project-bs

■ PDCA모델 - PDCA(Plan Do Check Action)란 계획을 세우고(Plan), 행동하고(Do), 평가하고(Check), 개선한다(Act)는 일련의 업무 사이클이다 - 미국의 통계학자 W.Edwards Deming이 체계화 한 이론으로 '데밍 사이클'이라고도 불린다 - 계획 → 실천 → 확인 → 조치를 반복해서 실행하여 목표를 달성하고자 하는 데 사용하는 기법이다 - ISO(국제표준화기구) 27001에서는 PDCA 모델을 통해 ISMS를 발전시킬 수 있다고 말한다 - ISO/IEC 27001의 보안 위험 관리를 위한 PDCA 모델은 IT 기술과 위험 환경의 변화에 대응하기 위하여 반복되어야 하는 순환적 프로세스이다 ■ PDCA의 4가지 단계 1) Plan (계획) - 개선활동에 앞서 실시..

■ 국내 보안인증 체계 및 혜택 비교 ■ 국내 개인정보 보호 관련제도 현황

■ PIA (개인정보영향평가) - 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보시스템의 중대한 변경 시 동 시스템의 구축ㆍ운영ㆍ변경이 개인 프라이버시에 미치는 영향에 대하여 사전에 조사ㆍ예측ㆍ검토하여 개선방안을 도출하는 체계적인 절차를 말한다 - 기존 마케팅 중심의 사고로 볼 때는 우선 사업을 추진해 성과를 극대화하는 데 전력을 다하고, 만약의 경우 개인정보와 관련한 보안사고가 발생할 경우 수익을 손해배상 비용으로 지출한다는 사후 대응 개념이었다면, 개인정보영향평가는 사전 예방으로 사후 비용을 절감한다는 보다 적극적인 예방중심의 활동이라고 볼 수 있다 ★ PIA의 배경 - 정보화사회의 급속한 바전 : 행정, 교육, 의료 등 다양한 분야에서 정보의존도 및 활용성이 증가..

■ PIMS의 개념 (Personal Information Management System) - 기업이 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도 ■ PIMS의 인증체계 1) PIMS의 인증체계 - 3년간 인증이 유효하며, 1년에 한 번씩 사후관리를 수행해야 한다 2) PIMS 인증심사기준 관리과정 요구사항 (ISMS) 보호대책 요구사항 생명주기 요구사항 - 개인정보 정책 수립 - 관리체계 범위 설정 - 위험관리 - 구현 - 사후관리 - 개인정보 보호정책 - 교육 및 훈련 - 기술적 보호조치 - 물리적 보호조치 - 내부검토 및 감사 - 개인정보 분류 - 개인정보 수집에 따른 조치 - 개인정보 이용 및 제공..

■ 정보보호관리체계 - 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미한다 - 정보보호관리라고 하는 것은 대내적으로 조직 자체적인 정보보호관리체계를 수립, 운영하고 있더라도 조직 전반적인 차원에서 그 신뢰성과 효과에 대한 의문이 발생할 수 있다. 따라서 정보보호관리체계 인증은 내부적인 평가만으로 대외 신인도를 제고하기 어렵다는 문제를 해결하기 위해 개발되었다 ■ BS7799 (ISO/IEC 17799) - BS7799는 정보보호관리체계에 대한 표준으로 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건별로 해석해놓은 규격으로 기업이 고객정보의 기밀성, 무결성, 가용성을 보장한다는 것을 공개적으..

■ 보안 제품 평가방법 및 기준 1. TCSEC 보안등급 (보안시스템 평가 기준) - TCSEC (Trusted Computer System Evaluation Criteria)는 흔히 Orange Book이라고 불리는 Rainbow Series1이라는 미 국방부 문서 중 하나이다. TCSEC는 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년에 그 지침이 발표되었으며, 1983년에 미국 정보 보안 조례로 세계에서 최초로 공표되었고 1995년에 공식화되었다. 무척 오랜 역사를 가진 인증으로 지금까지도 보아 ㄴ솔루션을 개발할 때 기준이 되는 표준이다 - 효과적인 정보보호시스템 평가기준 개발과 이러한 기준에 맞게 개발된 제품들을 평가하는 데 초점을 두고 있다 - TCSEC의 세부 등급은 'D→C1..

■ 침해사고 대응과 포렌식 1. CERT (Computer Emergency Response Team : 침해사고대응팀) - 침입사고를 보고받고 상황 분석 및 상황에 대응하는 업무를 수행하는 팀을 말한다 - 정보통신망 등의 침해사고에 대응하기 위해 기업이나 기관의 업무 관할 지역 내에서 침해사고의 접수 및 처리 지원을 비롯해 예방, 피해 복구 등의 임무를 수행하는 조직을 말한다 ☆ CERT 조직 구성 ⓐ 정보보호위원회 - IT 센터의 장, 고문, 각 팀장, 운영파트장, 기업 정보보호 전담조직의 장으로 구성되며 정보보호 관련 최고 의사결정 기구 역할을 한다 ⓑ 정보보호 전담조직 - 정보보호 전담조직은 IT 센터장 직속기구이며, 회사 전체 내 정보보호 활동 및 보안 취약성 점검 기능을 수행한다 ⓒ 정보보호 ..

■ BCP (업무연속성 계획) - 각종 재해나 재난 발생에 대비하여 핵심 시스템의 가용성과 신뢰성을 회복하고 업무의 연속성을 유지하기 위한 일련의 계획과 절차를 일컬으며, 단순한 데이터의 복구나 원상회복뿐만 아니라 업무의 지속성을 보장하고 이를 통해 조직의 신뢰도를 유지하고 나아가 전체적인 신뢰성 유지와 가치를 최대화하는 방법 - 지진, 홍수 등의 천재지변이나 재해 발생 시 시스템 복구, 데이터 복원 등 IT의 단순 복구차원을 넘어, 기업 비즈니스 연속성을 보장할 수 있는 계획 수립으로 24시간 비즈니스 운영체제를 구축한다 - 업무연속성계획(BCP)을 검토할 경우, 정보보호 관리자가 가장 중요하게 검토해야 하는 것은 비관적인(최악의) 시나리오이다 ★ BCP의 필요성 - 업무연속성 계획이 추구하는 가장 중..

■ RTO (Recovery Time Objective) - RTO란 정보시스템이 재해로 인하여 서비스가 중단되었을 때, 서비스를 복구하는 데 걸리는 최대 허용시간 - 즉 RTO가 '0'이라는 의미는 정보시스템에 재해가 발생했을 때 서비스를 복구하는 데 걸리는 시간이 '0'이라는 의미로서, 재해에도 불구하고 서비스가 중단되지 않는 상황을 의미한다 - 재해의 발생에도 불구하고 무중단서비스를 제공하기 위해서는 재해복구계획(DRP : Disaster Recovery Planning)에 의한 재해복구시스템(DRS : Disaster Recovery System)을 RTO가 '0'이 되는 수준으로 갖추어야 한다 ■ 재해복구계획 (DRP : Disaster Recovery Planning) - 정보기술서비스에 대하..

■ 위험평가 - 위험평가는 자산 분석, 취약점 분석, 위협 분석, 대응책 분석을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 보안대책을 제시해주는 단계이다 - 위험평가 과정은 정량적 또는 정성적 위험평가 방법을 사용하여 위험을 나타내고, 이를 ㅏ탕으로 위험이 높은 것부터 낮은 것까지 순위를 결정한다 - 위험순위를 바탕으로 가장 위험한 자산과 필요 대응책을 도출하며, 대응책 실시비용과 감소된 위험수준을 고려하는 비용효과 분석을 실시한다 ** 위험평가의 목적 - 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것 ■ 위험대책 1) 위험관리 전략 및 방법 - 위험관리 작업반은 일반적으로 해당 업무 프로세스와 위험요인을 이해하는 실무 책..