현재 위치: WiKi Security Spirit » 보안 감사 관리

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판양쪽 다음 판
audit [2013/07/10 03:37] – [수시 보안감사] wiki1122audit [2013/07/18 02:50] wiki1122
줄 6: 줄 6:
 ===== 보안감사의 분류 ===== ===== 보안감사의 분류 =====
  
-보안감사는 감사 주체에 따라 내부감사와 외부감사로 나눌 수 있으며, 감사시기에 따라 정기 보안감사와 수시 보안점검으로 나눌 수 있다. +보안감사는 감사 주체에 따라 내부감사와 외부감사로 나눌 수 있으며, 감사시기에 따라 정기 보안감사와 수시 보안점검으로 나눌 수 있다.\\ 
-<표 4-3-1-1> 보안감사 분류+
 ^  보안감사 주체  ^  내부 보안감사  |• 보안팀 또는 감사팀에 의해 수행  | ^  보안감사 주체  ^  내부 보안감사  |• 보안팀 또는 감사팀에 의해 수행  |
 ^  :::            ^  외부 보안감사  |• 감리회사, 회계법인, 보안 컨설팅 전문회사\\ • 정보보호안전진단 등\\ • 금융감독원 등 정부기관  | ^  :::            ^  외부 보안감사  |• 감리회사, 회계법인, 보안 컨설팅 전문회사\\ • 정보보호안전진단 등\\ • 금융감독원 등 정부기관  |
줄 36: 줄 36:
  
 보안감사의 영역은 보안감사 정책 설정 시 결정되며, 일반적으로 아래와 같은 영역으로 구분할 수 있다. 보안감사의 영역은 보안감사 정책 설정 시 결정되며, 일반적으로 아래와 같은 영역으로 구분할 수 있다.
-<표 4-3-3-1> 보안감사 영역+
 ^  인적 보안감사  ||• 입사자, 퇴사자에 대한 보안 활동에 대한 감사\\ • 계약직, 임시직에 대한 보안 활동에 대한 감사\\ • 외부 인원에 대한 보안 활동에 대한 감사\\ • 보안 교육에 대한 감사  | ^  인적 보안감사  ||• 입사자, 퇴사자에 대한 보안 활동에 대한 감사\\ • 계약직, 임시직에 대한 보안 활동에 대한 감사\\ • 외부 인원에 대한 보안 활동에 대한 감사\\ • 보안 교육에 대한 감사  |
 ^  물리적 보안감사  ||• 전산실 출입 통제 및 로깅에 대한 감사\\ • 전산실 전원 설비 및 공조에 대한 감사\\ • 전산실 환경 및 비상 사태 대비에 대한 감사  | ^  물리적 보안감사  ||• 전산실 출입 통제 및 로깅에 대한 감사\\ • 전산실 전원 설비 및 공조에 대한 감사\\ • 전산실 환경 및 비상 사태 대비에 대한 감사  |
줄 53: 줄 53:
 예를 들어, 장애 발생 시 신속한 조치를 위해 VPN을 통해 시스템, 네트워크 장비 또는 데이터베이스에 직접 접속할 수 있다면 VPN에 대한 보안감사는 매월 수행되어야 하며, 그 결과는 최고 보안 책임자에게 보고되어야 한다. 보안감사 전 영역에 걸쳐 수행되는 정기 보안감사는 매년 작성되는 ‘연간 보안 활동계획’에 포함되어야 한다. 정기 보안감사를 수행하는 프로세스는 일반적으로 다음의 그림과 같다. 예를 들어, 장애 발생 시 신속한 조치를 위해 VPN을 통해 시스템, 네트워크 장비 또는 데이터베이스에 직접 접속할 수 있다면 VPN에 대한 보안감사는 매월 수행되어야 하며, 그 결과는 최고 보안 책임자에게 보고되어야 한다. 보안감사 전 영역에 걸쳐 수행되는 정기 보안감사는 매년 작성되는 ‘연간 보안 활동계획’에 포함되어야 한다. 정기 보안감사를 수행하는 프로세스는 일반적으로 다음의 그림과 같다.
 \\ \\
-<그림 4-3-4-1> 보안감사 프로세스\\+{{:보안감사_프로세스.jpg?600|보안감사 프로세스}}\\
 \\ \\
 다음은 감사 시 사용되는 체크리스트 예시로 보안 감사 영역별로 체크리스트를 작성하여 배포하여야 한다. 다음은 감사 시 사용되는 체크리스트 예시로 보안 감사 영역별로 체크리스트를 작성하여 배포하여야 한다.
  
-<표 4-3-4-1> 보안감사 체크리스트 예시 
 |< 90% 90px 90px 120px - >| |< 90% 90px 90px 120px - >|
 ^  정보보호\\ 시스템관리  ^  유지관리  ^  IT보안실무자  | 정보보호 시스템 변경 시 변경계획서를 작성하고 있는가?  | ^  정보보호\\ 시스템관리  ^  유지관리  ^  IT보안실무자  | 정보보호 시스템 변경 시 변경계획서를 작성하고 있는가?  |
줄 77: 줄 76:
 임직원의 평상시 보안상태를 점검하기 위해 공지하지 않은 상태에서 실시하는 불시보안감사로는 PC에 대한 불시 보안감사와 사무실 불시 보안점검이 있다. PC 불시 보안 점검은 비밀번호 설정 여부, PC보안 설정 현황, 바이러스 백신 등 보안 프로그램 설치 여부 및 설정 등을 감사하는 것으로 그 결과를 각 부서별로 비교하여 공지하기도 한다. 임직원의 평상시 보안상태를 점검하기 위해 공지하지 않은 상태에서 실시하는 불시보안감사로는 PC에 대한 불시 보안감사와 사무실 불시 보안점검이 있다. PC 불시 보안 점검은 비밀번호 설정 여부, PC보안 설정 현황, 바이러스 백신 등 보안 프로그램 설치 여부 및 설정 등을 감사하는 것으로 그 결과를 각 부서별로 비교하여 공지하기도 한다.
 PC 불시 보안감사와 사무실 불시 보안점검에 대한 체크리스트 예시는 아래와 같다. PC 불시 보안감사와 사무실 불시 보안점검에 대한 체크리스트 예시는 아래와 같다.
-<표 4-3-5-1> PC 불시 보안감사 체크리스트+
 |< 90% 140px 180px - >| |< 90% 140px 180px - >|
 ^         구분               세부항목                            진단내용                                    ^ ^         구분               세부항목                            진단내용                                    ^
줄 108: 줄 107:
  
  
- 
- 
-<표 4-3-5-2> 사무실 불시 보안점검 체크리스트 
 |< 90% 100px - 100px 100px 100px >| |< 90% 100px - 100px 100px 100px >|
 ^         구분          ^                점검 내용                          대상 수                점검 결과          ^^ ^         구분          ^                점검 내용                          대상 수                점검 결과          ^^

추적: