차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

wiki_security_corp:a출연연구기관_정보보안_마스터플랜_isp_수립_컨설팅 [2015/04/13 11:29]
wiki1122
wiki_security_corp:a출연연구기관_정보보안_마스터플랜_isp_수립_컨설팅 [2017/08/21 15:18]
줄 1: 줄 1:
-{{keywords>​정보보안컨설팅,​보안컨설팅,​정보보안,​내부정보유출,​IT환경,​정보보안환경,​정보자산,​중요도평가,​위험분석,​보고서,​출연기관,​사례,​정보보안예산,​소요예산,​중장기계획,​국내외사례,​현황분석,​보안아키텍쳐,​전사적,​프레임워크,​논리아키텍처,​물리아키텍처,​로드맵,​roadmap,​보안정책,​지침,​프로젝트성공요인,​컨설팅산출물}} 
  
-* 사업 등 관련 문의: T) 02-322-4688,​ F) 02-322-4646,​ E) [[info@wikisecurity.net]] ​ 
- 
-===== A출연기관 마스터플랜(ISP) 수립 컨설팅 사례 ===== 
- 
-==== [ 고객사 ]==== 
- A 출연기관 (분류: 공공기관) 
-      
-==== [ 프로젝트 배경 및 주제 ]==== 
-고객사는 정부 출연기관이며,​ 국정원의 정보보안 실태평가 등 정기적인 상위기관의 감독을 받으면서 중장기 정보보안계획의 부재가 지적되었다. \\ 
-상위감독기관의 감독규정과 더불어서 중장기에 대한 청사진 확보, 단계적 정보보안 로드맵과 예산확보 등 내부 관리상의 필요에서도 정보보안 계획의 필요성을 인지하고 있었다. \\  
-기술적 취약점 진단 업무는 반기별로 외부 전문업체가 수행하고 있었기 때문에 기술적 보안에 대한 사항은 그 결과를 받아서 활용하였다. \\  
- 
-==== [ 프로젝트 기간 ]==== 
-2013년 2개월간 수행 
- 
-==== [ 비즈니스 및 IT환경 ]==== 
-  * 비즈니스 및 IT환경 
-- 고객사는 위원회 산하의 특수법인의 정부 출연기관으로서,​ 연구, 기획, 평가업무를 주요 업무로 수행하고 있다. \\  
-- IT업무를 포함한 겸직의 정보보안 관리자 및 담당자를 포함한 대부분의 임직원이 고급인력들로 구성되어 있어서 공공기관이지만 가능한 업무를 효율적으로 수행하고자 하는 업무환경이다. \\ 
-- 출연기관의 특성상 IT시스템은 자체시스템과 관련 기관으로부터 위탁운영을 하고 있는 시스템도 다수 있으며, 소유와 운영주체가 상이한 상황에서의 보안정책 적용에 어려움이 있는 특수성도 있다.\\ 
-- 정보시스템의 운영은 여타 유사규모의 공공기관과 동일하게 IT통합 아웃소싱을 하고 있어서 상주하고 있는 외주직원,​ 정규직원이외의 계약직원도 업무를 수행하고 있는 환경이다. \\ 
- 
-  * 정보보호 환경 
-- 정보보안 조직은 여타 정부출연기관과 마찬가지로 최소한의 기본요건들을 갖추고 CSO와 책임자, 실무자가 1명씩 업무분장을 하고 있다. \\ 
-- 정책이나 규정등의 문서는 규모 적절하게 정책서에 해당하는 하나의 문서에 대부분의 기본적인 내용을 모두 담고 있었고, 나머지 문서들은 매뉴얼로 전결규정을 낮춰서 가볍게 운영하고 있다. \\ 
-- 보안솔루션은 여타 공공기관들과 같이 의무적으로 보유해야 하는 바이러스백신,​ 유해사이트차단,​ 매체제어 솔루션 등이 있었으나,​ 망분리 구축이 이뤄지지 않은점, 64비트 적용이 미흡한 영역의 솔루션 등이 현장의 이슈로 관리되고 있었다. \\ 
- 
-  * 마스터플랜 수립 
-- 전사적차원의 정보보안을 관리하기 위한 체계가 부분적이고 산발적인 문제점이 발견되어 전사적 정보보안 프레임워크를 개발하여 현황분석과 중장기 정보보안 계획을 수립하였다. \\ 
-- 현황분석결과 도출된 향후 추진과제는 복잡하지 않도록 구현의 난이도와 파급효과(영향도)만을 적용하여 우선순위를 선정하였다. \\ 
-- 추진과제별 이행하기 위해 선정된 세부 실행방안은 과제정의서를 작성하여 AS-IS와 TO-BE를 비교하여 해당과제를 추진함에 따라 변화되는 모습을 알 수 있도록 하였다. \\ 
-- 실행방안은 해당과제를 단계적으로 어떻게 수행을 해나갈지 얼마의 소요예산이 필요한지 어떤 조직이 수행주체가 될지 추진시 유의 또는 고려해야 할 사항은 무엇인지를 정리함으로써 해당 과제별 향후 사업발주시 고려해야 하는 사항들을 정리하였다. \\ 
-- 보안솔루션 도입이 필요한 추진과제는 물리적 아키텍쳐까지 설계가 어려운 경우 논리적아키텍처(안)을 설계 함으로써 향후 과제추진시 불필요한 업무를 최소화할 수 있도록 제시하였다. \\ 
-- 향후 추진과제들은 전체 과제 로드맵(Road map)과 소요예산을 요약하여 전체 추진과제를 한눈에 알 수 있도록 하였다. \\ 
- 
-==== [ 프로젝트 CSF ]==== 
-  * 프로젝트 착수부터 완료까지 이해관계자와의 지속적인 의사소통으로 단기간에 정확한 현황분석과 적합한 추진과제 선정과 설계 
-  * 선정된 추진과제는 국내외 관련 선진 또는 우수사례를 파악하여 고객사에 적합한 적용방안을 설계 
-  * 전체 네트워크 구조개선과 같이 논리적 또는 물리적 아키텍쳐까지 설계가 가능한 영역까지 설계하여 추후 해당 과제 추진시 불필요한 업무를 최소화 ​ 
-  * 해당과제별 추진조직 등 이해관계자와의 충분한 의사소통으로 추진과제에 대한 공감대 형성 
- 
-==== [ 주요 Activity와 산출물 ]==== 
-^  수행 단계 ​ ^  주요 수행 내용 ^  결과 산출물 ​ ^ 
-|  IT 및 보안현황파악 | - IT 및 보안관련 문서 파악 \\ - 상위감독기관 및 관련 법·제도 파악 \\ - 정보화현황(자산목록 등) 파악 \\ - 정보보안 활동 이력 파악 | - 수행계획서 | 
-|  마스터플랜 수립 ​ | - 추진과제 Prototype 개발, 검토 \\ - 단/​중/​장기 추진과제 설계 \\ - 단/​중/​장기 추진과제별 소요예산 조사 \\ - 단/​중/​장기 추진과제 Roadmap 설계| - 정보보안 마스터플랜 ​ | 
-|  우수 및 선진사례 파악 ​ | - 국내외 선진, 우수사례 파악 \\ - 조사된 우수사례 적용방안 수립 ​ |- 국내/외 선진, 우수사례조사서 ​ | 
- 
-  * 산출물 예시 : 전사적 정보보안 프레임워크,​ 추진과제의 우선순위선정,​ 전체적 로드맵설계 
-{{:​wiki_security_corp:​case-mp수립-1.jpg?​200|}},​ {{:​wiki_security_corp:​case-mp수립-2.jpg?​200|}},​ {{:​wiki_security_corp:​case-mp수립-4.jpg?​200|}}