no way to compare when less than two revisions
차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
| 이전 판다음 판 | |||
| — | wiki_security_corp:a중앙행정기관_정보보안_isp수립_컨설팅 [2017/08/21 06:18] – 바깥 편집 127.0.0.1 | ||
|---|---|---|---|
| 줄 1: | 줄 1: | ||
| + | {{keywords> | ||
| + | |||
| + | ===== A중앙 행정기관 정보보안 ISP 수립 컨설팅 사례 ===== | ||
| + | |||
| + | ==== 고객사 ==== | ||
| + | A 중앙행정기관 (분류: 행정기관) | ||
| + | \\ | ||
| + | |||
| + | ==== 배경 및 주제 ==== | ||
| + | 고객사는 다수의 소속 및 산하기관의 보안관련 관리감독을 해야 하는 역할과 책임을 갖고 있는 중앙행정기관이다.\\ | ||
| + | 또한, 해당분야의 대표성을 갖는 중앙행정기관이기 때문에 보안뿐만 아니라 개인정보보호 등 관련된 각종 기관의 감독과 규정하에 있는 상황이다.\\ | ||
| + | 따라서 고객사는 일차적으로 각종 보안감독과 관련 규정에 유연하게 대응하기 위하여 정보보안 체계에 대한 종합적인 마스터플랜 수립을 목적으로 사업을 발주하였다.\\ | ||
| + | 고객사가 요청한 사업의 주요 내용은 아래와 같이 크게 2가지로 나눠진다. \\ | ||
| + | - 중장기 정보보안 마스터플랜 수립 (환경분석, | ||
| + | - 기타 요청과제 (소속산하기관 실태점검 개발, 정보화 용역사업 보안관리 실태점검 개발, 정보보호관리체계(ISMS) 인증 기반수립) \\ | ||
| + | \\ | ||
| + | ==== 프로젝트 기간 ==== | ||
| + | 2014년 3개월간 수행 | ||
| + | \\ | ||
| + | ==== 비즈니스 및 IT환경 ==== | ||
| + | * 비즈니스 및 IT환경 | ||
| + | - 고객사는 최근 몇 년전에 세종청사로 이전한 중앙행정기관으로써 다수의 소속 및 산하기관을 관리.감독해야 하는 역할과 책임으로 갖고 있다. \\ | ||
| + | - 타 중앙행정부터와 비교하면 IT에 대한 의존도는 낮은 편이지만 모바일행정 업무, 클라우드, | ||
| + | - 대부분의 행정기관과 동일하게 중요한 정보시스템은 정부통합전산센터에 위탁운영하고 있으며, 일부 소속.산하기관이 자체적으로 운영하고 있는 대민서비스들이 있다.\\ | ||
| + | - 고객사 자체적으로 운영하는 IT시스템은 주로 내부 업무용 시스템과 소속.산하기관을 관리하기 위한 시스템을 자체 전산실에서 마련하여 통합아웃소싱하고 있는 환경이다. \\ | ||
| + | |||
| + | * 정보보호 환경 | ||
| + | - 정보보안 정책은 관련 업무를 주관하는 국정원과 중앙행정부처의 정책을 반영하여 자체 정보보안 정책을 마련하여 운영하고 있으나 대부분의 공공/ | ||
| + | - 정보보안 조직은 정규직원이외에 계약직원을 채용하여 비용적 부담을 경감시키고 타 전문기관과의 연락체계를 구축하여 긴급상황에 대비하고 있다.\\ | ||
| + | - 가장 많은 정보보안 예산을 투자하고 있는 국가사이버안전관리규정에 따라 다수의 소속.산하기관 대상의 보안관제 업무로 상시 모니터링체계를 유지하고 있다.\\ | ||
| + | - 중앙행정기관 입장에서의 가장 큰 업무인 소속.산하기관의 보안상시 모니터링 체계는 대상과 범위를 점차적으로 확대해가야 하는 이슈와 상호간의 양방향적 의사소통 체계 제고에 대한 이슈가 있어서 시스템화를 진행중에 있다.\\ | ||
| + | \\ | ||
| + | ==== 컨설팅 주요 관점 및 특이사항 ==== | ||
| + | * 관련 감독기준을 통합한 체크리스트 적용 | ||
| + | - 고객사는 중앙행정기관으로써 국정원을 비롯한 안행부 등의 보안 관련 주관행정기관에게서 각종 실태평가 등의 각종 감독을 받고 있는 상황이며, | ||
| + | - 따라서 현황분석을 위한 체크리스트를 이러한 감독규정들을 통합한 체크리스트를 개발하여 적용함으로써 다양한 관점에서 현황을 분석하고 중장기 추진과제들을 수행했을때의 시뮬레이션으로도 활용하였다. \\ | ||
| + | |||
| + | * AS-IS와 더불어 AS-WAS분석으로 실질적 현황분석 | ||
| + | - AS-IS 분석만으로는 실질적인 환경과 현황을 파악하는데 한계가 있기 마련이기 때문에 최근 3년간의 AS-WAS도 함께 분석하였다. \\ | ||
| + | - 최근 3년간의 보안예산, | ||
| + | - 이러한 AS-IS외 AS-WAS의 파악은 짧은 기간동안에 보다 더 실질적인 고객사의 정보보안 환경과 현황을 파악하여 좀더 현실적 대책을 수립하는데 반영되었다. \\ | ||
| + | |||
| + | * 규정대비 주기적 업무수행 역량 및 여건의 분석 | ||
| + | - 대부분의 공공/ | ||
| + | - 따라서, 내부 보안규정에서 정의된 각종 보안활동을 정기적수행, | ||
| + | - 이러한 이행율 파악은 이행율이 낮은 원인을 파악하여 보안대책 수립과 중장기 추진과제 수립에 반영하였다. \\ | ||
| + | |||
| + | * 중장기 정보보안 마스터플랜 수립 | ||
| + | - 현황분석 결과를 바탕으로 고객사가 추진해야 하는 향후 정보보안 과제의 후보군을 도출하고 몇 차례의 관련자 검토회의를 거쳐 최종과제를 선정하였다.\\ | ||
| + | - 추진과제의 상세화를 위한 과제정의를 하고 과제추진을 위한 R& | ||
| + | - 최종적으로 선정된 추진과제는 중요성(영향도, | ||
| + | - 우선순위에 따라 추진 로드맵과 소요예산을 단기/ | ||
| + | |||
| + | * 기타 요청된 3가지 수행과제 수행 | ||
| + | - 중장기 정보보안 추진계획과 더불어 요청된 3가지 수행과제는 관련자료 분석과 담당자 인터뷰 등으로 현재의 이슈사항을 파악하고 해결방안을 수립하였다. \\ | ||
| + | - 담당자로서 업무수행의 애로사항 때문에 요청된 소속산하기관 실태점검 개발과 정보화 용역사업 보안관리 실태점검 개발 과제는 업무수행시 적용할 수 있도록 체크리스트와 활용방법을 기술한 가이드를 제작함으로써 가능한 바로 적용할 수 있도록 개발하였다.\\ | ||
| + | |||
| + | \\ | ||
| + | * 산출물 예시: 통합체크리스트, | ||
| + | {{: | ||
