해킹 시나리오 기반의 진단
- 정보보호 대책 수립 및 정보보호 수준 평가
> ISO27001의 통제 기준 범위 준용
 취약점 분석 및 위험 평가
- 분석 전략 수립
> 분석 방법론 및 툴, 분석대상 선정 기준 수립
- 관리, 물리, 기술적 보안 영역별 취약점 진단
(인터뷰, 문서검토, 실사, 모의해킹 등 기법 활용)
- 노출된 보안 취약점에 따른 보안 위험(수준) 평가
- 보안 취약점에 따른 보안 대책 제시(긴급대응조치 포함)
 정보보호 관리체계 구축
 정보보호 관리체계 구축
- 대학조직 전체를 대상으로 하여 정보보호 정책/지침을 제·개정
- POSTECH 정보보호 정책/지침 설계 및 문서화
 정보보호 Master Plan
 정보보호 Master Plan
- 관리/기술/물리보안 영역을 포함한 종합적인 정보보호 아키텍처 설계
- 2008년부터 2~3년 이내 추진 가능한 정보보호 MP 추진 과제 제시
- 단기/중장기 보안 과제 도출 및 추진 우선순위 분석
- MP과제별 정보보호 아키텍처 설계 및 모델링
- 과제별 기본 추진 절차 및 방법 제시
 MP 상세 이행계획 수립
- 주요 정보보호 MP 과제에 대한 상세 이행 방안 설계
(정보보호 MP과제 도출 이후, POSTECH TFT와 협의를 통하여
상세 이행 방안 설계 대상이 되는 과제 선정)
 MP 상세 이행계획 수립
- MP과제의 상세 설계 및 Best Practice 제시
- MP과제의 구체적 실행계획서 작성 및 소요예산 산출
주) ISO27001 : 국제표준화기구(ISO)에서 제정한 국제 정보보호 관리체계에 대한 국제규격으로, 현재 정보보호분야에서 가장 권위 있는 국제인증이다.
1
III. 단계별 수행결과 산출물
단계별 수행 결과 다음과 같은 산출물을 제공하며 그 내용은 다음과 같습니다.
단계
수행내용
환경 및
자산분석
산출물명
• 환경 분석서
산출물 내용
환경의 이해와 정보보호 관리체계 현황파악, 자산현황 파악
• 관리적 보안 취약점 분석서 관리 및 물리적 보안 진단 결과 발견된 취약점 및 대응방안 제시
AS – IS
분석 단계
TO – BE
모델링
단계
취약점
분석
• 서버 취약점 분석서
• 네트워크/보안시스템
취약점 분석서
• PC 취약점 분석서
서버 진단 결과 발견된 취약점 및 대응방안 제시
네트워크 및 보안시스템 진단 결과 발견된 취약점 및 대응방안 제시
PC 진단 결과 발견된 취약점 및 대응방안 제시
• 모의해킹 진단 보고서
시나리오 별 모의해킹 결과 및 DB/어플리케이션 발견된 취약점, 이에
대한 개선 및 조치방안 제시
위험평가
• 정보보호 위험 평가서
대상자산과 관련된 위협, 취약점 분석, 위험평가 및 위험관리방안 선정,
보안 목표 수준 정의(DoA)
정보보호
관리체계
구축
• 정보보호 정책 및 지침
정보보호 정책/지침의 제정 및 개정
정보보호 • 정보보호 마스터플랜
Master Plan
• MP 상세 이행 계획서
정보보호 추진 과제 정의 및 우선순위 평가, 과제별 추진 로드맵 및 ToBe Model 제시
정보보호 마스터플랜 사업별 상세설계 및 구체적인 실행계획 수립
2