정보보안기사 - 정보보호거버넌스(간략정리)
등장배경
- 회사의 위험이 적절히 관리되는가?
1. 정보보호 거버넌스 목표 (ABC)
1) 책임성
- Who(누가) 성과를 책임 지는가? - 기업거버넌스 "책임성"과 연계
2) 비니지스 연계성
- 비지니스 목표 달성에 기여하는가? - 기업거버넌스 "효과성"과 연계
3) 준거성
- 원칙과 기준에 의해 수행되는가? - 기업거버넌스 "투명성"과 연계
2. IT 거버넌스와 정보보호 거버넌스 동일한 이념
- 위험과 수익 사이에 균형을 맞춰 가치 창출
| 이사회 역할 | 경연진 |
| 정책, 절차의 방향성 제공 | 보안정책 개발 |
| 자원 지원 | 위협, 취약점 식별 |
| 우선순위결정 | 보안인식교육 |
3. 정보보호거버넌스 5가지 구현
1) 전략전 연계
- 비지니스, IT 목표, 정보보안 전략이 서로 연계
2) 위험관리
- 잠재적 위험을 줄이고, 수용가능한 위험수준으로 낮추고, 위험을 관리
3) 자원관리
- 자산 내 중요 자산, 전자적 정보보안 아키텍쳐 확보
4) 성과관리
- 모니터링, 평가
5) 가치전달
- 정보보안교육
4. ISO/IEC 27000-27006
1) ISO/IEC 27000
- 정보보안관리체계 개관 및 어휘
2) ISO/IEC 27001
- 요구사항(운영,개선 등)
3) ISO/IEC 27002
- 정보보안 관리를 위한 실무규약
4) ISO/IEC 27003
- 가이드라인
5) ISO/IEC 27004
- 측정 (프로세스,통제 효율성)
6) ISO/IEC 27005
- 지침
7) ISO/IEC 27006
- 감사 및 인증기관의 요구사항
5. IT 보안 관리 기능(5가지)
- IT 보안의 목적, 전략 결정
- 요구사항 결정
- 조직 내 IT 자산 위협 식별
- 위험 식별
- 대응 및 조치
6. 보안 위험 프로세스
PLAN - 보안정책, 목적, 절차 수립
DO - 위험 처리 계획 이행
CHECK - 위험처리 모니터링
ACT - 유지보수
7. 정보보호정책
- 정보 자산을 어떻게 관리, 보호할 것인가? 를 기술한 문서
- 보안정책은 최고경영진 선언
1) 정보보호 정책 역할
- 경영진의 목표 공유 및 지적재산권 보호
- 책임추적성 제공
2) 정보보호 정책 구현 요건
- 정책은 Who(보안관리자)가 개발
- 이해가능한 수준 작성, 의사소통
- 경영진 승인
- 포괄적, 일반적, 개괄적
- 문서화, 교육
8. 정보보호 정책 구현 요소
1) 표준
- 강제적으로 지켜야할 규칙
- 기업이 나가야할 미션, 비전
2) 기준선
- 일괄되게 참조할 포인트
3) 지침
- 표준이 정해지지 않은 사람들에 대한 행동 서술
- 유연성 가짐
4) 절차
- 단계적 작업
8. IT 보안 계획
- 통제 식별 했다면, IT 계획 만들어져야 함.
- 식별된 결점 개선
- 장기적 관점에서 만들어져야 하고, 최소 1년 단위로 검토