정보보호 거버넌스와 관리체계 수립

정보보호 거버넌스

회사의 이사회 및 경영진측에서 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 메커니즘 제공

정보보호 거버넌스 프레임워크

목표 ABC

• 책임성 Accountability : 정보보호 활동의 성과에 대해 누가 책임을 지는가
• 비즈니스 연계성 Buisness Alignment : 정보보호 활동이 기업의 비즈니스 목표 달성에 기여하는가
• 준거성 Compliance : 정보보호 활동이 원칙과 기준에 따라 수행되는가

IT 거버넌스와 정보보호 거버넌스

이사회의 역할	경영진의 역할
- 보안 정책, 절차에 대한 방향을 설정 - 보안화동을 위한 자원 제공 - 책임할당을 지휘 - 우선순위 결정 - 위험관리 문화를 조성 - 내외부 감사를 통한 보증 활동 - 보안 프로그램의 효과성을 감독	- 비즈니스 고려하여 보안정책을 개발 - 책임 및 역할 정의와 이에 대한 의사소통을 진행 - 위협과 취약점을 식별 - 보안 인프라 구축을 수행 - 보안 정책에 대한 통제 프레임워크를 구축 - 침해사고 모니터링을 진행 - 주기적인 검토 및 테스트 - 보안인식교육을 시행 - SDLC에 보안요소를 구현

정보보호 거버넌스 구현 요건

• 전략적 연계 : 비즈니스, IT 목표 및 정보 보안 전략이 서로 연계되어야 함
• 위험 관리 : 조직에 적합한 위험 관리 체계를 수립하고 지속적 관리를 위해 수용 가능한 수준으로 위험을 낮춰야 함
• 자원 관리 : 중요 정보 자산과 인프라를 포함하는 전사적 정보 보안 아키텍처를 확보해야 함
• 성과 관리 : 모니터링, 보고 및 평가에 다른 성과 평가체계를 운영해야 함
• 가치 전달 : 기업의 구성원에게 정보 보안의 중요성과 가치를 교육시켜야 함

---

IT 보안 관리

• ISO/IEC 27000 : 개관 및 용어
• ISO/IEC 27001 : ISMS 요구사항
• ISO/IEC 27002 : 정보보안 관리를 위한 실행 규약
• ISO/IEC 27003 :  ISMS 구현 지침
• ISO/IEC 27004 : 정보보안관리 지표 및 지표 프레임워크를 위한 지침
• ISO/IEC 27005 : 정보보안 위험관리 지침
• ISO/IEC 27014 : 정보보호 거버넌스에 대한 개념과 원칙을 지침으로 제공
• ISO/IEC 27017 : 클라우드 보안 통제항목을 설명
• ISO/IEC 27018 : 클라우드 서비스 사용자나 사용 기업의 개인식별정보에 대한 보안통제를 설명

IT 보안 관리 프로세스

이 프로세스의 반복되는 성질은 27001의 핵심, 구체적으로 27005에 있는 보안 위험 관리 프로세스에 적용됨

계획(plan, 절차 수립), 실행(do, 계획의 이행), 점검(check, 모니터링하고 유지보수), 처리(act, 유지보수 및 개선)

 

ISO 27001

Plan(조직의 상황, 리더십, 기획) > Do(지원, 운영) > Check(성과평가) > Act(개선)

평가 항목을 14가지로 정의하고 있음

• 정보보호 정책(2) : 정보보호에 대한 경영방침과 지원사항을 제공하기 위함
• 정보보호 조직(7) : 보호에 대한 책임 배정
• 인적자원 보안(6) : 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못된 사용으로 인한 위험 감소(고용 전중후)
• 자산관리(10) : 조직의 자산에 대한 적절한 보호책 유지
• 접근 통제(14) : 정보에 대한 접근통제를 하기 위함
• 암호화(2) : 기밀성, 인증 또는 정보의 무결성을 보호하기 위해 적절하고 효과적인 암호화 사용 보장
• 물리적 환경적 보안(15) : 비인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함
• 운영 보안(14) : 정보 처리 설비의 정확하고 안전한 운영을 보장하기 위함
• 통신 보안(7) : 네트워크 및 지원 정보 처리 시설의 안전한 통신 보장을 위함
• 정보 시스템 개발 유지보수(13) : 정보시스템 내 보안이 수립되었음을 보장하기 위함
• 공급자 관계(5) : 협력업체에서 접근가능한 정보보호의 보장, 협력업체와의 계약에 따라 합의된 수준을 유지하기 위함
• 정보보안 사고 관리(7) : 보안사고에 대한 대응 절차의 수립 및 이행을 보장함
• 정보보호 측면 업무 연속성 관리(4) : 사업활동 방해요소를 완화시키며 주요 사업 활동을 보호하기 위함(BCP/DRP)
• 컴플라이언스(8) : 법률, 법규, 규정 또는 계약 의무사항 및 보호요구사항의 불일치를 방지하기 위함

기술적 정보보호대책이 기술적 정보보호대책보다 우선 구현됨

 

---

정보보호 정책, 절차, 표준, 지침, 기준선

정보보호 정책

일목요연하게 기술한 지침과 규약에 대해 문서로 기술해놓은 것

보안 정책은 최고경영진에 의해 마련된 일반적인 선언

임직원의 가치판단 기준이 되고 경영진의 목표를 직원들이 공유할 수 있도록 함

정보보호 정책은 주기적으로 변경되어야 함

 

정보보호 정책 구현 요건

• 정책은 주로 정보보호 관리자가 개발
• 정책은 모든 임직원이 이해 가능한 수준으로 작성되고 의사소통 되어야 함
• 정책이 경영진에 의해 승이되어야 기업과 조직의 직원들 사이의 의사소통이 수월해짐(최고경영진이 수정에 동의해야 함)
• 정책은 포괄적, 일반적, 개괄적으로 기술되어야 함(정책은 한 두개의 단락으로)
• 정책은 문서화되어야 하고, 임직원에 대한 교육을 충분히 행한 상태여야 법적 보호를 받게 됨

표준

• 표준은 요구사항을 정의한 것
• 의무적 활동, 행위 또는 규칙. 표준은 정책을 지원하고 방향을 강화함

기준선

• 미래의 변경에 대한 비교로 사용되는 현재 시점을 나타냄
• 일관되게 참조할 포인트
• 필요한 최소 보호 수준을 정의하기 위해 사용

지침

• 권장 행동과 운영적 안내사항
• 표준이 특정한 강제적 규칙인 반면에, 지침은 예측할 수 없는 상황에 유연성을 제공하는 일반적인 접근

절차

• 특정한 목표 성취를 위해 수행되는 단계적인 작업을 자세히 설명
• 정책 사슬의 최저수준으로 고려됨
• 절차가 컴퓨터와 사용자들에게 가장 근접하고 설정과 설치 논점에 대한 상세한 단계들을 제공

정보 보안 전문가

조직 내 정보보호를 위한 촉진자로서 역할을 수행

• 정보보안 활동을 위한 예산 확보
• 타부서와 협력하여 정책, 절차, 기준선, 표준, 기준선, 표준, 지침을 개발
• 보안인식 프로그램 개발 및 제공
• 비즈니스 목적에 대한 이해
• 최신의 위협/취약점에 대한 인지
• 정부의 법/규정에 대한 컴플라이언스 여부 점검
• 최신 기술 습득

정보보호조직 구성원의 역할과 책임

• 최고 경영자 : 정보보호를 위한 총괄책임
• 정보시스템 정보보호 관리자 : 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임이 있음
• 데이터 관리자 : 데이터의 정확성과 무결성을 유지
• 프로세스 관리자 : 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있음
• 기술지원 인력 : 보안대책의 구현에 대해 조언할 책임
• 사용자 : 수립된 절차를 준수할 책임
• 정보시스템 감사자 : 독립적인 입장에서 관리자에게 보증할 책임이 있음

전사적 보안감독 위원회

비전 선언문과 미션 선언문을 다룸

비전 선언문 : 기밀성, 무결성, 가용성에 대한 요구사항을 도출하는 것

미션 선언문 : 비전 달성을 위한 목표, 로드맵

여러 부서 내 대표인 중간관리자급으로 구성

보안활동을 지속적으로 조직전체에 인식시키는 역할, 회의주기는 조직 문화에 따라 다름

---

인적 자원 보안

고용과정에서의 보안 : 배경 검사 및 심사, 레퍼런스 체크, 고용 협정

고용기간 동안 : 직무 순환, 직무 분리, 강제 휴가

고용 종료 : 우호적인 퇴사