차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판
이전 판
다음 판 양쪽 다음 판
wiki_security_corp:a공공기관_정보보안_실태평가_대비_사전준비_컨설팅 [2014/08/26 12:00]
wiki1122
wiki_security_corp:a공공기관_정보보안_실태평가_대비_사전준비_컨설팅 [2015/04/13 11:28]
wiki1122
줄 1: 줄 1:
 {{keywords>​정보보안,​컨설팅,​보안컨설팅,​국가정보원,​보안실태평가,​보안관리실태평가,​시뮬레이션,​평가점수,​보안취약점,​모의해킹,​정보화예산,​전담조직,​정보보안환경,​IT환경,​정보보호관리체계,​증적자료,​보안솔루션,​공공기관,​IT,​통합유지보수,​평가위원,​동향,​목표점수,​평가점수,​정보보호,​효과성분석,​모의심사,​정책,​지침,​정보자산분류,​정보자산중요도평가,​GAP분석,​프로젝트성공요인,​컨설팅산출물}} {{keywords>​정보보안,​컨설팅,​보안컨설팅,​국가정보원,​보안실태평가,​보안관리실태평가,​시뮬레이션,​평가점수,​보안취약점,​모의해킹,​정보화예산,​전담조직,​정보보안환경,​IT환경,​정보보호관리체계,​증적자료,​보안솔루션,​공공기관,​IT,​통합유지보수,​평가위원,​동향,​목표점수,​평가점수,​정보보호,​효과성분석,​모의심사,​정책,​지침,​정보자산분류,​정보자산중요도평가,​GAP분석,​프로젝트성공요인,​컨설팅산출물}}
 +
 +* 사업 등 관련 문의: T) 02-322-4688,​ F) 02-322-4646,​ E) [[info@wikisecurity.net]] ​
 +
 ===== A공공기관 정보보안 실태평가 대비 사전 컨설팅 사례 ===== ===== A공공기관 정보보안 실태평가 대비 사전 컨설팅 사례 =====
  
줄 6: 줄 9:
  
 ==== [ 프로젝트 배경 및 주제 ]==== ==== [ 프로젝트 배경 및 주제 ]====
-고객사는 매년 실시되는 국정원의 정보보안 실태평가의 현장평가 대상 기관이 되면서 ​전년도 평가 결과가 이전의 자체평가때보다 ​ 상당히 낮은 결과로 평가되었다. \\ +고객사는 매년 실시되는 국정원의 정보보안 실태평가의 현장평가 대상 기관이 되고 전년도 평가 결과가 이전의 자체평가때보다 ​ 상당히 낮은 결과로 평가되었다. \\ 
-여타 공공기관들 처럼 상위기관의 감독결과는 기관장을 비롯하여 관계자들에게는 민감하게 작용을 하게 마련이지만 ​전문성이 떨어지는 내부 인력만으로 높은 평가결과를 기대하기 어려웠기 때문에 좀더 좋은 평가를 ​기대하면서 ​실태평가에 대비한 사전 컨설팅을 의뢰하였다.\\ +여타 공공기관들 처럼 상위기관의 감독결과는 기관장을 비롯하여 관계자들에게는 민감하나 전문성이 떨어지는 내부 인력만으로 높은 평가결과를 기대하기 어려웠기 때문에 좀더 좋은 평가결과를 위해 ​실태평가에 대비한 사전 컨설팅을 의뢰하였다.\\ 
-고객사는 기존의 IT통합유지보수 사업비의 일부를 할애하여 컨설팅 비용을 마련함으로써,​ 기존 정보화 예산에서 추가 ​없이 ​비용부담을 갖지 않도 되는 방법을 택하였다.+고객사는 기존의 IT통합유지보수 사업비의 일부를 할애하여 컨설팅 비용을 마련함으로써,​ 기존 정보화 예산에서 추가 비용부담을 갖지 않도록 하였다.
  
 ==== [ 프로젝트 기간 ]==== ==== [ 프로젝트 기간 ]====
줄 15: 줄 18:
 ==== [ IT 및 정보보안 환경 ]==== ==== [ IT 및 정보보안 환경 ]====
   * 비즈니스 및 IT 환경   * 비즈니스 및 IT 환경
-고객사의 주요 수입원은 공공서비스 관련 법 미준수시 부과되는 기업 또는 자치단체의 부담금으로 운영되기 때문에 비즈니스와 IT환경이 좋은편은 아니었으, 그 규모에 비하면 운영되는 정보시스템의 수가 일반 기업에 비하면 ​많지는 않지만 ​작은 규모의 서비스들이 많이 산재해 있는 IT환경이, 다수의 정보시스템 및 보안시스템의 운영비용 절감을 위하여 IT통합유지보수를 아웃소싱하고 있는 환경이다. \\+고객사의 주요 수입원은 공공서비스 관련 법 미준수시 부과되는 기업 또는 자치단체의 부담금으로 운영되기 때문에 비즈니스와 IT환경이 좋은편은 아니었으, 그 규모에 비하면 운영되는 정보시스템의 수가 일반 기업에 비하면 ​적고 ​작은 규모의 서비스들이 많이 산재해 있는 IT환경이, 다수의 정보시스템 및 보안시스템의 운영비용 절감을 위하여 IT통합유지보수를 아웃소싱하고 있는 환경이다. \\
  
   * 정보보호 환경   * 정보보호 환경
 고객사 규모의 대다수 공공기관의 공통적인 애로사항인 정보보안 전담조직 구성이 이뤄져있지 않고 IT시스템운영 담당을 겸직하고 있는 환경이기 때문에 정보보안과 개인정보보호 업무에 대한 업무비율은 낮은 편이고 대민서비스에 대한 장애와 관련 사업관리가 상대적으로 높은 편이다. \\ 고객사 규모의 대다수 공공기관의 공통적인 애로사항인 정보보안 전담조직 구성이 이뤄져있지 않고 IT시스템운영 담당을 겸직하고 있는 환경이기 때문에 정보보안과 개인정보보호 업무에 대한 업무비율은 낮은 편이고 대민서비스에 대한 장애와 관련 사업관리가 상대적으로 높은 편이다. \\
-기술적인 보안 환경은 공공기관이 의무적으로 도입해야 하는 보안솔루션들은 이미 구비하여 운영하고 있었으나 예산 등의 여건으로 아직 망분리는 구축되지 않았기 때문에 매체제어 솔루션과 유해사이트 차단 솔루션, 바이러스 백신 등에 의존하여 악성코드에 대응하고 있는 열악한 환경이다. \\ +기술적인 보안 환경은 공공기관이 의무적으로 도입해야 하는 보안솔루션들을 이미 구비하여 운영하고 있었으나 예산 등의 여건으로 아직 망분리는 구축되지 않았기 때문에 매체제어 솔루션과 유해사이트 차단 솔루션, 바이러스 백신 등에 의존하여 악성코드에 대응하고 있는 열악한 환경이다. \\ 
-그러나 도입된 보안솔루션이 완벽하지 않아 이를 우회한 유해사이트 접속이나 PC간 파일공유 등의 문제점도 실태평가 준비와 함께 지적을 함으로써 해당 보안솔루션의 업그레이드 또는 개선요청을 할 수 있도록 지원했다.+그러나 도입된 보안솔루션이 완벽하지 않아 이를 우회한 유해사이트 접속이나 PC간 파일공유 등의 문제점도 실태평가 준비와 함께 지적 함으로써 해당 보안솔루션의 업그레이드 또는 개선요청을 할 수 있도록 지원했다.
  
 ==== [ 프로젝트 CSF ]==== ==== [ 프로젝트 CSF ]====
-  * 올해 변경/​통합/​신규 항목 등 실태평가 항목들의 요구사항에 대한 정확한 이해와 관련증비 확보+  * 올해 변경/​통합/​신규 항목 등 실태평가 항목들의 요구사항에 대한 정확한 이해와 관련증빙 확보
   * 실태평가의 시물레이션을 구축하여 매년실시하는 실태평가에 대한 자체대응력 증대   * 실태평가의 시물레이션을 구축하여 매년실시하는 실태평가에 대한 자체대응력 증대
   * 실태평가 시뮬레이션으로 다각도의 관점에서 선택과 집중 항목에 대한 선정과 준비   * 실태평가 시뮬레이션으로 다각도의 관점에서 선택과 집중 항목에 대한 선정과 준비
줄 34: 줄 37:
 |  항목별 내부자료 검토 \\ 및 1차 인터뷰 ​ | - 실태평가 항목별 관련 자료 검토 \\ - 항목별 실무자 1차 인터뷰 |  -  | |  항목별 내부자료 검토 \\ 및 1차 인터뷰 ​ | - 실태평가 항목별 관련 자료 검토 \\ - 항목별 실무자 1차 인터뷰 |  -  |
 |  선택과 집중항목 선정 \\ 및 1차 평가 시뮬레이션 | - 문서검토,​ 인터뷰결과 바탕으로 선택과 집중항목 선정, 협의 \\ - 선택과 집중에 따른 1차 평가 시뮬레이션 \\ - 목표 점수 대비 1차 평가 시뮬레이션 비교 분석 | - 1차 실태평가 시뮬레이션 | |  선택과 집중항목 선정 \\ 및 1차 평가 시뮬레이션 | - 문서검토,​ 인터뷰결과 바탕으로 선택과 집중항목 선정, 협의 \\ - 선택과 집중에 따른 1차 평가 시뮬레이션 \\ - 목표 점수 대비 1차 평가 시뮬레이션 비교 분석 | - 1차 실태평가 시뮬레이션 |
-|  항목별 증적자료 개발 \\ 및 2차 시뮬레이션 ​ | - 선택과 집중항목에 대한 이행 및 증적자료 개발 \\ (예: 정책,​지침 제.개정, 모의훈련계획서 및 결과서, 정보보안인식제고 교육, 실무자 보안교육 등) \\ - 기타 항목별 증적자료 개발 및 2차 시뮬레이션 \\ - 목표점수와 2차 시뮬레이션간의 비교분석 \\ - 비교분석결과 개선항목에 대한 증적자료 개발 | - 항목별 증적자료 \\ - 최종 실태평가 시뮬레이션 |+|  항목별 증적자료 개발 \\ 및 2차 시뮬레이션 ​ | - 선택과 집중항목에 대한 이행 및 증적자료 개발 \\ (예: 정책, 지침 제·개정, 모의훈련계획서 및 결과서, 정보보안인식제고 교육, 실무자 보안교육 등) \\ - 기타 항목별 증적자료 개발 및 2차 시뮬레이션 \\ - 목표점수와 2차 시뮬레이션간의 비교분석 \\ - 비교분석결과 개선항목에 대한 증적자료 개발 | - 항목별 증적자료 \\ - 최종 실태평가 시뮬레이션 |
 \\ \\
 * 산출물 예시:​실태평가 시뮬레이션 \\ * 산출물 예시:​실태평가 시뮬레이션 \\
 {{:​wiki_security_corp:​nis-평가시뮬레이션.jpg?​200|}} {{:​wiki_security_corp:​nis-평가시뮬레이션.jpg?​200|}}
 \\ \\
-