목차
* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
A출연기관 마스터플랜(ISP) 수립 컨설팅 사례
[ 고객사 ]
A 출연기관 (분류: 공공기관)
[ 프로젝트 배경 및 주제 ]
고객사는 정부 출연기관이며, 국정원의 정보보안 실태평가 등 정기적인 상위기관의 감독을 받으면서 중장기 정보보안계획의 부재가 지적되었다.
상위감독기관의 감독규정과 더불어서 중장기에 대한 청사진 확보, 단계적 정보보안 로드맵과 예산확보 등 내부 관리상의 필요에서도 정보보안 계획의 필요성을 인지하고 있었다.
기술적 취약점 진단 업무는 반기별로 외부 전문업체가 수행하고 있었기 때문에 기술적 보안에 대한 사항은 그 결과를 받아서 활용하였다.
[ 프로젝트 기간 ]
2013년 2개월간 수행
[ 비즈니스 및 IT환경 ]
- 비즈니스 및 IT환경
- 고객사는 위원회 산하의 특수법인의 정부 출연기관으로서, 연구, 기획, 평가업무를 주요 업무로 수행하고 있다.
- IT업무를 포함한 겸직의 정보보안 관리자 및 담당자를 포함한 대부분의 임직원이 고급인력들로 구성되어 있어서 공공기관이지만 가능한 업무를 효율적으로 수행하고자 하는 업무환경이다.
- 출연기관의 특성상 IT시스템은 자체시스템과 관련 기관으로부터 위탁운영을 하고 있는 시스템도 다수 있으며, 소유와 운영주체가 상이한 상황에서의 보안정책 적용에 어려움이 있는 특수성도 있다.
- 정보시스템의 운영은 여타 유사규모의 공공기관과 동일하게 IT통합 아웃소싱을 하고 있어서 상주하고 있는 외주직원, 정규직원이외의 계약직원도 업무를 수행하고 있는 환경이다.
- 정보보호 환경
- 정보보안 조직은 여타 정부출연기관과 마찬가지로 최소한의 기본요건들을 갖추고 CSO와 책임자, 실무자가 1명씩 업무분장을 하고 있다.
- 정책이나 규정등의 문서는 규모 적절하게 정책서에 해당하는 하나의 문서에 대부분의 기본적인 내용을 모두 담고 있었고, 나머지 문서들은 매뉴얼로 전결규정을 낮춰서 가볍게 운영하고 있다.
- 보안솔루션은 여타 공공기관들과 같이 의무적으로 보유해야 하는 바이러스백신, 유해사이트차단, 매체제어 솔루션 등이 있었으나, 망분리 구축이 이뤄지지 않은점, 64비트 적용이 미흡한 영역의 솔루션 등이 현장의 이슈로 관리되고 있었다.
- 마스터플랜 수립
- 전사적차원의 정보보안을 관리하기 위한 체계가 부분적이고 산발적인 문제점이 발견되어 전사적 정보보안 프레임워크를 개발하여 현황분석과 중장기 정보보안 계획을 수립하였다.
- 현황분석결과 도출된 향후 추진과제는 복잡하지 않도록 구현의 난이도와 파급효과(영향도)만을 적용하여 우선순위를 선정하였다.
- 추진과제별 이행하기 위해 선정된 세부 실행방안은 과제정의서를 작성하여 AS-IS와 TO-BE를 비교하여 해당과제를 추진함에 따라 변화되는 모습을 알 수 있도록 하였다.
- 실행방안은 해당과제를 단계적으로 어떻게 수행을 해나갈지 얼마의 소요예산이 필요한지 어떤 조직이 수행주체가 될지 추진시 유의 또는 고려해야 할 사항은 무엇인지를 정리함으로써 해당 과제별 향후 사업발주시 고려해야 하는 사항들을 정리하였다.
- 보안솔루션 도입이 필요한 추진과제는 물리적 아키텍쳐까지 설계가 어려운 경우 논리적아키텍처(안)을 설계 함으로써 향후 과제추진시 불필요한 업무를 최소화할 수 있도록 제시하였다.
- 향후 추진과제들은 전체 과제 로드맵(Road map)과 소요예산을 요약하여 전체 추진과제를 한눈에 알 수 있도록 하였다.
[ 프로젝트 CSF ]
- 프로젝트 착수부터 완료까지 이해관계자와의 지속적인 의사소통으로 단기간에 정확한 현황분석과 적합한 추진과제 선정과 설계
- 선정된 추진과제는 국내외 관련 선진 또는 우수사례를 파악하여 고객사에 적합한 적용방안을 설계
- 전체 네트워크 구조개선과 같이 논리적 또는 물리적 아키텍쳐까지 설계가 가능한 영역까지 설계하여 추후 해당 과제 추진시 불필요한 업무를 최소화
- 해당과제별 추진조직 등 이해관계자와의 충분한 의사소통으로 추진과제에 대한 공감대 형성
[ 주요 Activity와 산출물 ]
수행 단계 | 주요 수행 내용 | 결과 산출물 |
---|---|---|
IT 및 보안현황파악 | - IT 및 보안관련 문서 파악 - 상위감독기관 및 관련 법·제도 파악 - 정보화현황(자산목록 등) 파악 - 정보보안 활동 이력 파악 | - 수행계획서 |
마스터플랜 수립 | - 추진과제 Prototype 개발, 검토 - 단/중/장기 추진과제 설계 - 단/중/장기 추진과제별 소요예산 조사 - 단/중/장기 추진과제 Roadmap 설계 | - 정보보안 마스터플랜 |
우수 및 선진사례 파악 | - 국내외 선진, 우수사례 파악 - 조사된 우수사례 적용방안 수립 | - 국내/외 선진, 우수사례조사서 |
- 산출물 예시 : 전사적 정보보안 프레임워크, 추진과제의 우선순위선정, 전체적 로드맵설계
, ,