차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판 | ||
wiki_security_corp:a기관_사이버안전센터_보안관제센터_isp컨설팅_사례 [2017/02/14 04:42] – wiki1122 | wiki_security_corp:a기관_사이버안전센터_보안관제센터_isp컨설팅_사례 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 22: | 줄 22: | ||
- 공공기관이면서 금융기관으로써 적용되어야 하는 관련법과 규정이 모두 적용되는 비즈니스상의 특성이 존재하였다. | - 공공기관이면서 금융기관으로써 적용되어야 하는 관련법과 규정이 모두 적용되는 비즈니스상의 특성이 존재하였다. | ||
- 고객사는 정보보안과 개인정보보호에 대한 전반적이고 포괄적인 정책과 기획을 담당하는 본부와 보안관제 및 운영을 담당하는 보안관제센터로 나눠져 있다. | - 고객사는 정보보안과 개인정보보호에 대한 전반적이고 포괄적인 정책과 기획을 담당하는 본부와 보안관제 및 운영을 담당하는 보안관제센터로 나눠져 있다. | ||
- | - 또한 금번 컨설팅 대상업무가 사이버안전센터이므로 국가사이버안전관리규정와 상위기관의 관련규정을 준수해야 하는 환경이다. | + | - 또한 금번 컨설팅 대상업무가 사이버안전센터이므로 국가사이버안전관리규정과 상위기관의 관련규정을 준수해야 하는 환경이다. |
- | - 몇 년전 사업장의 지방이전으로 인하여 자체적인 정보보안부문의 전문인력 확보가 어려운 난재로 존재하고 있다. | + | - 몇 년전 사업장의 지방이전으로 인하여 자체적인 정보보안부문의 전문인력 확보가 어려운 난제로 존재하고 있다. |
- 주요 IT서비스를 SM업무를 아웃소싱하고 있으며 보안관제센터도 보안관제전문업체에게 2년 또는 3년간의 장기 위탁으로 운영하고 있다. | - 주요 IT서비스를 SM업무를 아웃소싱하고 있으며 보안관제센터도 보안관제전문업체에게 2년 또는 3년간의 장기 위탁으로 운영하고 있다. | ||
- 주요정보통신기반시설로 지정된 업무와 비기반시설에 대하여 정기적 취약점 점검을 주기적으로 아웃소싱하여 운영하고 있다. | - 주요정보통신기반시설로 지정된 업무와 비기반시설에 대하여 정기적 취약점 점검을 주기적으로 아웃소싱하여 운영하고 있다. | ||
==== [ 컨설팅 주요 Topic ] ==== | ==== [ 컨설팅 주요 Topic ] ==== | ||
- | 고객사는 다 기종의 정보보호시스템의 통폐합 등 효율적이고 체계적 보안관제 방안을 마련하고 빅데이터 등 최신기술을 적용한 보안관제 강화와 정보보호 조직체계 강화을 위한 방안 마련을 목표로 아래 3개의 주요 주제를 선정하였으며 총 9개의 세부 요구사항을 제시되었다. | + | 고객사는 다 기종의 정보보호시스템의 통폐합 등 효율적이고 체계적 보안관제 방안을 마련하고 빅데이터 등 최신기술을 적용한 보안관제 강화와 정보보호 조직체계 강화를 위한 방안 마련을 목표로 아래 3개의 주요 주제를 선정하였으며 총 9개의 세부 요구사항을 제시되었다. |
- | 1. 정보보호시스템 기능개선(또는 재구성) 등 효울적 운영방안 마련 | + | 1. 정보보호시스템 기능개선(또는 재구성) 등 효율적 운영방안 마련 |
- 정보보호시스템 운영의 선진사례 분석과 전략적 추진방향 | - 정보보호시스템 운영의 선진사례 분석과 전략적 추진방향 | ||
- 정보보호시스템 현황 분석과 재구성 방안 | - 정보보호시스템 현황 분석과 재구성 방안 | ||
줄 43: | 줄 43: | ||
1. 근거가 명확한 현황 및 문제점 파악 필요하다 | 1. 근거가 명확한 현황 및 문제점 파악 필요하다 | ||
- | - 고객사가 인지하고 있는 현황과 문제점은 일반적으로 정확한 데이터에 입각하지 않은 | + | - 고객사가 인지하고 있는 현황과 문제점은 일반적으로 정확한 데이터에 입각하지 않은 수준이다. |
- | - 파악된 문제점이 조직내 이해관계에 따라서는 문제점이 아닐수도 있기 때문에 정확한 데이터분석에 입각한 문제점 제기가 필요하다. | + | - 파악된 문제점이 조직 내 이해관계에 따라서는 문제점이 아닐 수도 있기 때문에 정확한 데이터분석에 입각한 문제점 제기가 필요하다. |
- 이해관계자가 수긍할 수 있는 정확한 데이터를 도출하기 위하여 3년 또는 5년간의 장기간의 이력정보를 시계열적으로 분석해야 하는 이슈도 있다. | - 이해관계자가 수긍할 수 있는 정확한 데이터를 도출하기 위하여 3년 또는 5년간의 장기간의 이력정보를 시계열적으로 분석해야 하는 이슈도 있다. | ||
- 특히, 정보보호 예산과 조직정비와 관련된 현황과 추진과제는 장기간의 데이터 분석과 관련 법과 규정적용으로 그 당위성을 제시할 필요가 있다. | - 특히, 정보보호 예산과 조직정비와 관련된 현황과 추진과제는 장기간의 데이터 분석과 관련 법과 규정적용으로 그 당위성을 제시할 필요가 있다. | ||
줄 50: | 줄 50: | ||
2. 이해관계자들간의 입장정리가 필요하다 | 2. 이해관계자들간의 입장정리가 필요하다 | ||
- | - 컨설턴트뿐만 아니라 고객사 일부(예: | + | - 컨설턴트뿐만 아니라 고객사 일부(예: |
- 현황분석 결과 도출한 이슈사항과 개선과제 선정에서도 이해관계자들간의 입장차이가 다른 경우가 있으므로 상이한 이해관계자간의 인터뷰나 설문은 필수적이다. | - 현황분석 결과 도출한 이슈사항과 개선과제 선정에서도 이해관계자들간의 입장차이가 다른 경우가 있으므로 상이한 이해관계자간의 인터뷰나 설문은 필수적이다. | ||
줄 74: | 줄 74: | ||
- CISCO OpenSOC 등은 빅데이터 기반 SOC구현의 대표적인 오픈소스로써 자칫 특정벤더의 의존도로 인한 문제를 해소할 수 있는 사례들로 파악되었다. | - CISCO OpenSOC 등은 빅데이터 기반 SOC구현의 대표적인 오픈소스로써 자칫 특정벤더의 의존도로 인한 문제를 해소할 수 있는 사례들로 파악되었다. | ||
- 빅데이터의 트랩에 빠지지 않기 위한 기술전략으로써 AI기술과 인공지능기술, | - 빅데이터의 트랩에 빠지지 않기 위한 기술전략으로써 AI기술과 인공지능기술, | ||
- | - 이러한 환경분석의 결과에서 금번 사업의 이슈와 관련있는 시사점들을 도출하여 공유하였다. | + | - 이러한 환경분석의 결과에서 금번 사업의 이슈와 관련 있는 시사점들을 도출하여 공유하였다. |
* 내부 현황분석 단계의 주요사항 | * 내부 현황분석 단계의 주요사항 | ||
- | 고객사의 내부 환경분석 단계에서는 3가지 영역(보안관제, | + | 고객사의 내부 환경분석 단계에서는 3가지 영역(보안관제, |
- 보안관제 영역에서는 보안관제의 대상과 업무현황을 파악하였으며 최근 3년간의 보안관제에 대한 비용, 인력운영, | - 보안관제 영역에서는 보안관제의 대상과 업무현황을 파악하였으며 최근 3년간의 보안관제에 대한 비용, 인력운영, | ||
- | - 정보보호시스템운영 영역에서는 시스템운영현황, | + | - 정보보호시스템운영 영역에서는 시스템운영현황, |
- 조직 등의 운영관리영역에서는 보안관제센터를 포함한 보안조직, | - 조직 등의 운영관리영역에서는 보안관제센터를 포함한 보안조직, | ||
* SWOT분석 및 개선벙향 도출 단계의 주요사항 | * SWOT분석 및 개선벙향 도출 단계의 주요사항 | ||
- | SWOT분석으로 전략수립을 위한 기본원칙(Key Direction)을 도출하고 앞서 분석된 국내.외 환경과 내부 현황에서 파악된 이슈와 문제점을 3가지 영역으로 | + | SWOT분석으로 전략수립을 위한 기본원칙(Key Direction)을 도출하고 앞서 분석된 국내.외 환경과 내부 현황에서 파악된 이슈와 문제점을 3가지 영역으로 |
- 일반적인 전략수립 기법인 SWOT분석으로 내부적 강점과 약점을 도출하고 외적 위협과 기회를 파악하여 전략수립의 기본원칙을 수립하였다. | - 일반적인 전략수립 기법인 SWOT분석으로 내부적 강점과 약점을 도출하고 외적 위협과 기회를 파악하여 전략수립의 기본원칙을 수립하였다. | ||
- 이 기본원칙은 세부 추진과제들을 수립과 선정, 목적과 방향설정에 중요한 역할을 하였다. | - 이 기본원칙은 세부 추진과제들을 수립과 선정, 목적과 방향설정에 중요한 역할을 하였다. | ||
줄 92: | 줄 92: | ||
- 이해관계자들과의 논의과정을 거쳐 선정된 추진과제는 3개 그룹, 7개 추진과제, | - 이해관계자들과의 논의과정을 거쳐 선정된 추진과제는 3개 그룹, 7개 추진과제, | ||
- 선정된 세부과제는 5점 측도로 비용효과성과 긴급성을 평가하고 과제간의 연관성을 파악하여 우선순위에 따라 단기, 중기, 장기 추진과제를 구분하였다. | - 선정된 세부과제는 5점 측도로 비용효과성과 긴급성을 평가하고 과제간의 연관성을 파악하여 우선순위에 따라 단기, 중기, 장기 추진과제를 구분하였다. | ||
- | - 각 세부과제는 TO-BE 설계안을 마련하고 소요예산을 조사하여 단계별 총 소요예산을 산출하여 정보보호 예산에 반영할수 있도록 하였다. | + | - 각 세부과제는 TO-BE 설계안을 마련하고 소요예산을 조사하여 단계별 총 소요예산을 산출하여 정보보호 예산에 반영할 수 있도록 하였다. |
- 단기과제 일부는 본 사업이 완료되는 시점에 제안한 추진과제를 반영하여 발주되었다. | - 단기과제 일부는 본 사업이 완료되는 시점에 제안한 추진과제를 반영하여 발주되었다. | ||