10.13 강의내용 및 필기

isms 관리과정 5단계.pdf

정보보호 정책수립(강의용).pptx

정보보호 정책수립

2016년 10월 13일 목요일

오전 9:31

ISMS (Information Security Management System)

: 기업(조직)이 각종 위협으로 부터 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 종합적인 정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도. 정보보호 관리체계 인증

(정보자산 보호를 위한 최소한의 인증)

 

ISMS 의무 대상자: ISP, IDC, 정보통신 서비스 제공자

 

ISMS 자율 신청기업

: 입찰 참여 기업 - 국가 또는 민간사업 조달 등

 중요자산 취급분야 - 금융, 교육, 의료, 통신, 포털, 기타

 외부평가 대상 기업 - IT 경영평가, 신용평가, 회계감사 등

 고객정보 아웃소싱 기업 - 고객정보를 위탁 관리, 운영

 

ISMS 추진체계

: 미래창조과학부 ㅡ KISA (인증기관) ㅡ 인증위원회

|

인증심사원

 

인증심사 종류

: 최초심사, 사후심사, 사후심사, 갱신심사 (1년 간격)

 

ISMS 수립 프로세스 (정보보호관리체계 5단계 관리과정)

• 정책수립, 조직 및 책임의 설정
• 정보보호관리체계 범위설정
• 위험관리
• 정보보호 대책구현
• 사후관리

 

위험관리과정 5단계

• 위험관리전략 및 계획수립
• 위험분석
• 위험평가: 위험%, 예상피해% 평가, 수용가능위험(DoA)  수준 결정
• 정보보호 대책수립
• 정보보호 계획수립

 

위험분석 용어

위험 = f(자산, 위협, 취약성)

: 원하지 않는 사건이 발생하여 영향을 미칠 가능성

자산: 보호해야할 대상

위협: 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인

취약성: 자산의 잠재적 속성으로 위협의 이용 대상이 되는 것

 

위험관리과정에서의 정보보호 대책수립

 위험분석 및 평가

• 위험 수용: 수용 가능한 목표 위험수준보다 낮은 위험 수용
• 위험 감소: 위험을 수용 가능한 수준 이하로 낮출 수 있는 경우

대책수립을 통한 위험감소 방안 채택

• 위험 회피: 위험이 너무 큰 경우, 효과적 대책이 없을 때 회피
• 위험 전가: 발생 가능성은 낮지만 피해는 큰 경우 보험 등을 통하여 비용을 제 3자에게 전가
• 통제사항 선택

이러한 위험평가 결과를 통해 대책 선정 및 프로젝트 선정 후 우선순위 선정. 선정된 정보보호대책을 명세화한 것이 정보보호 계획수립

 

 

ISMS 정보보호 대책 요구사항

 정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육, 인적 보안, 물리적 보안, 시스템 개발 보안, 암호 통계, 접근 통제, 운영 보안, 침해사고 관리, IT 재해복구

 

ISMS 정보보호 대책 구현

• 정보보호대책 구현: 우선순위, 품질관리, 변경관리, 보고관리
• 정보보호교육 훈련: 교육 및 훈련 프로그램 이행, 정보보호 인식 제고

 

사후관리

• 정보보호관리체계 재검토
• 정보보호관리체계 모니터링 및 개선: 경영진에 보고
• 내부감사: 발견사항, 결론, 권고사항 기술한 보고서 작성

 

ISO 27000 Family of Standards…

 

정보보호 조직 구성

• 정보보호 최고 책임자 (CISO)
• 정보보호 위원회
• 정보보호 전담 조직의 장
• 정보보호 전담 조직
• 팀별 정보보호 담당자
• 각 팀장 / 파트장
• 팀별 품질 관리자
• 시스템 운영자
• 일반 사용자