정보보호 관리체계

여러번 수업을 들으면서 마지막 수업에 정리하는 내용이다.

처음에는 앞뒤 안가리고 암기하였는데, 이해하면서 보면 편한 내용이다.

주 내용은 인증과, 정보보호 관리체계를 어떻게 구축할 것인지에 대한 내용이다.

인증을 받아야 하는 기업이 있고, 인증을 해주는 기관이 있다.

그러면 인증을 해주는 기관은 어떠한 절차를 거쳐서 인증을 해주어야 하는가가 내용 1이다.

그리고 기업은 인증을 받기 위해 정보보호 관리체계를 구축하는 방법에 관한 내용이다.

이러한 틀을 가지고 숲을보고 나무를 보면 공부에 편할것 같다.

0. OECD 개인정보보호 8대 원칙

1. 수집제한의 원칙

2. 정보내용의 원칙

3. 목적명확하의 원칙

4. 이용제한의 원칙

5. 안전보호의 원칙

6. 공개의 원칙

7. 개인참가의 원칙

8. 책임의 원칙

 

0.1 PIMS

- 개인정보보호관리체계는 기업이 고객의 개인정보보호 활동을 체계적 지속적으로 구생하기 위해 필요한 일련의 보호조치 체계

 

- 기업이 체계적이고 지속적인 개인정보보호 활동을 수행할 수 있는 방법을 제공

- 개인정보 취급자 부주의 관리소홀 등으로 인한 개인정보 침해 가능성 최소화

 

1. ISMS란?

『Information Security Management System』 으로 기업정보자산의 기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability) 과 같은 보안특성을 보호하기 위한 예방에 초점을 둔 관리시스템의 실행 지침임

 

2. ISMS LIFE CYCLE

정보보호 정책 수립 -> 정보보호 관리체계 범위 설정 -> 위험관리 -> 구현 -> 사후관리

 

3. 정보보호 관리체계 필요성

2-1, 효과적인 정보보호관리체계의 기반구조 구축

2-2 정보보호관리체계에 대한 인증 토대 마련

2-3 조직의 업무 연속성 확보

2-4 정보보호관리 기술 및 Know-how 축적

2-5 침해사고 대응체계 구축

2-6 E-비지니스 활성화

 

4. PDCA

Plan -> DO -> Check - Active

 

Plan : 정보보호 관리 체계의 범위와 배경이 옳바르고 적절한지 확신하는 단계

Do : 정보보호 관리 체계 과정 수행

Check : 정보보호 관리 처리 과정이 효좌적인지 확인

Action : 정보보호 관리 체계를 업데이트 한다.

5. 심사 절차[절차 및 자격 설명하기.]-> 인증이 어떻게 이루어지는지

[절차]

준비 단계 -> 심사 단계 -> 인증 단계 -> 사후관리 단계

1. 준비단계

인증을 원하는 기업으로 부터 신청 서류를 받고, 심사의 계획 등 관련해서 계약

[신청 및 접수, 인증심사 계약]

 

2. 심사단계

문서 심사와 기술 심사 두단계로 나뉜다.

문서심사는 인증을 원하는 기업이 자신들의 상황에 관해서 정리한 내용의 문서를 검토하는 작업이다.

기술 심사는 해당 기업의 네트워크, 취약점, 실제 이행하고 있는지, check list 확인 등 문서를 기반으로 조사하는 단계이다.

 

3. 인증단계

앞서 수행했던 심사에 대한 결과 보고서를 작성 및 제출 한다.

그리고 인증 위원회에서 심의[고민],의결[인증 할지 말지 결정하는 것] 결정(2/3이상 찬성)

해당 회사에 결과를 통보하고 해당 인증은 3년이 유효하다.

 

4. 사후관리 단계

1년 주기로 인증을 받고 옳바르게 하고있는지 확인

처음 심사 받을때와 다르게 기업의 확장, 유효기관 만료가 되면 재심사 및 갱신 필요

 

 

#################################################################

위의 단계에서는 포괄적인 내용으로 알아보았다. 즉, 숲을 본 느낌이다.

이제 각 단계별로 나무를 보는 느낌으로 알아본다.

 

[자격]

인증 심사를 신청 할 수있는 기업 자격 : 정보보호 관리체계 구축 후 3개월 이상 운영

 

5.2에서의 심사단계에 관해서 자세히 알아본다.

심사계획 -> 심수 수행 -> 심사 보고 -> 후속조치

 

5.2.1 심사계획

심사 팀장 지정 : 한국정보보호진흥원 내의 심사원에서 선출

심사원 선정[전문분야 고려], 심사계획서, 세부계획서 작성

--> 인증 목적, 범위, 명단, 표준등에 관해서 명시

심사계획서 통보[심사 시작 10일이전]

5.2.1 심사계획 수립 시 기타 착안[고려] 사항

심사개요 파악[목적,인원,기간, 정보수집 등] ->

정보입수 및 사전 점검[알려진 문제, 다른 인증 여부, 실무자 연락 현장 파악 등.] ->

심사계획 수립 및 연락[조직 규모, 특성,직원 수,위치, 심사 일수, 심사팀장(원) 역할 확인] ->

심사 체크리스트 준비[간결, 기록, 근거자료 등.] ->

심사원에 대한 브리핑[공지](알리는거)

 

5.2.2 심사 수행

1. 착수회의->

신청인과 사전 협의[장소,시간, 인원],

전체 일정 및 담장자 소개, 의사 소통 경로 설정 [회의 위해서 초기화 개념]

 

2.문서심사->

신청인이 제출한 정보보호관리체계 수립·운영에 관련된 문서에 대해 정보보호관리체계 인증심사 요구사항을 충족하고 있는 지 확인 및 검증

 

Aim : 결함사항의 발견, 조직 운영방식 파악, 결함보고서 작성 지원, 기술 심사 도움

 

절차 : 문서심사 대상 접수 -> 문서심사 수행 -> 심사팀 검토 -> 심사팀 공지 ->

기술심사 준비

 

*신청기관 제출 문서는 대외비 성격 문서, 심사기간에만 보관하고 필요 문서 제외 모두 반환

*정보보호 정책서, 계획서, 명세서, 범위 정의서, 내부 감사, 시스템 구성도

*문서심사를 마친 후, 관련 내용을 전달. 기술심사에 관한 일정에 대해서 통보

 

3.기술심사->

심사팀이 인증 신청기관을 방문, 문서심사의 결과 확인 및 검증, 관련자료의 검토, 관계자와의 면담, 관리체계 구축•운영상의 문제점 확인 등의 과정을 통하여 정보보호관리체계 인증심사기준의 요구사항을 충족하고 있는지를 심사

 

Aim : 조직의 정보보호 관리체계가 정책, 목표 및 절차들에 대한 조직의 부합하는지 확인

정보보호관리체계의 효과성 점검

 

절차 :　문서심사의 문제점 공유 -> 기술심사 수행 -> 결함보고서 작성 -> 심사팀 내부 회의

-> 결과확인회의 개최 -> 인증심사중단사유 발생시 처리[예외처리]

 

계층별 보안물리적 보안 : 출입 통제인원 보안 : 어떤 사람이 접근할 수 있는지, 어떻게 이를 보호할지운영 보안 : 서비스를 운영할 때 취약점 보안 및 악성코드 침입 등을 탐지하고 대응, 처리통신 보안 : 정보가 통신망을 통해 통과할 때 어떻게 보호할지네트워크 보안 : 내부 네트워크, 외부 네트워크, 방화벽, IDS, IPS 등을 통해 어떻게 보호할지정보 보안 : 직원들에 대해서 지속적인 교육

 

4.종료회의

 

5.2.3 인증단계

인증 위원회 : 분기별로, 분기 말인 15일 이전부터 시행

재적 위원의 과반수 이상 참석시 개최

위원장의 요청에 의해 소집, 7일 이전에 안건, 장소, 일시 통보

인증심사결과보고서를 근거로 인증 적합 여부 심의

2/3이상의 찬성이 있어야 하며, 결과서에 작성

인증심의결과서를 인증위원회 종료 후 5일 이내 진흥원장에 제출

 

5.2.4 사후관리

계획

사후관리 횟수는 1년 1회 이상 실시 원칙

점검시기는 인증취득기관과 협의

 

점검

문서, 기술 심서 병행

점검기간은 인증심사 1/2

인증 취득 기관이 관리체계 문제 없는지 확인

인증 범위가 옳바르게 잘 사용되는지

인증 이후 변경사항 확인

결과보고

인증취득기관에 결과 통보

 

[예외] 사후관리 문제 있을 시 인즈위원회에 상정

 

6. 권고사항, 결함 및 부적합

6-1. 권고사항

신청인의 정보보호관리체계를 운영 및 유지하는데 도움이 될 수있는 사항

--> 문제가 안대고 도움이 될 수있는, 조언과 같은 개념

 

6-2 결함

신청인의 정보보호관리체계가 인증심사 기준에 규정된 요구사항 충족 X

BUT, 정보보호 관리 체계에 중대한 영향을 미치지 X

 

6-2.1

결함내용 작성 원칙

정확성(Correct)

명료성(Clear)

간결성(Concise)

완전성(Complete)

 

6-3 중결함

신청인의 정보보호관리체계가 인증심사 기준에 규정된 요구사항 충족 X

AND, 정보보호 관리 체계에 중대한 영향 O

 

6-4 부적합

정보보호관리체계가 인증심사 기준에 규정된 요구사항 충족 X,

인증을 부여할 수 없음을 말하는 상황

 

판단 요소

중결함이 발견, BUT 해결하지 못함

결함률이 5%이상 있는 경우(보완 조치 후)

결함률이 5% 미만, BUT 정보호 관리체계 운영에 심각하게 방해

 

 

#####################################################################위의 내용은 신청 기관이 어떠한 기준을 만족해서 인증하고, 어떠한 절차를 거쳐서 인증을 받는지에 관해서 설명한 내용

아래 내용은 기업이 어ᄄᅠᇂ게 정보보호관리를 수행하는지에 관해서 설명하는 내용

#####################################################################

 

6. 기업은 어떠한 방식으로 정보보호관리를 실천 하는가?

6.1 정보보호정책 수립

 

6.1.1 정보보호 정책 수립

기업의 목표와 발생 할 수있는 자산에 관한 위험관리를 위해서 필요한 법적, 규제적 내용에 관해서 기술한 문서

 

6.1.2 조직 및 책임의 설정

정보보호관리 체계를 수행, 유지 할 조직을 수립하고 각 역할과 책임에 관한 내용을 문서화

 

6.2 관리체계 범위 설정

 

6.2.1 정보보호 관리체계 범위 설정

정책을 수립하고 조직을 개편하고 역할과 책임을 부여하였다. 그러면 이제 이러한 기업이 실제로 어떠한 자산에 관해서 정보보호를 할지 설정해야한다.

회사 앞 CCTV에 관해서 까지 보호를 할것인지 사내 CCTV만 할 것인지 등....

--> 회사의 특성, 위치, 기술, 자산 고려하여 정보보호 관리체계 범위 설정

 

6.3 위험관리

 

6.3.1 위험관리 전략 및 계획수립

회사의 목표, 조직, 책임, 역할 등을 고려해서 자산에 가해지는 위험에 관해서 어떻게 관리 할것인지 전략및 계획 수립

문서화 및 환경 변화에 대응 위해서 지속적 -> 회사의 규모, 조직이 변경 되면 수시로 확인

 

6.3.2 위험분석

식별된 정보 자산에 영향을 줄 수있는 위험과 취약성을 분류하고 잠재적 손실 분석

-> 네트워크 구성이 잘못 되서 영향을 줄수 있는 [취약성]과 이로 인한 고객 이탈[잠재적 손실]

 

6.3.3 위험평가

자산에 가해지는 위험에 의해서 정보보호대책이 실패할 가능성과 수용 가능한지 안한지 위험 수준 평가

-> 네트워크 구성을 바꾸는데 1억, 해당 취약점 수정안하면 5천이다. 해당 취약점을 보험을 들 것인지, 방치 할것인지, 네트워크를 패기 할 것인지 등 평가

 

6.3.4 정보보호대책 선택

앞서 평가한 내용을 기반으로 위험 처리, 위험 수용, 위험 회피, 위험 전가를 할 것인지 설정하고 통제사항?에서 제하는 것 선택

 

 

6.3.5 정보보호계획 수립

정보보호대책을 선택하고 이를 구현하기 위해서 우선순위, 일정, 예산 등 우리가 초기화 할 부분들

*정보보호 대책 명세를 문서화

 

6.4 구현

앞서 결정한 정보보호계획에 따라 정보보호 대책 구현

회사 직원들에게 정보보호 대책에 관한 교육 이수 프로그램 시행

 

6.5 사후관리

정책의 목표와 조직, 자산, 책임 등을 고려하여 범위, 위험에 관해서 정기적으로 검토가 필요

개선사항이 있으면 지속적응로 발전 시키고, 임직원에게 보고하고 전문가들의 조언을 구한다.

 

7. 정보보호관리체계의 문서에 관해서

정앞서 정보보호 대책과 계획, 정책 등 많은 부분에 관해서 문서로 정의한다. 그러면 해당 문서들이 어떠한 구조를 가지고 있는지 알아 보아야 한다.

 

7.1 문서의 요구사항

1. 문서 요건 : 신청기관[회사]의 규모에 맞게 문서화, 모든 직원이 손쉽게 이용

2. 문서의 통제 :　문서의 승인, 변경, 폐기 등에 관한 절차 수립

3. 운영기록의 통제 : 기록관리 절차 수립 및 접근과 통제의 기록을 통해 추적성

 

7.2 문서의 구조

 

TIP

보안의 다층 계층

공격자는 보안에 있어서 가장 약한 부분을 공격하므로 어떤 유형의 보안이 존재하는지 다양한 계층을 통해 알아둘 필요가 있음

 

- 물리적 보안 : 출입 통제

- 인원 보안 : 어떤 사람이 접근할 수 있는지 어떻게 보호할지

- 운영 보안 : 웹사이트를 운영할 때 owsa 같은 약점 극복, 악성코드 침입 등을 탐지하고 대응하여 처리

- 통신 보안 : 정보가 실제로 통신망을 통해 통과할 때 어떻게 보안할지

- 네트워크 보안 : 내부 네트워크와 외부 네트워크를 방화벽, IDS, IPS 등을 통해 어떻게 보 호할 것인지

- 정보 보안

 

정보보호 관리체계의 분류 : 관리를 어떻게 나눠서 분류할 것인가

- 물리적/환경적 보안 : 접근 통제, 화재, 누수, 등

- 운영적 보안 : 교육, 아이디 관리

- 관리적 보안 : cert, 정책, 조직, 자산

- 시스템 보안 : 접근통제, 식별/인증

- 네트워크 보안 : ids, ips vpn

- 응용 프로그램 보안 : www,와 같은

인증심사의 기준 : 어떠한 기준으로 인증을 해줄 것인가에

대한 내용

국제 흐름 반영,

국내 실정 적합

정보보호 관리 표준과 호환

정보기술, 조직 물리적, 환경적 측면도 고려

회사의 내부 감사 자료로도 활용 가능하도록

 

위와 같은 인증심사 기준을 문서화 할때 어떠한 구조로 할 것인가?

 

심사 기준에 관해서 문서화 할 때는 먼저 어떠한 목적을 가지고 기준을 정했는지 명시.

다음 혼돈을 줄이기 위해서 사용되는 용어를 정의한다. 위와 같이 목적과 정의가 끝났으면

실제 인증이 이루어지기 위해서 어떠한 요구 사항이 있는지 문서화 한다.

그리고 위의 요구 사항을 심사 할때 인증기관, 신청기관이 필요한 원칙을 정한다.

그 후, 인증심사 요소인 영역을 판단한다.