차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
다음 판 | 이전 판 | ||
eisf [2013/11/14 05:20] – 새로 만듦 wiki1122 | eisf [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 1: | 줄 1: | ||
- | ====== 전사적 정보보호 프레임워크(Enterprise Information Security | + | ====== 전사적 정보보호 프레임워크(Enterprise Information Security |
기업이나 기관의 CISO 또는 정보보호 책임자는 정보보호 투자 또는 업무성과에 대한 공유가 어려운 것이 현실이다. | 기업이나 기관의 CISO 또는 정보보호 책임자는 정보보호 투자 또는 업무성과에 대한 공유가 어려운 것이 현실이다. | ||
- | 그렇다보니 이해관계자인 경영층이나 재무관계자들과의 의사소통이 어렵게 되고 관련법이나 상위감독기관이나 그룹에서 내려오는 기준에 의존하여 예산을 확보할 수 밖에 없게된다. | + | 그렇다 보니 이해관계자인 경영층이나 재무관계자들과의 의사소통이 어렵게 되고 관련법이나 상위감독기관이나 그룹에서 내려오는 기준에 의존하여 예산을 확보할 수밖에 없게 된다. |
- | 몇 년전부터 정보보호의 영역은 전사적 활동임을 인식하는 것이 필요하게 되었으며, | + | 몇 년 전부터 정보보호의 영역은 전사적 활동임을 인식하는 것이 필요하게 되었으며, |
전사적 정보보호 프레임워크으로 참고할 수 있는 몇 가지 참조모델이 존재한다. | 전사적 정보보호 프레임워크으로 참고할 수 있는 몇 가지 참조모델이 존재한다. | ||
* SABSA framework and methodology | * SABSA framework and methodology | ||
- | * Enterise | + | * Enterprise |
* Meta Group' | * Meta Group' | ||
- | * IATF(Information Assurance | + | * IATF(Information Assurance |
* Managing for Enterprise Security (SEI) | * Managing for Enterprise Security (SEI) | ||
* Accenture Security Framework | * Accenture Security Framework | ||
줄 20: | 줄 20: | ||
{{:: | {{:: | ||
- | < | ||
\\ | \\ | ||
- | 전사적 정보보호 프로그램은 기술적 취약점 점검과 같이 부분적으로 수행해온 활동에서 벗어나 전사적 차원에서 정보보호 활동에 대한 책임과 권한을 명확히 정의하여 역활을 분담함으로써 이해관계자들이 막연하게 생각하는 정보보호의 위협으로부터 체계적으로 관리운영하기 위한 하나의 모델로써 의사소통의 역할로 활용될 수 있다. | + | 전사적 정보보호 프로그램은 기술적 취약점 점검과 같이 부분적으로 수행해온 활동에서 벗어나 전사적 차원에서 정보보호 활동에 대한 책임과 권한을 명확히 정의하여 역할을 분담함으로써 이해관계자들이 막연하게 생각하는 정보보호의 위협으로부터 체계적으로 관리운영하기 위한 하나의 모델로서 의사소통의 역할로 활용될 수 있다. |
- | 그러기 위해서는 기업이나 기관의 전략이나 비젼과 연계됨으로써 기업이나 기관의 비즈니스 전략에 변화가 있을때 이를 반영할 수 있는 유연한 정보보호 전략과 정책이 수립되어야 하며, 정보보호 거버넌스를 기반으로 이해관계자들이 납득할 수 있는 | + | 그러기 위해서는 기업이나 기관의 전략이나 비전과 연계됨으로써 기업이나 기관의 비즈니스 전략에 변화가 있을 때 이를 반영할 수 있는 유연한 정보보호 전략과 정책이 수립되어야 하며, 정보보호 거버넌스를 기반으로 이해관계자들이 납득할 수 있는 전사적 차원의 정보보호 프레임워크가 개발되어야 한다. |
===== Information Security Drivers ===== | ===== Information Security Drivers ===== | ||
줄 33: | 줄 32: | ||
==== Compliance ==== | ==== Compliance ==== | ||
- | 대부분의 기업과 기관들은 상위기관의 감독을 받고 관련 법률이나 제도하에 있기 때문에 관련사항들이 제정 또는 개정은 기업이나 기관의 정보보호 전략이나 거버넌스의 영향을 받게된다. | + | 대부분의 기업과 기관들은 상위기관의 감독을 받고 관련 법률이나 제도하에 있기 때문에 관련 사항들이 제정 또는 개정은 기업이나 기관의 정보보호 전략이나 거버넌스의 영향을 받게 된다. |
금융기관의 경우에는 준수해야 하는 전자금융감독규정을 비롯하여 전자금융 사기예방서비스 등에서 요구하는 사항에 따라 정보보호 전략과 거버넌스의 변경관리가 이뤄져야 한다. | 금융기관의 경우에는 준수해야 하는 전자금융감독규정을 비롯하여 전자금융 사기예방서비스 등에서 요구하는 사항에 따라 정보보호 전략과 거버넌스의 변경관리가 이뤄져야 한다. | ||
줄 39: | 줄 38: | ||
정보보호 위협은 지속적으로 발전되기 마련이다. APT attack과 같은 공격이 가장 비근한 사례이며, | 정보보호 위협은 지속적으로 발전되기 마련이다. APT attack과 같은 공격이 가장 비근한 사례이며, | ||
- | 이러한 정보보호 위협은 새로운 보안 솔루션의 도입 또는 기존의 정보보호 정책과 프로세스의 개선의 원인이 되기 마련이다. | + | 이러한 정보보호 위협은 새로운 보안 솔루션의 도입 또는 기존의 정보보호 정책과 프로세스의 개선 원인이 되기 마련이다. |
- | ==== Buisness | + | ==== Business |
- | B2C/G2C, B2B/G2G, B2G/G2G와 같이 기업이나 기관에서 제공하는 비즈니스는 안전성, 기밀성, 무결성과 같은 것들이 함께 제공됨으로써 상호 신뢰를 갖게되는 경우에 정보보호가 역할을 한다. 국내에는 아직 영향이 없지만 PCI-DSS의 경우는 국외 카드 산업계에서는 비즈니스를 위한 기본적 요건으로 작용하고 있어서 서비스 런칭과 더불어 PCI-DSS의 요건에 만족시키기 위한 개발 및 구축을 한다. 국내의 사례는 일정 기준에 해당되는 기업이나 기관이 안전진단제도 또는 K-ISMS인증을 의무화 되어 있다. | + | B2C/G2C, B2B/G2G, B2G/G2G와 같이 기업이나 기관에서 제공하는 비즈니스는 안전성, 기밀성, 무결성과 같은 것들이 함께 제공됨으로써 상호 신뢰를 갖게 되는 경우에 정보보호가 역할을 한다. 국내에는 아직 영향이 없지만, PCI-DSS의 경우는 국외 카드 산업계에서는 비즈니스를 위한 기본적 요건으로 작용하고 있어서 서비스 런칭과 더불어 PCI-DSS의 요건에 만족하게 하기 위한 개발 및 구축을 한다. 국내의 사례는 일정 기준에 해당하는 기업이나 기관이 안전진단제도 또는 K-ISMS인증을 의무화되어 있다. |
==== Business Opportunity ==== | ==== Business Opportunity ==== | ||
- | 기업이나 기관이 추구하는 비즈니스는 경쟁관계에 있는 경우가 대부분이다. 이러한 경쟁에 우의를 | + | 기업이나 기관이 추구하는 비즈니스는 경쟁 관계에 있는 경우가 대부분이다. 이러한 경쟁에 우의를 |
===== 전략 및 거버넌스 ===== | ===== 전략 및 거버넌스 ===== | ||
- | 정보보호의 기본적인 전략과 정책적 방향은 다른 모든 정보보보호 활동에 영향을 주는 중요한 요소이며, | + | 정보보호의 기본적인 전략과 정책적 방향은 다른 모든 정보보호 활동에 영향을 주는 중요한 요소이며, |
* 정보보호 전략 수립, 운영 | * 정보보호 전략 수립, 운영 | ||
* 정보보호 조직 관리 | * 정보보호 조직 관리 | ||
- | * 정보보호 정책, | + | * 정보보호 정책, 지침 |
* 정보보호 위험 관리 | * 정보보호 위험 관리 | ||
* 정보보호 감사 체계 | * 정보보호 감사 체계 | ||
* 정보시스템 연속성 관리 | * 정보시스템 연속성 관리 | ||
* 정보보호 홍보, 커뮤니케이션 관리 | * 정보보호 홍보, 커뮤니케이션 관리 | ||
- | * 정보보호 인식제고 관리 | + | * 정보보호 인식재고 관리 |
- | * 정보보호 법제도 준수 및 수준관리 | + | * 정보보호 법제도 준수 및 수준 관리 |
* 정보보호 표준화 관리 | * 정보보호 표준화 관리 | ||
* 정보보호 예산, ROI, 성과관리 | * 정보보호 예산, ROI, 성과관리 | ||
줄 71: | 줄 70: | ||
===== 계층적 보안 기술 ===== | ===== 계층적 보안 기술 ===== | ||
- | 기술적 정보보호 요소들로 구성되어 있는 | + | 기술적 정보보호 요소들로 구성된 도메인으로써 계층적인 방어체계를 위해 네트워크, |