정량적 위험분석 방식
개요
- 손실이나 위험의 크기를 금전적 가치로 표현하는 방식. 객관적이고 수학적인 방식.
- 장점 : 이해하기 쉽고 성능평가 용이
- 단점 : 많은 입력데이터가 필요하고 계산이 복잡. 시간, 비용, 노력이 많이듬
정량적 위험분석 방법론
1) 연간 예상 손실ALE 계산법
- 예상 손실액SLE과 위협의 연간 발생률ARO을 곱해서 계산
2) 과거자료 분석법
- 과거의 자료를 통해 위험 발생 가능성을 예측
3) 수학공식 접근법
- 위협의 발생 빈도를 계산하는 식을 이용해 예측
4) 확률 분포법
- 확률적 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측
5) 점수법
- 위험 발생 요인에 가중치를 두어 위험을 추정함
(정량과학확률점수~)
** 연간 예상 손실ALE 계산법
- 자산 가치AV (Asset Value)
- 노출 계수EF (Exposure Factor) : 특정 자산에 특정 위협이 발생했을때 자산에 미치는 손실 비율
- 단일 예상 손실액SLE (Single Loss Expectancy) : 특정 자산에 특정 위협이 1회 발생시의 예상 손실액
(자산 가치 X 노출 계수 = 단일 예상 손실액)
- 연간 발생률ARO (Annual Rate Of Occurrence) : 특정 자산의 특정 위협 연간 발생률
(5년에 1번 발생 -> 0.2)
- 연간 예상 손실액 ALE (Annual Loss Expectancy) : 특정 자산에 특정 위협 발생시 연간 예상 손실액
(단일 예상 손실액SLE * 연간 발생률ARO = 연간 예상 손실액ALE)
연습용 계산 예시
| 1. 온라인 교육 시스템의 자산 가치 : 20억원 2. 통계적으로 2년에 1번 해킹 위협 발생 3. 평균적으로 해킹 발생시마다 10%의 손실 발생 4. 해킹 방지를 위한 보안솔루션 도입 및 운영시 연간 2000만원의 비용이 발생하고, 연간 손실 완화율은 80%이다. |
=> 단일 예상 손실액SLE : 2억원
=> 연간 예상 손실액ALE : 1억원
(+ 노출계수EF: 0.1, 연간 발생률ARO: 50%)
=> 보안대책의 투자 대비 수익률ROI :
(공식: 투자 대비 수익률ROI = (감소한 연간 손실 - 연간 대책 비용) / 연간 대책 비용 * 100
대책을 적용했을 때, 연간 1억원의 손실에서 완화율이 80%이므로 손실은 2천만원으로 줄어든다.
(8천만원 - 2천만원) / 2천만원 * 100 = 수익률은 300%)
연습용 계산 예시 2
| 구분 (금액: 만원) | 자산 현황 (대책 미적용) | A대책 적용 | B대책 적용 |
| 자산가치 | 100,000 | ||
| 노출계수 (%) | 80 | 20 | 80 |
| 단일예상 손실액SLE | ( 1 ) | ( 2 ) | ( 3 ) |
| 연간 발생률ARO (%) | 50 | 50 | 25 |
| 연간 예상 손실액ALE | ( 4 ) | ( 5 ) | ( 6 ) |
| 대책 적용시 감소한 ALE 비용 | - | 30,000 | 20,000 |
| 대책 비용 | 17,000 | 4,000 | |
| 대책 적용 시 연간 순이익 | ( 7 ) | ( 8 ) | |
| 투자 대비 수익률ROI (%) | ( 9 ) | ( 10 ) | |
1) 단일예상 손실액SLE : 80,000
2) 단일예상 손실액SLE : 20,000
3) 단일예상 손실액SLE : 80,000
( 단일 예상 손실액SLE = 노출계수EF * 자산가치AV )
4) 연간예상 손실액ALE : 80,000 * 0.5 = 40,000
5) 연간예상 손실액ALE : 20,000 * 0.5 = 10,000
6) 연간예상 손실액ALE : 80,000 * 0.25 = 20,000
( 연간 예상 손실액ALE = 단일 예상 손실액SLE * 연간 발생률ARO )
7) 대책 적용시 연간 순이익 : 30,000
8) 대책 적용시 연간 순이익 : 20,000
(대책 적용시 연간 순이익 = 대책 미적용 손실액 - 대책 적용 손실액)
9) 투자 대비 수익률ROI : ( 30,000 - 17,000 ) / 17,000 * 100 = 약 76%
10) 투자 대비 수익률ROI : ( 20,000 - 4,000 ) / 4,000 * 100 = 400%
(투자 대비 수익률ROI = ( 대책 적용시 연간 순이익 - 대책 비용 ) / 보호대책비용 * 100)
정성적 위험분석 방식
개요
- 손실이나 위험의 크기를 개략적인 크기로 비교하는 방식
- 장점 : 비교적 간단
- 단점 : 객관적 검증이 어렵고 평가자에 따라 결과가 달라질 수 있다
방법론
1) 델파이법
- 전문적인 지식을 갖춘 전문가 집단을 구성하여 토론(설문조사)
2) 시나리오법
- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여, 일정 조건에서 위협에 대한 발생 가능한 결과들을 추정
3) 순위결정법
- 비교 우위 순위 결정표에 의해 위험 항목들의 서술적 순위를 결정
4) 퍼지행렬법
- 위험분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대 손실을 평가
(정성-델파시나순위퍼지)
정보보호 대책 선정
개요
- 수용가능한 목표 위험수준DoA를 초과하는 위험을 수용가능한 수준으로 감소시키기 위해 위험처리 전략을 설정하고, 정보보호 대책을 선택하는 것.
위험처리 전략 유형
가) 위험수용
- 현재의 위험을 받아들이고 잠재적 손실 비용을 감수함
나) 위험감소
- 위험을 감소시킬 수 있는 대책을 채택하여 구현
- 보호대책 효과 = 대책 적용 전 ALE - 대책 적용 후 ALE - 연간 대책 비용을 계산하여, 보호대책 효과가 양(+)의 효과가 있는 보호대책을 선정한다.
다) 위험전가
- 잠재적 손실 비용을 보험이나 외주 등 제 3자에게 이전시키는 전략
라) 위험회피
- 위험이 조재하는 프로세스나 사업을 수행하지 않고 포기함
위험처리 방식 예시
| 쇼핑몰을 운영하는 A사는 고액의 전자 거래 시스템을 운영하고자 위험분석 및 평가를 수행했다. 그 결과는 고액의 온라인 전송에 따른 거래 금액 노출, 거래 사실 부인의 위협이 매우 컸다. |
1) 위험 수용 : 일정기간 위험을 감수하고 시스템 운영하기로 결정
2) 위험 감소 : 위험에 대응하기 위해 암호화 등 솔루션을 도입하기로 함
3) 위험 전가 : 온라인 거래 시스템을 다른 외주업체에 위탁하거나 보험을 들기로 함
4) 위험 회피 : 온라인 시스템을 포기하고 기존의 오프라인 방식만 유지하기로 함
(위험처리 전략 유형
수용-감소-전가-회피)
위험처리 절차
1) 위험 식별
2) 위험도 ≤ 목표 위험 수준 → 위험 수용 (위험도가 낮을때)
3) 비용효과적 대책 존재 → 위험 감소 (적절한 대책이 존재함)
4) 적절한 보험 또는 전가 대상 존재 → 위험 전가 (외주/위탁)
5) 위험 회피 (수용, 감소, 전가 불가할시)
일반관리 5 END --
업무 연속성 계획BCP (Business Continuity Planning)
1) 개요
- 각종 장애 및 재해로부터 업무중단이 발생할 경우 최대한 빠른 시간 내에 업무를 복구함으로써 업무 연속성을 유지하기 위한 계획(절차)
- 업무 영향 분석BIA : BCP의 핵심 절차. 핵심 업무를 파악하고 업무별로 전체 사업에 미치는 영향도를 분석해 복구 우선순위를 결정하는 과정
( 조직의 핵심 업무 파악, 업무별 영향도/중요도 파악, 목표 복구시간/수준 결정 )
2) 업무 연속성 계획 BCP의 5단계 방법론
1. 프로젝트 범위 설정 및 기획
- 계획 수립. 범위, 조직, 시간, 인원 등을 정의
2. 사업영향평가BIA (=업무 영향 분석)
- 개별 업무 중단시 손실 영향도 파악
3. 복구전략개발
- BIA 단계에서 수집한 정보를 바탕으로 복구 자원 및 복구 방안들에 대한 평가, 비용 산정
4. 복구계획수립
- 실제 복구 계획을 수립. 명시적인 문서화 필수
5. 프로젝트 수행 테스트 및 유지보수
- 테스트 및 유지보수 관리절차 수립
( BCP 5단계 방법론 : 프로젝트 범위 설정 및 기획 → 사업영향평가 → 복구전략개발 → 복구계획수립 → 프로젝트 수행 테스트 및 유지보수 )
재해복구계획DRP (Disaster Recovery Planning)
개요
- 재해복구DR란 재해로 인해 중단된 정보기술it 서비스를 재개하는 것
- 재해복구계획DRP : 정보기술 서비스 기반에 대해 재해 발생시 빠른 복구를 통해 업무에 대한 영향을 최소화하기 위한 제반 계획
- 재해복구시스템DRS : 재해복구계획의 수행을 지원하기 위해 확보해두는 인적, 물적 자원과 이들에 대한 지속적인 관리체계
(업무 연속성 계획BCP는 조직이 제공하는 모든 업무 영역에 대한 연속성을 유지하는 것이고, 재해복구계획DRP는 정보기술IT 서비스 연속성 유지를 말한다)
주요 용어
- 복구 목표 시간RTO (Recovery Time Objective) : 서비스를 복구하는데까지 걸리는 최대 허용시간
- 복구 목표 시점PRO (Recovery Point Objective) : 유실을 감내할 수 있는 데이터의 손실 허용 시점
재해복구시스템DRS 복구 수준별 유형 : 재해복구 서비스 유형
가) 개요
- 미러 사이트 : 주센터와 동일 수준의 시스템을 원격지 사이트에 구축한 후 활성상태로 실시간 동시 서비스를 제공하는 방식. 이론적으로 복구소요시간RTO이 0이다. 재해시 신속한 업무재개가 가능하고, 데이터 유실이 없으나 구축 및 유지비용이 높고 평상시 재해복구센터 운영 방안이 필요하다.
- 핫 사이트 : 주센터와 동일 수준의 시스템을 원격지 사이트에 구축한 후, 대기Standby 상태로 실시간 미러링을 통해 최신 데이터를 유지한다. 복구소요시간RTO는 수 시간 이내이다. 미러 사이트에 비해 비용이 저렴하고 데이터를 최신 상태로 유지할 수 있으나, 시스템을 활성화하기 위한 복구 절차가 필요하고 복구작업에 시간이 필요하다.
- 웜 사이트 : 주센터의 중요도가 높은 일부 시스템만 원격지 사이트에 구축하여 재해 발생히 중요 업무에 대해서만 우선 복구하는 방식. 복구소요시간RTO은 수 일~ 수 주 이내이다. 핫 사이트보다 비용이 저렴하나, 데이터 백업 주기가 길어 재해 시 데이터 일부 손실이 발생할 수 있다.
- 콜드 사이트 : 데이터만 원격지에 보관하고, 서비스를 위한 시스템은 확보하지 않거나 장소, 전원시설 등만 최소한으로 확보하는 방식. 재해 발생시 자원만 확보한 후 데이터를 기반으로 복구한다. 복구소요시간RTO은 수 주 ~ 수 개월 이내이다. 가장 저렴하지만, 재해시 시스템을 확보하기 위한 대책이 필요하고, 복구에 많은 시간이 필요하며, 복구 신뢰도가 낮다.
- 백업 서비스
- 상호 지원 계약
| 미러사이트 | 주센터와 동일 시스템 활성화Active 상태 |
RTO 0 | 신속한 업무재개 데이터 유실 없음 |
비용이 높다 평상시 재해복구센터 운영 필요 |
| 핫사이트 | 주센터와 동일 시스템 대기Standby 상태 |
RTO 수 시간 이내 |
미러사이트보다 저비용 데이터 최신 상태 유지 |
복구 절차 필요 복구 작업에 시간 필요 |
| 웜사이트 | 중요도가 높은 일부 시스템만 우선 복구 | RTO 수일 ~ 수주이내 |
핫사이트보다 저비용 | 데이터 백업 주기가 길어 일부 손실 가능성 |
| 콜드사이트 | 데이터만 원격지에 보관 (또는 자원만 최소 확보) |
RTO 수주 ~ 수개월이내 |
가장 저렴 | 시스템 확보 대책 필요 많은 시간이 걸림 복구 신뢰도 낮음 |
침해사고 대응
1) 개요
- 침해사고란?
(정보통신망법) : 해킹, 바이러스, 메일폭탄 등에 의해 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인해 발생한 사태
(정보통신기반보호법) : 전자적 침해행위로 인해 발생하는 사태. 정보통신기반시설을 공격하는 행위. (ex 해킹, 바이러스, 메일폭탄, 고출력 전자기파, 정상적인 인증을 우회해 접근하는 프로그램 등)
2) 침해사고 대응 절차 7단계
1. 사고 전 준비
- 침해사고 대응팀CERT를 조직하고 대응 준비
2. 사고 탐지
- 정보보안 시스템, 장비등에 의해 이상 징후를 확인하고 침해사고 발생을 식별
3. 초기 대응
- 사고 정황에 대한 사항 기록, 침해사고대응팀 신고 및 소집, 관련부서 통지.
4. 대응 전략 체계화
- 최적의 대응 전략을 결정하고 관리자의 승인을 획득함. 소송이 필요한지에 대해 수사기관 공조 여부 판단.
5. 사고 조사
- 데이터 수집 및 분석을 통해 언제, 누가, 어떻게 사고가 일어났는지, 피해확산 및 사고 재발 방지에 대한 결정
- 사고 조사는 호스트 기반과 네트워크 기반 증거로 나누어 조사된다. 조사과정은 데이터 수집과 데이터 분석(포렌식)으로 나뉜다
- 데이터 수집 : 사건을 분석하는 동안 깊이 살펴보아야 할 범행들과 단서들을 수집하는 단계
(호스트 기반/네트워크 기반/증인에게 수집된 증거로 나뉜다.
호스트 기반 증거 : 휘발성 데이터가 사라지기 전에 수집하는 것이 중요하다. 그 후 포렌식 이미징 작업 수행. 스냅샷 제공)
- 데이터 분석 : 모든 수집된 정보를 이용해 전체적인 조사를 수행하는 단계
6. 보고서 작성
- 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 보고서 작성
7. 해결
침해사고 대응 절차 7단계
(사고 전 준비 → 사고 탐지 → 초기 대응 → 대응 전략 체계화 → 사고 조사(데이터 수집→분석) → 보고서 작성 → 해결)
일반관리 6 END --
디지털 포렌식Digital Forensic
1) 개요
- 포렌식은 범죄 사실을 규명하기 위해 각종 증거를 과학적으로 분석하는 분야
- 디지털 포렌식은 침해사고 발생시 법적으로 유효한 증거를 디지털기기로부터 수집하고, 분석하고, 보관하고, 제출하는 일련의 과정을 다루는 과학 분야
2) 디지털 포렌식 분야
가) 디스크 포렌식
- 비휘발성 저장매체인 하드디스크, SSD, CD/DVD 등을 대상으로 증거수집/분석
나) 휘발성 데이터 포렌식 / 라이브 포렌식
- 휘발성 저장매체인 레지스터, 캐시 메모리, RAM 메모리 등을 대상으로 증거수집/분석
다) 네트워크 포렌식
- 네트워크 장비인 스위치, 라우터, 방화벽 등을 대상으로 증거 수집/분석
라) 이메일 포렌식
마) 웹 포렌식
바) 모바일 포렌식
사) 멀티미디어 포렌식
마) 데이터베이스 포렌식
디지털 포렌식의 기본원칙 (암기)
개요
- 수집된 증거가 법적 효력을 갖기 위해서 적절한 절차와 조건을 만족해야 하는 기본원칙.
기본원칙
가) 정당성의 원칙
- 전 과정이 적법한 절차에 의해 이루어져야 한다 (=위법수집증거 배제원칙, 독수독과)
나) 재현성의 원칙
- 동일 조건에서 디지털 포렌식을 재현하면 항상 같은 결과가 나와야 한다
다) 무결성의 원칙
- 수집된 디지털 증거가 위변조되지 않아야 한다 (최초 해시값(보관)과 법정에 제출된 디지털 증거의 해시값을 비교하여 무결성 확인)
라) 신속성의 원칙
- 쉽게 사라질 수 있으므로 (휘발성) 가능하면 신속하게 진행해야 한다
마) 연계보관성CoC 원칙
- 수집-이송-보관-분석-법정 제출까지 일련의 단계에서 연속적인 승계 내역을 기록함으로써, 최초 수집된 상태 그대로 어떠한 변경 없이 관리되었음을 입증해야 한다.
- 보관의 연속성 원칙
(디지털 포렌식의 5원칙
정당성, 재현성, 무결성, 신속성, 연계보관성 (이)정재무신연(기를잘해) ㅋㅋㅋ
연계보관성의 단계
수집이송보관분석법정제출 (수이보분법제))
디지털 포렌식 5단계
가) 사전 준비 (EnCase, FTK 등)
나) 증거 수집 (무결성을 보장하면서 증거 수집. 저장매체 이미징, 복제, 복사)
다) 보관 및 이송 (연계 보관성 원칙CoC을 지키면서 이송)
라) 조사 및 분석 (데이터 복구, 추출 및 분류, 증거 검색 등)
마) 보고서 작성 (법정에 제출할 보고서 작성)
안티 포렌식Anti-forensic
개요
- 디지털 데이터를 조작, 삭제 또는 난독화하여 포렌식을 방해하는 행위
유형
1) 데이터 은폐 : 암호화, 스테가노 그래피 등
2) 데이터 파괴
- 디스크 와이핑disk wiping : 데이터를 0,1,랜덤값으로 덮어씌움
- 디스크 디가우징disk degaussing : 디가우저 장비를 이용해 디스크의 자성을 제거해 사용할 수 없게 만든다.
휘발성 데이터Volatile data 수집/분석
개요
- 휘발성 데이터는 전원 공급이 차단되거나, 시간이 지남에 따라 저장매체에서 사라지는 데이터로 레지스터, 캐시 메모리, RAM 메모리 등 휘발성 저장매체에 저장된 데이터를 의미
- 사용중인 다양한 시스템 자원에 관한 정보를 정확하게 파악할 수 있으므로 중요하다
휘발성 데이터 분석(윈도우 시스템 내장 명령)
가) 시스템 날짜와 시간
ex) date /t : 날짜 결과 출력
ex) time /t : 시간 결과 출력
나) 시스템 기본 정보
hostname : 호스트 이름
whoami : 현재 사용자 정보
ver : 운영체제 버전
systeminfo : 컴퓨터 이름, 운영체제 세부 정보, cpu 정보 등 다양한 시스템 정보들
다) 네트워크 구성 및 연결정보
ex) ipconfig /all : 대상 시스템의 네트워크 구성 정보 확인
ex) netstat -anob : 대상 시스템에 열린/연결된 네트워크 정보 확인 (-o pid 출력, -b 실행파일명)
라) 네트워크 공유자원 및 원격 세션 정보
ex) net use : 현재 연결된 원격 시스템 공유 자원 목록 출력
ex) net share : 현재 자신의 공유 자원 목록 출력
ex) net session : 현재 대상 시스템에 연결된 모든 세션 정보 출력
마) 프로세스 정보
ex) tasklist /v : 실행중인 프로세스의 목록 (상세 : /v)
바) 기타 정보
ex) ipconfig /displaydns : DNS 캐시 정보
ex) arp -a : ARP 캐시 정보
ex) netstat -rn 또는 route print : 라우팅 테이블 정보
일반관리 7 END --
공통평가기준CC (Common Criteria)
1) 개요
- 정보시스템의 보안성을 평가하기 위한 기준을 정의한 국제 표준
- 미국의 TCSEC와 유럽의 ITSEC가 통합되어 국제표준으로 승인된 가장 대표적인 보안 인증
- 보안 기능 컴포넌드, 보증 컴포넌트, 평가보증등급
2) CC 인증의 구성 요소
가) 평가대상TOE
- 정보시스템의 보안성 평가범위 정의
나) 보호 프로파일PP
- 평가대상TOE 유형별 보안 기능 요구사항을 기술한 문서.
- 특정 제품 구현과 독립적으로 정의된다.
다) 보안목표 명세서ST
- 평가대상TOE의 세부 보안 기능 요구사항과 구현 내용을 기술한 문서
- 제품별 세부 평가 기준, 특정 제품 구현에 종속적으로 정의된다.
라) 평가보증등급EAL
- 평가대상TOE의 보증 수준을 판단하는 척도를 정의한 등급
- EAL1 ~ EAL7 (높을수록 보증수준이 높아짐)
( CC 인증의 구성요소 - 평가대상TOE, 보호프로파일PP, 보안목표명세서ST, 평가보증등급EAL
평가 보프 보명 평등)
사회공학 기법
1) 개요
- 사람들 사이의 신뢰 관계를 바탕으로 사람들을 속여 정상적인 보안 정차를 무너트리고 비기술적인 수단으로 정보를 탈취하는 행위
- 인간 기반 공격(직접적인 접근, 도청 등), 컴퓨터 기반 공격(시스템 분석, 피싱, 파밍, 스미싱 등)
2) 컴퓨터 기반 사회공학 기법
가) 피싱Phishing
- 개인정보 + 낚시의 합성어
- 신뢰할만한 발신자로 위장한 이메일 등을 전송해 링크를 클릭하거나 첨부파일을 실행하면 피싱 사이트로 접속이 유도되어 정보를 탈취하는 형태의 공격
나) 파밍Pharming
- 개인정보 + 경작의 합성어
- 정상적인 도메인 주소를 입력해도 가짜 사이트로 접속되어 정보를 탈취하는 형태의 공격
다) 스미싱Smishing
- SMS + 피싱의 합성어
- 휴대폰의 SMS 메시지를 이용해 가짜 메시지를 제공한 후, 링크 클릭시 가짜 사이트로 접속되어 정보를 탈취하거나 소액결제등이 이루어지는 형태의 공격
정보보호 및 개인정보보호 관리체계ISMS-P 인증
가) 개요
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도
- 1. 관리체계 수립 및 운영 2. 보호대책 요구사항 3. 개인정보 처리단계별 요구사항 영역에서 총 102개의 인증기준으로 구성
- 정보보호 관리체계ISMS 인증 - 1번, 2번 영역에서 80개 기준 적용
- 정보보호 및 개인정보보호 관리체계ISMS-P는 3번, 4번을 추가하여 총 102개 기준이 적용된다.
나) 관리체계 수립 및 운영 (16개)
- 관리체계 기반 마련, 위험관리, 관리체계 운영, 관리체계 점검 및 개선의 4개 분야
- PDCA 모델 : Plan계획, Do실행, Check점검, Act개선의 사이클에 따라 지속적이고 반복적으로 실행되어야 한다.
- 최고경영자는 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정체계를 수립하고 운영
- 최고경영자는 정보보호 업무를 총괄하는 정보보호최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 임원급으로 지정하여야 함
- 최고경영자는 구현을 위한 실무조직, 검토 및 의결 가능한 위원회, 부서별 정보보호와 개인 정보보호 담당자로 구성된 협의체를 구성하여 운영
- 개인정보 처리 업무와 조직, 자산 등을 문서화하여야 한다
- 정보보호와 개인정보보호 정책 및 시행문서를 수립, 작성한다. 정책과 시행문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달해야 한다.
- 업무특성에 따라 정보자산 분류기준을 수립하고, 모든 정보자산의 중요도를 산정하여 최신성을 유지한다.
- 관리체계 전 영역에 대한 서비스 및 개인정보 처리현황을 분석하고 문서화하며 최신성을 유지한다.
- 조직의 유형별 위협정보를 수집하고 위험 평가 방법을 선정하여 연 1회 이상 위험을 평가하며 수용할 수 있는 위험은 경영진의 승인을 받아 관리해야 한다
- 수용 가능한 목표 위험수준DoA을 경영진의 의사결정에 의하여 결정하고, 위험수준을 초과하는 위험은 식별하고 문서화한다.
- 식별된 위험 처리를 위해 적합한 보호대책을 선정하고, 우선순위와 일정 등 계획을 수립하여 경영진의 승인을 받아야 한다.
다) 보호대책 요구사항
- 12개 분야 64개의 인증기준
- 정책, 조직, 자산 관리
- 인적 보안
- 외부자 보안
- 물리 보안
- 인증 및 권한관리
- 접근통제
- 암호화 적용
- 정보시스템 도입 및 개발 보안
- 시스템 및 서비스 운영관리
- 시스템 및 서비스 보안관리
- 사고 예방 및 대응
- 재해복구
라) 개인정보 처리단계별 요구사항
- 5개 분야 22개의 인증기준
- 개인정보 수집 시 보호조치
- 개인정보 보유 및 이용 시 보호조치
- 개인정보 제공 시 보호조치
- 개인정보 파기 시 보호조치
- 정보주체 권리보호
정보보안 일반관리 END
이후 강의는 2024 최신버전 강의가 갱신되어 2024 버전으로 듣기로 함
'(실기) 정보보안기사&산업기사' 카테고리의 다른 글
| 정보보안법규 4 (0) | 2024.04.19 |
|---|---|
| 정보보안 법규 1~3 (0) | 2024.04.18 |
| 정보보안 일반/관리 1~4 (0) | 2024.04.16 |
| 주요 취약점 1~4 (0) | 2024.04.15 |
| 침해사고 유형별 시나리오 11, 12 (0) | 2024.04.12 |
