project-bs

■ 위험관리 (Risk Management) - 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정 - 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, 이에 대한 위협 및 취약점을 분석하여 위험을 측정하고, 이를 조직에 적합한 위험수준으로 조정하기 위해 보안대책을 선택하는 일련의 활동이다 - 위험관리는 위험분석과 위험평가가 주된 활동이다 - 위험관리는 보호대상, 위험요소, 취약점 분석 등을 통한 위험분석, 적절한 메커니즘의 선택, 선택된 메커니즘의 구현과 시험, 구현된 메커니즘의 보안성 평가, 종합적인 보안의 재평가를 포함 - 위험평가는 분석 결과를 기초로 현황..

구분 설명 ISO/IEC 27000 (Overview & Vocabulary) - ISMS 수립 및 인증에 관한 원칙과 용어를 규정하는 표준 ISO/IEC 27001 (ISMS requirements standard) - ISMS 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하기 위한 요구사항을 규정 - ISMS Requirements/ISMS에 대한 심사 및 인증 규격 (BS7799 part Ⅱ) - 정보보안관리시스템 문서화 수립 실행에 대한 요구사항 규정 - 기업에 대한 정보보안 관리 규격을 정의하고 있으며 실심사/인증용으로 사용 ISO/IEC 27002 (code of practice for ISMS) - ISMS 수립, 구현 및 유지하기 위해 공통적으로 적용할 수 있는 실무적인 지침 및 일..

■ 정보보호 정책 - 정보보호 정책이란 조직의 정보보호에 대한 방향과 전략 그리고 정보보호체계의 근거를 제시하는 매우 중요한 문서로 최고 경영자 등 경영진의 정보보호에 대한 의지 및 방향, 조직의 정보보호 목적, 조직의 정보보호 범위, 조직의 정보보호 책임과 더불어 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거가 된다 1) 정보보호 정책 - 정보보호 정책이란 어떤 조직이 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술이다 - 정보보호 정책의 목표를 결정하지 않고서는 보안에 관하여 적절한 결정을 할 수 없다 - 정보보호관리자는 시스템의 안전성과 사용의 용이성을 동시에 고려하여 우선과제를 선정해야 한다 - 정보보호 정책의 내용에는 필요한 보호의 수준에 따른 자산의 분류를..