Transcript 정보보호관리체계 수립 방법론(2004/12-KISA세미나

정보보호관리체계 수립 방법
2004.12
신수정 박사
([email protected])
목 차
1.
2.
3.
4.
5.
6.
7.
8.
보안 위험의 특징
기업의 목표
어떻게 대응할 것인가?
위험평가
체계 및 계획 수립
운영 및 점검
시스템화
보안이 잘되는 기업의 비밀
2
I. 보안 위험의 특징
보
안
수
준
(2)
-
새로운 보안위험의 증가
신규 자산의 증가
위협의 증가
새로운 취약성의 증가
보
안
위
험
위험의 GAP
(1) 지속적인 관리 방안의 부족
TIME
• Risk 존재의 근본적인 이유
- 정보시스템 및 전산망이 Static하지 않음  새로운 대상 출현
- 공격의 형태와 방법이 Static 하지 않음  새로운 공격 출현
- 모든 서비스를 폐쇄할 수 없음
3
2. 기업의 목표
보
안
수
준
보
안
수
준
보
안
위
험
보
안
위
험
위험의
GAP
TIME
TIME
4
3. 어떻게 대응할 것인가?
보안 시스템 구축
취약성 분석 및 대책
3
보안정책 수립…
5
3. 어떻게 대응할 것인가?
Source: Gatner
6
3. 어떻게 대응할 것인가?
위험평가
체계/계획수립
보안관리 프로세스
구현
운영 및 점검
7
4. 위험평가
위험평가
체계/계획수립
보안관리
프로세스
구현
운영 및 점검
8
5. 체계 및 계획 수립
위험평가
체계/계획수립
보안관리
프로세스
구현
운영 및 점검
9
5. 체계 및 계획 수립
정책 체계
10
5. 체계 및 계획 수립
정책 체계
11
5. 체계 및 계획 수립
프로세스 체계
12
5. 체계 및 계획 수립
기술 체계
Data
Application
User
System(OS)
Network
Physical
13
5. 체계 및 계획 수립
기술 체계
14
5. 체계 및 계획 수립
서비스 관점의 체계
예방
물리
기술 관리
15
6. 운영 및 점검
위험평가
체계/계획수립
보안관리
프로세스
구현
이행 관리
운영 및 점검
변화 관리
수준 관리
점검/감사 관리
16
6. 운영 및 점검
이행 관리
17
6. 운영 및 점검
변화 관리
18
6. 운영 및 점검
수준 관리
19
6. 운영 및 점검
수준 관리
20
6. 운영 및 점검
수준 관리
21
6. 운영 및 점검
수준 관리
서비스 수준 합의
보안 측정 지표
보안 서비스 수준 조사
서비스
수준
조사
설명회
보안
능력
조사
사용자
기대
수준
조사
측정 단위를 고려한
포트폴리오의 구성
보안 서비스 수준 조사 결과
분석
갭 도출 및 보안 서비스
수준 조정
보안 서비스 수준 합의
22
6. 운영 및 점검
점검 관리
주요 감사 목적
1. 외부의 보안 침투 및 정보
유출 위험에 대해 얼마나 안
전한가?
주요 점검 사항
1)
2)
3)
2. 내부자에 의한 정보 유출
1)
위험에 대해 얼마나 안전한가?
2)
3)
대상
주요 기술적 필요사항
보안 전반의 관리
적인 실태
보안 전반의 물리
적인 실태
기술적인 실태
1)
본사
– 보안 침투 및
회사 기밀 정보
유출 위험 초점
2) A사업 보안침투 및
고객정보 유출
위험 초점
1) 시스템, 네트워크, APPlication,
보안시스템 에 대한 기술적 취약성 분
석(Sampling 또는 전수)
2) 인터넷 상에서의 모의해킹을 통한
가상 침투시험
3) 내부망에서의 모의해킹을 통한 가
상 침투시험
내부 정보에 대한
관리적인 실태
내부 정보의 물리
적인 보안 실태
내부 정보 유출의
기술적인 실태
1) 본사
2) 공장
3) A사업 보안침투 및
고객정보 유출
위험
1)
2)
23
내부 정보 유출 경로 분석
내부 정보 유출 가능성 시험
7. 시스템화
24
8. 보안이 잘 되는 기업의 비밀
• 명확한 관리체계
• 지속 적인 유지 대책
- 기본보안시스템 + 철저한 운영 및 관리
-주기적인 최신 취약성 정보 획득 및 대응
- 주기적인 취약성 분석/모의침투 및 대책 이행
- 변화관리
- 주기적인 Compliance Check
- 측정 및 감사
25
8. 보안이 잘 되는 기업의 비밀
Source: CIO/CSO Magazine
26
Thank you