Transcript 정보보호관리체계

정보보호 관리체계
인증요구사항 및 컨설팅의 활용
넷시큐어테크놀로지
신수정 박사
[email protected]
ISMS 인증 전문가 초청 세미나
목차
I.
정보보호관리체계
II. 인증의 요구
III. 담당자의 고민
IV. 대응방안
V. 컨설팅의 활용
VI. 시스템의 활용
VII. 맺는말
1
ISMS 인증 전문가 초청 세미나
I.
정보보호관리체계
정보보호관리체계는 조직내 정보자산의 비밀성, 무결성, 가용성 등 정보보호
목적의 적절한 수준을 달성하고 유지하기 위한 활동을 기획, 구현, 운영 및
감사하기 위 한 일련의 관 리과정과 이 러한 과정을 통해 선택되 고 구현된
정보보호대책으로 구성됨
정보보호 관리 과정
정보보호 대책
정보보호정책
정보보호조직
정보보호
정책 및 조직
정보자산분류
정보보호 교육 및 훈련
사후관리
범위설정 및
정보자산식별
외부자
보안
구현 및
운영
인적
보안
물리적
보안
시스템
개발
보안
암호
통제
접근
통제
운영
관리
전자
거래
보안
보안
사고
관리
위험관리
업무 연속성 관리
2
검토,
모니
터링,
감사
ISMS 인증 전문가 초청 세미나
I.
정보보호관리체계
정보보호대책은 관리적, 기술적, 운영적 대책으로 구성되며 세부적으로는 다음과
같은 항목을 포함함.
정보보호정책
 정책의 문서화와 공표
 정책의 체계
 정책의 유지관리
외부자 보안
 계약 및 SLA관리
 외부자 보안실행관리
정보보호조직
 조직의 체계
 책임과 역할
정보보호교육
 교육 및 훈련 프로그램 수립
 시행 및 평가
물리적 보안
인적보안
 책임할당 및 규정화
 적격심사 및 직무관리
 비밀유지




물리적 보호대책
데이타센터 보호
장비보호
사무실 보호
정보자산 분류
 정보자산 조사 및 책임할당
 정보자산 분류 및 취급
시스템 개발 보안
 분석 및 설계 보안
 구현 및 이행 보안
 변경관리
3
ISMS 인증 전문가 초청 세미나
I.
정보보호관리체계
정보보호대책은 관리적, 기술적, 운영적 대책으로 구성되며 세부적으로는 다음과
같은 항목을 포함함.
암호통제
 암호 정책
 암호 사용
 키관리
 접근 통제 정책
 사용자 접근 관리
 접근 통제 영역
보안사고관리
 대응계획 및 체계
 대응 및 복구
 사후관리
운영관리
접근통제
검토, 모니터링,감사




법적 요구사항 준수검토
정보보호정책 준수검토
모니터링
보안감사






운영 절차 및 책임
시스템 운영
네트워크 운영
매체 및 문서관리
악성소프트웨어 통제
이동컴퓨터 및 원격작업
전자거래





교환합의서
전자거래 보안
전자우편
공개서버 보안
이용자 공지
업무 연속성 관리
 관리체계 수립
 계획수립 과 구현
 시험 및 유지관리
4
ISMS 인증 전문가 초청 세미나
II.
인증의 요구
정보보호관리체계의 수립 및 유지관리에 대해 최근 인증의 요구가 대두됨.
정보통신부
BS7799
1단계
정보보안정책
정보보안정책 정의
문서화
정보보호
관리과정
세부통제사항
2단계
ISMS범위
ISMS범위 정의
문서화
문서화
정보자산
3단계
위험, 취약성 영향
위험평가
위험평가 수행
문서화
민간인증(TRUSECURE 등)
결과와 결론
4단계
조직의 위험관리
접근법
위험관리
요구되는
보증수준
5단계
BS7799 Part2 통제
목적과 통제
추가적인
통제
IDENTIFY Information Asset
관리되는 위험분야
문서화
ASSESS Security Risks to organization
선택된 통제대안
통제목적과
구현되는 통제선택
선택이유
IDENTIFY: The process begins with TruSecure's unique method
for identifying the critical assets of the organization: data, devices,
networks, users and physical locations.
ASSESS: The next phase involves a comprehensive risk assessment,
based on TruSecure's unparalleled knowledge of what issues pose
the greatest risks to organizations in the real world.
문서화
PROTECT critical assets and information
PROTECT: TruSecure's patent-pending methodology employs
layered security controls that cost-effectively reduce risk without
imposing excessive burdens on employees.
선택된 통제목적과통제
6단계
적용성보고서 정의
적용성문서
ASSURE Risks to maintain effective security
문서화
•ASSURE: After an organization achieves TruSecure ertification,
the focus is ensuring that it maintains an effective security posture
over time.
5
ISMS 인증 전문가 초청 세미나
III.
담당자의 고민
정보보호관리자는 기존의 요구뿐 아니라 인증의 요구를 어떻게 해결할까에 대한
고민에 직면하게 됨.
 안전한 보안 환경으로 Business 사업 확장
에 대한 자신감 확보
 경영층 및 내부 조직의 요구
 고객의 신뢰성 제고 및 이미지 향상
 고객의 요구
 안전한 보안 환경으로 Business 사업 확장
에 대한 자신감 확보
 감독기관의 요구
 고객의 신뢰성 제고 및 이미지 향상
 인력의 부족

보안
침해 보안
사고 환경으로
억제  예방
및 발생시의
안전한
Business
사업 확장
즉각적인
대응
체제
정립
에 대한 자신감 확보
 불법적인 사용 통제 및 대외 중요 정보
고객의
신뢰성 제고 및 이미지 향상
유출인식과
방지 투자의 부족
 보안 측면의 자원 사용 현황 분석
 전문성의 부족
 안전한 보안 환경으로 Business 사업 확장
에정책
대한및
자신감
확보보안 프로세스 정립,
 보안
체계적인
보안조직
및
역할 제고
강화를
내부
보안 의식

신뢰성
이미지
향상
고객의
프로세스의
부족및 통해
을 고취하고 실질적인 보안 수준을 확보
게다가….
인증의 요구까지 !!!
6
ISMS 인증 전문가 초청 세미나
III.
담당자의 고민
정보보호관리체계를 제대로 수립하고 유지하면 인증의 요구에도 적극적으로
대응할 수 있지만 관리체계의 수립 및 유지가 어려운 많은 이유들이 존재함.
정보보호관리체계 수립 및 유지가 어려운 이유
컨설팅도 받았는데…
 프로세스 정착의 어려움
Design
 조직/책임/역할/권한의 불분명 및 협조체계
미흡
 적절한 위험평가 기법의 적용부족
Assess
Deploy
 장기간의 유지보수와 변경관리활동 어려움.
 주기적인 측정 부족.
Manage
7
ISMS 인증 전문가 초청 세미나
IV.
대응방안
결국 정보보호체계를 효과적으로 수립하고 유지하며, 인증의 요구까지 대응하기
위해서는 관리의 중점화, 시스템화, 컨설팅 회사와의 파트너쉽이 요구됨.
대응방안
 관리체계 프레임웍 설정
Design
 위험평가 스킴 채택 및 문서화
Assess
Deploy
 보안관련 문서체계의 정립
Manage
 주요 프로세스의 선정 및 이행
 적용명세 관리
이행과 관리의 중점화
시스템화
 효과적인 변경관리
컨설팅 회사와의 PartnerShip
8
ISMS 인증 전문가 초청 세미나
V.
컨설팅의 활용
컨설팅회사의 효과적인 활용은 신속한 체계구축에 상당한 도움을 줄 수 있고
전사적인 참여를 유도할 수 있음. 또한 기업은 컨설팅회사를 활용함으로써
인증노하우를 빠른 시간내 습득할 수 있음.
컨설팅의 접근
GAP분석
평가
범위설정
개선안 도출
자산분석
적용성 평가
이행지원
개선계획수립
GAP분석
위험평가
구현
증적 관리
인증심사지원
대책선정
인증심사
9
ISMS 인증 전문가 초청 세미나
V.
컨설팅의 활용
보안관리체계구축 및 인증대비를 위해 컨설팅업체를 활용할 경우 기업은 업체의
선정시 다양한 사항을 고려해야 하며, 기업자체적으로도 준비가 필요함.
컨설팅 선택 및 활용시 유의사항
컨설팅 회사
 기존의 취약성 분석 중심의 컨설팅과는
다른 패턴이 요구됨.
기업
 컨설팅회사에 모든 것을 맡기는 방식이
되어서는 안됨.
 감사의 시각을 반영할 수 있어야 함.
 스스로 체계운영을 할 수 있어야 함
 위험관리의 경험이 풍부해야 함.
 스스로 변경관리를 할 수 있어야 함.
 기업에 스스로의 힘을 길러줄 수 있어야 함.
 인증을 위한 작업이 되어서는 안됨.
 지속적인 관계 컨설팅을 수행할 수 있어야
 문서산출만의 작업이 되어서는 안됨.
함.
 시스템화 할 수 있는 능력이 필요함.
10
ISMS 인증 전문가 초청 세미나
VI.
시스템의 활용
보안관리체계의 효과적인 구축과 운영을 위해서는 시스템화가 중요함.
넷시큐어테크는 그동안의 다양한 컨설팅 경험을 활용하여 ‘정보보호관리체계
시스템’ 을 자체 개발하여 이러한 요구에 부응하고 있음.
11
ISMS 인증 전문가 초청 세미나
VI.
시스템의 활용
보안관리체계의 효과적인 구축과 운영을 위해서는 시스템화가 중요함.
넷시큐어테크는 그동안의 다양한 컨설팅 경험을 활용하여 ‘정보보호관리체계
시스템’ 을 자체 개발하여 이러한 요구에 부응하고 있음.
12
ISMS 인증 전문가 초청 세미나
VII.
맺는 말
• 인증을 정보보호체계구축 및 정착의 기회로 활용
• 정보보호체계구축 및 정착의 핵심요소는 인식 및 의지, 시스템화, 컨설팅
업체와의 효과적인 파트너쉽임.
• 인증의 요구와 관련하여 기업간의 Best Practice 및 성공사례의 공유기
회를 활성화할 필요가 있슴.
• 인증만을 위한 준비는 수 많은 쓸모없는 문서만 양산함.
• 인증을 돈으로 획득하는 방식의 접근은 궁극적으로 고객과 컨설팅 업체
모두를 실패하게 함.
13
ISMS 인증 전문가 초청 세미나
감사합니다!
Q&A
14