(1) 정보보호 대책 구현
①. 통제(Control) : 합리적인 수준 보증을 제공하기 위하여 설계된 정책, 절차, 실무관행 그리고 조직 구조 정의
②. 통제 구분
1. 통제 수행 시점
- 예방통제 : 발생가능한 잠재적인 문제들을 식별 사전에 대처하는 능동적인 개념의 통제
- 탐지통제 : 예방통제를 우회하는 문제점을 찾아내는 통제. 로깅기능을 통한 감사증적 등이 해당
- 교정통제 : 탐지 통제를 통하여 발견된 문제점들을 해결하기 위하여 조치가 필요하다. 문제 발생 원인과 영향을 분석하여 교정하기 위한 조치가 필요한 통제
- 잔류위험 : 관리를 통하여 사건 발생 가능성과 손실관점에서 위험을 허용하는 부분에 남아있는 위험
2. 통제 구현 방식에 다른 시점
- 관리통제 : IT자원을 관리하는 직원에 대한통제, 직원의 보안, 직무분리, 직무순환, 최소한의 원칙, 최소지식의 원칙
- 운영통제 : 운영에 관련된 통제를 의미한다. 이에는 문서화, 하드웨어 통제, 소프트웨어 통제, 매체 통제등이 속함.
3. 통제 구체성에 따라
- 일반통제
- 응용통제(입력통제, 처리통제, 출력통제)
(2) 정보보호 교육 및 훈련
①. 정보보호 인식 프로그램 : 조직내의 보안에 대한 인식수준을 높이기 위함. 연간계획서를 수립 계획표에 따라 실제 적용 할수 있도록 한다.
②. 교육 대상자 분류
1. 최고 경영자를 포함한 임직원
2. 조직의 신입지원
3. 조직의 IT이용자 그룹
4. IT시스템 운여자와 개발자 그룹
5. 시설을 물리적/전자적으로 출입하는 제3자 그룹
6. 조직이 제공하는 정보를 이용하는 일반 외부자 그룹
7. 개인정보보호 교육의 경우 취급자, 고나리자 담당자, 책임자 대상별 교육
③. 교육 내용
1. 일반교육 : 직원, 외부직원을 대상으로 기본적인 정보보호 이행 활동 및 정보보호에 대한인식 전환을 목표로 연1~2회 실시, 정책 규정 변경시, 직원 채용시 실시
2. 전문교육 : 정보보호 담당자 및 정보시스템 업무 종사자를 대상으로 실무적인 관점에서 주요 정보시스템을 보호하기 위한 전문적인 지식 습득을 목표로 연 1회이상 실시.
④. 교육평가와 피드백
교육 훈련 진행 후에는 반드시 설문조사를 통한 교육에 대한 피드백을 받아야 한다.
(3) 컴퓨터/네트워크 보안운영
① 컴퓨터 운영
1. 컴퓨터 운영관리 기준
- 컴퓨터 운영 관리 기준을 수립하여 사용자에게 기준 준수를 제시한다. 시스템 시작과 종료시간, 시스템 오류 및 수정내용, 데이터 파일 및 컴퓨터 출력물의 정확한 취급에 대한 확인등 컴퓨터 운영의 확인이나 사고조사를 위해 활동에 대한 기록을 남기고 주기적으로 검토
- 개인의 책임성
- 사고조사
- 침입 탐지
2. PC보안 운영 준수 가이드
-업무적 목적 외사용제한
-주변장치 설치 및 변경제한
- 이동식 보조기억장치의 승인, PC및 저장매체 반출 승인, 저장매체 폐기
- 지적재산권 준수
- 소프트 웨어 설치 제한
- PC유지보수
- 바이러스 백신 프로그램 운영관리, 보안패치 적용 권고, 인터넷 사용의 기준수립
- 이동 컴퓨팅 장비의 사용 승인, 공용 PC의 사용 관리
② 네트워크 보안정책과 네트워크 운영
- 네트워크 물리적, 논리적 접근에 대한 보안정책을 수립하고 운영해야 하며 네트워크 운영간에 기술적, 관리적 인 세부절차를 마련.
- 정보통신망 접속에 따른 접속기준 및 절차를 규정하고 접근 가능한 통신 및 경로를 최소화하여 장애 발생을 최소화
1. 업무망과 인터넷 망의 분리
- 업무망과 인터넷 망은 원칙적으로 분리
2. 개발업무와 다른 업무용 네트워크 분리
- 개발 업무와 다른 네트워크 업무를 사용하는 네트워크 분리
3. 인가된 서비스에 대해서만 접속 가능하도록 설정
4. 네트워크 운영 효율성을 위해 세그먼트 또는 서비스별로 나누어 관리
③ 매체관리
1. 데이터 보관
- 데이터 식별번호
- 보관목적
- 보관일시
- 보관기간
- 보관 책임자
2. 데이터 폐기
- 데이터 보존연한
- 데이터 매체에 따른 폐기방식
- 폐기 확인 방법
- 폐기 이유
- 폐기 일시
- 폐기 내용
- 폐기관리대장 목록 작성
④
⑤
'Certificate > 정보보안기사' 카테고리의 다른 글
암호학 (0) | 2014.09.25 |
---|---|
정보보안 관리 및 법규 (0) | 2014.09.21 |
위험 관리 (0) | 2014.09.19 |
업무연속성 관리와 재난 복구 (0) | 2014.09.19 |
Email Security (0) | 2014.09.17 |