차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

wiki_security_corp:a중앙행정기관_정보보안_isp수립_컨설팅 [2017/08/21 15:18] (현재)
줄 1: 줄 1:
 +{{keywords>​정보보안,​보안,​개인정보보호,​security,​Privacy,​내부정보유출,​IT,​환경,​정보보안,​비즈니스환경,​정보자산,​중요도평가,​위험분석,​보고서,​사례,​예산,​소요예산,​중장기계획,​국내외사례,​현황분석,​AS-IS,​AS-WAS,​보안아키텍쳐,​전사적,​프레임워크,​로드맵,​roadmap,​보안정책,​지침,​중장기,​추진계획,​ISP,​마스터플랜,​공공.행정,​중앙,​기관}}
 +
 +===== A중앙 행정기관 정보보안 ISP 수립 컨설팅 사례 =====
 +
 +==== 고객사 ====
 + A 중앙행정기관 (분류: 행정기관)
 +\\
 +   
 +==== 배경 및 주제 ====
 +고객사는 다수의 소속 및 산하기관의 보안관련 관리감독을 해야 하는 역할과 책임을 갖고 있는 중앙행정기관이다.\\
 +또한, 해당분야의 대표성을 갖는 중앙행정기관이기 때문에 보안뿐만 아니라 개인정보보호 등 관련된 각종 기관의 감독과 규정하에 있는 상황이다.\\
 +따라서 고객사는 일차적으로 각종 보안감독과 관련 규정에 유연하게 대응하기 위하여 정보보안 체계에 대한 종합적인 마스터플랜 수립을 목적으로 사업을 발주하였다.\\
 +고객사가 요청한 사업의 주요 내용은 아래와 같이 크게 2가지로 나눠진다. \\
 +- 중장기 정보보안 마스터플랜 수립 (환경분석,​ 정보보안 전략 및 체계 정의, 전략과제에 대한 이행계획 수립) \\
 +- 기타 요청과제 (소속산하기관 실태점검 개발, 정보화 용역사업 보안관리 실태점검 개발, 정보보호관리체계(ISMS) 인증 기반수립) \\
 +\\
 +==== 프로젝트 기간 ====
 +2014년 3개월간 수행
 +\\
 +==== 비즈니스 및 IT환경 ====
 +  * 비즈니스 및 IT환경
 +- 고객사는 최근 몇 년전에 세종청사로 이전한 중앙행정기관으로써 다수의 소속 및 산하기관을 관리.감독해야 하는 역할과 책임으로 갖고 있다. \\
 +- 타 중앙행정부터와 비교하면 IT에 대한 의존도는 낮은 편이지만 모바일행정 업무, 클라우드,​ 빅 데이터 등 새로운 이슈들에 대한 보안이슈를 중앙행정부처 입장에서 정책적 기준을 수립하여 소속 및 산하기관에 제시해야 하는 입장이기도 하다.\\
 +- 대부분의 행정기관과 동일하게 중요한 정보시스템은 정부통합전산센터에 위탁운영하고 있으며, 일부 소속.산하기관이 자체적으로 운영하고 있는 대민서비스들이 있다.\\
 +- 고객사 자체적으로 운영하는 IT시스템은 주로 내부 업무용 시스템과 소속.산하기관을 관리하기 위한 시스템을 자체 전산실에서 마련하여 통합아웃소싱하고 있는 환경이다. \\
 +
 +  * 정보보호 환경
 +- 정보보안 정책은 관련 업무를 주관하는 국정원과 중앙행정부처의 정책을 반영하여 자체 정보보안 정책을 마련하여 운영하고 있으나 대부분의 공공/​행정기관과 마찬가지로 현실성과 이행율이 낮은 부분이 있으나 지속적으로 전문인력 보강과 메뉴얼 작업을 진행하고 있는 상황이다.\\
 +- 정보보안 조직은 정규직원이외에 계약직원을 채용하여 비용적 부담을 경감시키고 타 전문기관과의 연락체계를 구축하여 긴급상황에 대비하고 있다.\\
 +- 가장 많은 정보보안 예산을 투자하고 있는 국가사이버안전관리규정에 따라 다수의 소속.산하기관 대상의 보안관제 업무로 상시 모니터링체계를 유지하고 있다.\\
 +- 중앙행정기관 입장에서의 가장 큰 업무인 소속.산하기관의 보안상시 모니터링 체계는 대상과 범위를 점차적으로 확대해가야 하는 이슈와 상호간의 양방향적 의사소통 체계 제고에 대한 이슈가 있어서 시스템화를 진행중에 있다.\\
 +\\
 +==== 컨설팅 주요 관점 및 특이사항 ====
 +  * 관련 감독기준을 통합한 체크리스트 적용
 +- 고객사는 중앙행정기관으로써 국정원을 비롯한 안행부 등의 보안 관련 주관행정기관에게서 각종 실태평가 등의 각종 감독을 받고 있는 상황이며,​ 세부사항들은 중복되는 부분이 많은 상황이다. \\
 +- 따라서 현황분석을 위한 체크리스트를 이러한 감독규정들을 통합한 체크리스트를 개발하여 적용함으로써 다양한 관점에서 현황을 분석하고 중장기 추진과제들을 수행했을때의 시뮬레이션으로도 활용하였다. \\
 +
 +  * AS-IS와 더불어 AS-WAS분석으로 실질적 현황분석
 +- AS-IS 분석만으로는 실질적인 환경과 현황을 파악하는데 한계가 있기 마련이기 때문에 최근 3년간의 AS-WAS도 함께 분석하였다. \\
 +- 최근 3년간의 보안예산,​ 인적구조,​ 정책적 구조, 소속.산하기관 보안감사 및 실태평가결과 등을 파악함으로써 실질적인 역량 파악과 추진이력의 특징을 파악하였다. \\
 +- 이러한 AS-IS외 AS-WAS의 파악은 짧은 기간동안에 보다 더 실질적인 고객사의 정보보안 환경과 현황을 파악하여 좀더 현실적 대책을 수립하는데 반영되었다. \\
 +
 +  * 규정대비 주기적 업무수행 역량 및 여건의 분석
 +- 대부분의 공공/​행정기관들이 지침,​절차는 잘 갖추고 있으나 실용적이지 못하여 효용성이 떨어지는 공통점이 있기 마련이다. \\
 +- 따라서, 내부 보안규정에서 정의된 각종 보안활동을 정기적수행,​ 수시수행,​ 필요시 수행 업무로 분류하고 이행정도를 파악하였다. \\
 +- 이러한 이행율 파악은 이행율이 낮은 원인을 파악하여 보안대책 수립과 중장기 추진과제 수립에 반영하였다. \\
 +
 +  * 중장기 정보보안 마스터플랜 수립
 +- 현황분석 결과를 바탕으로 고객사가 추진해야 하는 향후 정보보안 과제의 후보군을 도출하고 몇 차례의 관련자 검토회의를 거쳐 최종과제를 선정하였다.\\
 +- 추진과제의 상세화를 위한 과제정의를 하고 과제추진을 위한 R&​R정의,​ 세부추진 단계정의,​ 소요예산 파악을 수행하였다.\\
 +- 최종적으로 선정된 추진과제는 중요성(영향도,​ 시급도)과 용이성(환경용이,​ 비용용이)을 기준으로 우선순위를 선정하고 협의 조정하였다.\\
 +- 우선순위에 따라 추진 로드맵과 소요예산을 단기/​중기/​장기로 나눠 정리하고 추진시 어떤 효과가 있는지 시뮬레이션함으로써 단계별 보안수준을 가능할 수 있도록 하였다.\\
 +
 +  * 기타 요청된 3가지 수행과제 수행
 +- 중장기 정보보안 추진계획과 더불어 요청된 3가지 수행과제는 관련자료 분석과 담당자 인터뷰 등으로 현재의 이슈사항을 파악하고 해결방안을 수립하였다. \\
 +- 담당자로서 업무수행의 애로사항 때문에 요청된 소속산하기관 실태점검 개발과 정보화 용역사업 보안관리 실태점검 개발 과제는 업무수행시 적용할 수 있도록 체크리스트와 활용방법을 기술한 가이드를 제작함으로써 가능한 바로 적용할 수 있도록 개발하였다.\\
 +
 +\\
 +  * 산출물 예시: 통합체크리스트,​ 단계별 로드맵 및 소요예산,​ 중장기추진 결과 시뮬레이션
 +{{:​wiki_security_corp:​case-mp-1.jpg?​200|}} {{:​wiki_security_corp:​case-mp-2.jpg?​200|}} {{:​wiki_security_corp:​case-mp-3.jpg?​200|}}