차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판 | ||
audit [2013/07/10 03:37] – [수시 보안감사] wiki1122 | audit [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 4: | 줄 4: | ||
보안 감사는 회사에서 이뤄지는 보안활동이 적절히 이뤄지고 있는지 확인하는 활동으로 각 회사의 업무와 정해진 정책 그리고 수행되고 있는 보안 활동에 따라 감사활동은 다르게 수행되어야 한다. | 보안 감사는 회사에서 이뤄지는 보안활동이 적절히 이뤄지고 있는지 확인하는 활동으로 각 회사의 업무와 정해진 정책 그리고 수행되고 있는 보안 활동에 따라 감사활동은 다르게 수행되어야 한다. | ||
- | ===== 보안감사의 분류 | + | * [[audit:보안감사의 분류]] |
+ | * [[audit: | ||
+ | * [[audit: | ||
+ | * [[audit: | ||
- | 보안감사는 감사 주체에 따라 내부감사와 외부감사로 나눌 수 있으며, 감사시기에 따라 정기 보안감사와 수시 보안점검으로 나눌 수 있다. | + | ====== |
- | <표 4-3-1-1> 보안감사 분류 | + | |
- | ^ 보안감사 주체 | + | |
- | ^ ::: ^ 외부 보안감사 | + | |
- | ^ 보안감사 시기 | + | |
- | ^ ::: ^ 수시 보안감사 | + | |
- | 내부감사는 기업 조직 및 각 팀의 업무 정의에 따라 보안팀 또는 감사팀에서 수행되며, | + | |
- | 감사시기에 따른 분류로는 정기 보안감사와 수시 보안감사로 나눌 수 있으며, 정기 보안감사는 연간 계획에 의해 진행되며 보안 영역 전반을 대상으로 하는 감사와 매월, 분기 또는 반기 등 회사의 정책에 따라 수행되는 정기 보안감사로 나눌 수 있다. | + | |
- | 매월, 분기 또는 반기 등 시행되는 정기 보안감사는 전체 보안영역이 아닌 일부 보안영역 가령, VPN 사용현황, | + | |
- | 반면, 수시 보안감사는 보안사고 발생 직후 또는 보안사고 징후가 있을 경우 전체 또는 일부분에 대해 시행되는 보안 감사로, 예를 들어 한 대의 웹 서버의 쓰기 권한 허용으로 인해 홈페이지 변조사고가 발생하였을 경우, 신속한 조치 후 전체 웹 서버의 쓰기 권한을 점검하는 활동이나, | + | |
- | + | ||
- | ===== 보안 감사 정책 수립 | + | |
- | + | ||
- | 정보보호 관련 부서는 회사의 비즈니스에 대한 보안 위협 및 위험(Risk)을 감소시키기 위해 감사 정책을 수립하여 관련 부서에 공지하고 이를 추진하여야 한다. 불필요한 보안감사는 업무 프로세스에 부담을 줄 수 있으며, 인원 | + | |
- | + | ||
- | 비즈니스에 대한 위협 및 위험 분석 | + | |
- | + | ||
- | 보안감사 정책을 수립하기 위해서는 비즈니스에 대한 위험과 위협을 분석하여 이에 맞는 보안감사 정책을 수립하여야 하며 보안감사 정책수립 시 결정하여야 하는 사항은 아래와 같다. | + | |
- | * 감사대상 보안 영역 | + | |
- | * 감사목적 (감소시키고자 하는 보안 위험) | + | |
- | * 감사범위 및 중점감사항목 | + | |
- | * 감사일정 및 기간 | + | |
- | * 감사대상 부서 | + | |
- | * 참여 감사자 | + | |
- | * 감사기법 및 감사기준 | + | |
- | * 기타 필요사항 등 | + | |
- | + | ||
- | ===== 보안감사 영역 ===== | + | |
- | + | ||
- | 보안감사의 영역은 보안감사 정책 설정 시 결정되며, | + | |
- | <표 4-3-3-1> 보안감사 영역 | + | |
- | ^ 인적 보안감사 | + | |
- | ^ 물리적 보안감사 | + | |
- | ^ 업무용 프로그램 감사 | + | |
- | ^ 정보 시스템\\ 보안감사 | + | |
- | ^ ::: | + | |
- | ^ ::: | + | |
- | ^ PC 보안감사 | + | |
- | ^ 내부 접속\\ 프로그램 감사 (VPN 등) ||• 사용자 관리 및 접근통제 감사\\ • VPN을 통한 내부 시스템 접속 내역 및 수행 업무 내역 감사 | + | |
- | + | ||
- | 앞선 표에서 표시된 보안감사 영역은 각 기업이 필수적으로 따라야 하는 영역은 아니며, 각 영역 중 각 회사의 업무상 필요에 따라 대상영역을 설정하면 된다. 다만 보안감사를 기술적인 취약점 위주보다는 보안 프로세스를 점검하는 방향으로 하는 것이 바람직하다. | + | |
- | + | ||
- | ===== 정기 보안 감사 | + | |
- | + | ||
- | 정기 보안감사는 보안감사 전 영역에 걸쳐 1년에 1회 또는 2회 실시하는 하는 감사와 매월, 분기별 또는 반기별로 일정 영역에 따라 진행하는 보안감사가 있다. | + | |
- | 예를 들어, 장애 발생 시 신속한 조치를 위해 VPN을 통해 시스템, 네트워크 장비 또는 데이터베이스에 직접 접속할 수 있다면 VPN에 대한 보안감사는 매월 수행되어야 하며, 그 결과는 최고 보안 책임자에게 보고되어야 한다. 보안감사 전 영역에 걸쳐 수행되는 정기 보안감사는 매년 작성되는 ‘연간 보안 활동계획’에 포함되어야 한다. 정기 보안감사를 수행하는 프로세스는 일반적으로 다음의 그림과 같다. | + | |
\\ | \\ | ||
- | <그림 4-3-4-1> 보안감사 | + | {{: |
- | \\ | + | 주요내용 |
- | 다음은 | + | 지난 10년간 공공부문의 |
- | + | 대규모 예산이 투입되는 정보시스템 | |
- | <표 4-3-4-1> 보안감사 체크리스트 예시 | + | 따라서 본 연구에서는 체계적인 |
- | |< 90% 90px 90px 120px - >| | + | |
- | ^ 정보보호\\ 시스템관리 | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ 계정관리 | + | |
- | ^ ::: ^ 변경관리 | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ 접근통제 | + | |
- | ^ ::: ^ 서비스정책 | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ 로그 및 \\ 백업관리 | + | |
- | ^ ::: ^ ::: | + | |
- | ^ ::: ^ ::: | + | |
- | ===== 수시 보안감사 ===== | + | |
- | + | ||
- | 임직원의 평상시 보안상태를 점검하기 위해 공지하지 않은 상태에서 실시하는 불시보안감사로는 PC에 대한 | + | |
- | PC 불시 보안감사와 사무실 불시 보안점검에 대한 | + | |
- | <표 4-3-5-1> PC 불시 보안감사 | + | |
- | |< 90% 140px 180px - >| | + | |
- | ^ | + | |
- | | | + | |
- | | ::: | + | |
- | | | + | |
- | | ::: | + | |
- | | ::: | + | |
- | | | + | |
- | | | + | |
- | | ::: | + | |
- | | 공유폴더 | + | |
- | | | + | |
- | | 계정관리 | + | |
- | | ::: | + | |
- | | ::: | + | |
- | | | + | |
- | | ::: | + | |
- | | ::: | + | |
- | | ::: | + | |
- | | | + | |
- | | | + | |
- | | ::: | + | |
- | | 바이러스 통제 | | + | |
- | | ::: | + | |
- | | ::: | + | |
- | | ::: | + | |
- | | 접근통제 | + | |
- | | ::: | + | |
- | + | ||
- | + | ||
- | <표 4-3-5-2> 사무실 불시 | + | [[http:// |
- | |< 90% 100px - 100px 100px 100px >| | + | 산업기밀보호센터에서는 산업보안실태를 자체적으로 진단할 수 있는 온라인 진단 체크리스트를 제공하고 있다. |
- | ^ | + | 총 7개 영역으로 구성되어 있으며, 각 항목은 4등급의 |
- | ^ ::: | + | |
- | | 시건 상태 | + | |
- | | ::: | + | |
- | | 문서 \\ 보관상태 | + | |
- | | ::: | + | |
- | | 노트북\\ 관리 상태 |퇴근 시, 개인 책상 위 Notebook 방치 여부 (물리적 잠금 미흡) | + | |
- | | ::: | + | |
- | | ::: | + |