PART7. 정보보안 관리 - SECTION 1. 정보보호 정책 및 조직

1. 정보보호 정책

가. 개요

정보보호에 대한 방향과 전략

관물기 정보보호 활동의 근거

나. 정보보호 정책

사람이 따라야하는 규칙, 형식적인 진술

사용의 안정성과 용이성 동시에 고려해서 선정

주기적으로 검토되고 변경되어야 함.

다. 정보보호 구현

사람, 프로세스, 기술의 세 가지 요소의 상호작용이 필요한데, 프로세스가 제일 중요함 

라. 정보보호의 보안 서비스

기무가

마. 정보보호 대책

전사적(전체 회사적) 정보보호 관리를 위해 가장 중요한 근본적인 성공요소는 최고 경영진의 적극적인 참여와 지원이다. = 돈

바. 정보보호 기술

관물기

1) 관리적 보호기술

가이드라인, 문서처리 순서 표준화 등의 대책

2) 기술적 보호기술

우리가 공부하는 것, 방화벽, IDS/IPS 등

3) 물리적 보호기술

가장 적은 비용으로 확실한 효과를 내는 것. 시건장치, 자물쇠, 접근 통제, 제한구역 설정, UPS 및 항온항습기 등

시건장치 vs 자물쇠 (비슷하지만 다른 느낌)
보통 정보보안 기사나 가이드라인에서 이 둘을 굳이 같이 나열하는 이유는 '범위' 때문입니다.
시건장치: 캐비닛, 랙(Rack), 출입문 등에 기본적으로 장착된 잠금 시스템을 의미하는 경우가 많습니다. (예: 번호키, 지문 인식 도어락)

tip
(사람. 프로세스, 기술) 보안 분야의 정치적 올바음과 실제적 올바름
많은 아이티 보안 세계에서 프로세스보다 사람이 중요하다고 하지만, 정치적으로 옳은거지. ㅅ;ㄹ제론 프로세스가 더 중요함. 사람은 계속 바뀌니까, 한 번 프로세스를 명확하게 설정하면 사람은 계속 바뀌어도 프로세스를 유지할 수 있음.

 

2. IT 보안 관리

가. 개요

나. ISO 27001

1) 개념

가장 권위있는 인증, 평가항목

2) ISO 27001의 평가항목

가) 개념

나) ISO 27001:2005와 ISO 27002:2013 국제 표준 개정안 비교

2005년도에는 통신 및 운영관리가 있었는데 2013년에는 빠짐 

다) ISO/IEC 27001:2005 1.0버전

라) ISO/IEC 27002:2013 2.0버전

다. ISO 27002

1) 개념

2) 보안통제 범주

보안정책

자산관리

인적자원보안: 고용 전, 고용 중, 고용 종료 및 직무 변경에 대한 내용을 통제함.

비즈니스 연속성 관리

 

3. 정보 시스템 감사

가. 개요

 

나. 정보 시스템 감사사

독립적이고 객관적 입장에서 감사해야지. 제3자가 객관적으로 ㅇㅇ..;