차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판 | ||
wiki_security_corp:a평가원_연간_취약점_진단_및_보안컨설팅_사례 [2014/08/26 06:42] – wiki1122 | wiki_security_corp:a평가원_연간_취약점_진단_및_보안컨설팅_사례 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 1: | 줄 1: | ||
{{keywords> | {{keywords> | ||
+ | |||
+ | * 사업 등 관련 문의: T) 02-322-4688, | ||
+ | |||
===== A평가원 연간 취약점 진단 및 보안컨설팅 사례 | ===== A평가원 연간 취약점 진단 및 보안컨설팅 사례 | ||
줄 7: | 줄 10: | ||
==== [ 프로젝트 배경 및 주제 ]==== | ==== [ 프로젝트 배경 및 주제 ]==== | ||
대부분의 공공기관은 다수의 상위기관들로부터 감독을 받는 입장에 있으며 정보보안 예산을 확보하는데도 어려움이 뒤따른다. 고객사인 A평가원도 국가정보원을 비롯하여 다수의 상위기관으로 부터 감독을 받고 있으며 수시로 정보보안과 관련된 각종 지침이 하달되고 있는 상황이다. 특히 정기적인 국가정보원의 정보보안 실태점검은 기관장에 대한 평가에도 영향을 받기 때문에 기관입장에서는 그 평가 결과가 큰 이슈중에 하나이다. \\ | 대부분의 공공기관은 다수의 상위기관들로부터 감독을 받는 입장에 있으며 정보보안 예산을 확보하는데도 어려움이 뒤따른다. 고객사인 A평가원도 국가정보원을 비롯하여 다수의 상위기관으로 부터 감독을 받고 있으며 수시로 정보보안과 관련된 각종 지침이 하달되고 있는 상황이다. 특히 정기적인 국가정보원의 정보보안 실태점검은 기관장에 대한 평가에도 영향을 받기 때문에 기관입장에서는 그 평가 결과가 큰 이슈중에 하나이다. \\ | ||
- | 이러한 환경에서 A평가원은 정기적인 보안취약점 점검, 모의해킹 진단, 분기별 정보보안 및 개인정보보호 교육, 정책지침 제.개정 등의 정보보안 활동을 아웃소싱하게 되었다. | + | 이러한 환경에서 A평가원은 정기적인 보안취약점 점검, 모의해킹 진단, 분기별 정보보안 및 개인정보보호 교육, 정책지침 제·개정 등의 정보보안 활동을 아웃소싱하게 되었다. |
==== [ 프로젝트 기간 ]==== | ==== [ 프로젝트 기간 ]==== | ||
줄 14: | 줄 17: | ||
==== [ IT 및 정보보안 환경 ]==== | ==== [ IT 및 정보보안 환경 ]==== | ||
* 비즈니스 및 IT 환경\\ | * 비즈니스 및 IT 환경\\ | ||
- | 1987년 최초로 설립된 고객사는 국가연구개발사업에 대한 조사, 분석, 평가 및 조정과 배분을 지원하고 개선방안을 제고하며 국제협력 관련업무를 효율적으로 수행함으로써 과학기술진흥에 기여하고 있다.\\ A평가원이 운영하는 대부분의 정보시스템은 내부사정으로 인하여 자체 전산실에서 운영하고 있으며, 일부 시스템이 정부통합전산센터에서 위탁운영하고 있고, 자체인력 충원의 한계로 인하여 IT운영의 일부를 통합 아웃소싱하여 전담인력이 상주하여 운영을 지원하고 있다. | + | 1987년 최초로 설립된 고객사는 국가연구개발사업에 대한 조사, 분석, 평가 및 조정과 배분을 지원하고 개선방안을 제고하며 국제협력 관련업무를 효율적으로 수행함으로써 과학기술진흥에 기여하고 있다.\\ A평가원이 운영하는 대부분의 정보시스템은 내부사정으로 인하여 자체 전산실에서 운영하고 있으며, 일부 시스템을 정부통합전산센터에서 위탁운영하고 있고, 자체인력 충원의 한계로 인하여 IT운영의 일부를 통합 아웃소싱하여 전담인력이 상주하여 운영을 지원하고 있다. |
* 정보보호 환경\\ | * 정보보호 환경\\ | ||
- | A평가원의 정보보안은 표준적인 공공기관 정보보안 조직으로 구성되어 있어서 원장을 중심으로 구성된 정보보안위원회, | + | A평가원의 정보보안은 표준적인 공공기관 정보보안 조직으로 구성되어 있어서 원장을 중심으로 구성된 정보보안위원회, |
==== [ 주요 Activity와 산출물 ]==== | ==== [ 주요 Activity와 산출물 ]==== | ||
^ 수행 단계 | ^ 수행 단계 | ||
- | | 취약점 진단 수행 (연 2회) | - 기존 정보시스템과 연중 반기 동안 신규로 구축, 개발 또는 리뉴얼된 정보시스템을 대상에 포함하여 수행 \\ - 서버/ | + | | 취약점 진단 수행 (연 2회) | - 기존 정보시스템과 연중 반기 동안 신규로 구축, 개발 또는 리뉴얼된 정보시스템을 대상에 포함하여 수행 \\ - 서버/ |
| 임직원 대상 정보보안 및 \\ 개인정보보호 인식제고 \\ 교육(연4회) | | 임직원 대상 정보보안 및 \\ 개인정보보호 인식제고 \\ 교육(연4회) | ||
- | | 정기적 정보보안 관련 규정 \\ 및 지침의 제.개정 (연1회) | + | | 정기적 정보보안 관련 규정 \\ 및 지침의 제·개정 (연1회) |
| 정기적 정보보안 훈련 \\ 실시 및 평가 (연1회) | | 정기적 정보보안 훈련 \\ 실시 및 평가 (연1회) | ||
| 국가정보원 정보보안 \\ 실태조사 지원 (연1회) | | 국가정보원 정보보안 \\ 실태조사 지원 (연1회) | ||
줄 30: | 줄 33: | ||
* 상위 감독기관의 감독의 평가 결과에 대한 적절한 수준관리 | * 상위 감독기관의 감독의 평가 결과에 대한 적절한 수준관리 | ||
* 반복적으로 실시되는 인식제고 교육에 대한 히스토리와 교육주제 관리로 교육의 효과 증진 | * 반복적으로 실시되는 인식제고 교육에 대한 히스토리와 교육주제 관리로 교육의 효과 증진 | ||
- | * A평가원의 규정 및 지침 제.개정에 대한 체계적인 히스토리 관리로 효율적인 변경관리 체계 마련 | + | * A평가원의 규정 및 지침 제·개정에 대한 체계적인 히스토리 관리로 효율적인 변경관리 체계 마련 |