문서의 이전 판입니다!


A공공기관 정보보안 실태평가 대비 사전 컨설팅 사례

[ 고객사 ]

A공단 (공공기관)

[ 프로젝트 배경 및 주제 ]

고객사는 매년 실시되는 국정원의 정보보안 실태평가의 현장평가 대상 기관이 되고 전년도 평가 결과가 이전의 자체평가때보다 상당히 낮은 결과로 평가되었다.
여타 공공기관들 처럼 상위기관의 감독결과는 기관장을 비롯하여 관계자들에게는 민감하나 전문성이 떨어지는 내부 인력만으로 높은 평가결과를 기대하기 어려웠기 때문에 좀더 좋은 평가결과를 위해 실태평가에 대비한 사전 컨설팅을 의뢰하였다.
고객사는 기존의 IT통합유지보수 사업비의 일부를 할애하여 컨설팅 비용을 마련함으로써, 기존 정보화 예산에서 추가 비용부담을 갖지 않도록 하였다.

[ 프로젝트 기간 ]

2014년 1개월간 수행, 전년대비 약 15점의 상위 평가결과 획득

[ IT 및 정보보안 환경 ]

  • 비즈니스 및 IT 환경

고객사의 주요 수입원은 공공서비스 관련 법 미준수시 부과되는 기업 또는 자치단체의 부담금으로 운영되기 때문에 비즈니스와 IT환경이 좋은편은 아니었으나, 그 규모에 비하면 운영되는 정보시스템의 수가 일반 기업에 비하면 적고 작은 규모의 서비스들이 많이 산재해 있는 IT환경이며, 다수의 정보시스템 및 보안시스템의 운영비용 절감을 위하여 IT통합유지보수를 아웃소싱하고 있는 환경이다.

  • 정보보호 환경

고객사 규모의 대다수 공공기관의 공통적인 애로사항인 정보보안 전담조직 구성이 이뤄져있지 않고 IT시스템운영 담당을 겸직하고 있는 환경이기 때문에 정보보안과 개인정보보호 업무에 대한 업무비율은 낮은 편이고 대민서비스에 대한 장애와 관련 사업관리가 상대적으로 높은 편이다.
기술적인 보안 환경은 공공기관이 의무적으로 도입해야 하는 보안솔루션들을 이미 구비하여 운영하고 있었으나 예산 등의 여건으로 아직 망분리는 구축되지 않았기 때문에 매체제어 솔루션과 유해사이트 차단 솔루션, 바이러스 백신 등에 의존하여 악성코드에 대응하고 있는 열악한 환경이다.
그러나 도입된 보안솔루션이 완벽하지 않아 이를 우회한 유해사이트 접속이나 PC간 파일공유 등의 문제점도 실태평가 준비와 함께 지적 함으로써 해당 보안솔루션의 업그레이드 또는 개선요청을 할 수 있도록 지원했다.

[ 프로젝트 CSF ]

  • 올해 변경/통합/신규 항목 등 실태평가 항목들의 요구사항에 대한 정확한 이해와 관련증빙 확보
  • 실태평가의 시물레이션을 구축하여 매년실시하는 실태평가에 대한 자체대응력 증대
  • 실태평가 시뮬레이션으로 다각도의 관점에서 선택과 집중 항목에 대한 선정과 준비
  • 평가위원들의 동향과 최근 실태평가 주안점을 고려한 사전 평가 준비

[ 주요 Activity와 산출물 ]

수행단계별 산출물 목록표는 아래와 같다.

수행 단계 주요 수행 내용 결과 산출물
실태평가 항목분석과
시뮬레이션 구축
- 실태평가 항목의 변경사항 파악
- 항목별 평가기준 파악 및 목표점수 협의
- 실태평가 결과 시뮬레이션 작성
- 실태평가 시뮬레이션
항목별 내부자료 검토
및 1차 인터뷰
- 실태평가 항목별 관련 자료 검토
- 항목별 실무자 1차 인터뷰
-
선택과 집중항목 선정
및 1차 평가 시뮬레이션
- 문서검토, 인터뷰결과 바탕으로 선택과 집중항목 선정, 협의
- 선택과 집중에 따른 1차 평가 시뮬레이션
- 목표 점수 대비 1차 평가 시뮬레이션 비교 분석
- 1차 실태평가 시뮬레이션
항목별 증적자료 개발
및 2차 시뮬레이션
- 선택과 집중항목에 대한 이행 및 증적자료 개발
(예: 정책, 지침 제·개정, 모의훈련계획서 및 결과서, 정보보안인식제고 교육, 실무자 보안교육 등)
- 기타 항목별 증적자료 개발 및 2차 시뮬레이션
- 목표점수와 2차 시뮬레이션간의 비교분석
- 비교분석결과 개선항목에 대한 증적자료 개발
- 항목별 증적자료
- 최종 실태평가 시뮬레이션


* 산출물 예시:실태평가 시뮬레이션