정보보호 관리

정보보호관리에 대해 알아보자.. 

관리 보안은 정보화가 가속됨에 따라 요구되는 복잡한 보안 인프라를 좀더 유연하게 관리하기 위해서 필요한 분야다.

 

먼저 '정보보안' 과 '정보보호' 라는 단어의 차이점에 대해 한번 짚고 넘어갑시다.

 

 

* 정보보안 vs 정보보호

보호는 '잘 지켜 원래 그상태로 보존되게 하다' 라는 뜻이고,

보안은 '안전함을 유지시킨다' 뭐 이런 뜻이다.

 

좀 더 찾아보니.. 정보보안은 어원이 일본이며, 보호와 다르게 장소의 개념이 포함되어

기술 + 관리 + 물리적 보안을 포괄하는 개념이고,

 

정보보호는 만질수 없는 정보, 소프트웨어 등을 보호하는 개념이라고 한다.

 

정보보호가 정보보안에 포함된다고 보면 무리가 없다고 한다.

지금 공부하는 기사 시험 이름도 '정보보안기사' 인걸 보면, 

확실히 정보보안이라는 단어가 더 포괄적으로 사용된다고 볼 수 있다.

 

 

* 정보보안의 목표, 특징

이 부분은 꼭 알고 넘어가야 한다. (정보보안이라는 분야에 대해 공부하는데 이런 기본적인 것들은 알아두어야..)

총 5가지 기본 목표를 제시한다.

 

1. 기밀성 (Confidentiality)

기밀성은 말그대로 정보를 비밀로 한다는 뜻이다.

정당한 사용자에게만 접근을 허락하여 정보를 안전하게 보호하는 것. 

도청, 도난, 사회공학적 기법 등으로 기밀성이 침해될 수 있다.

 

2. 무결성 (Integrity)

무결성은 정보가 전송되는 과정에서 변조되지 않도록 보호하는 것이다.

나는 yes라고 보냈는데 중간에 변조되어 no라고 메세지가 가면 안되겠죵

 

3. 가용성 (Availability)

기밀성과 무결성을 심하게 높히면 침해될 수 있는 부분이다.

내가 원할 때 언제든지 서비스를 이용할 수 있어야 된다는 것.

DDOS 맞으면 가용성이 침해되는 것임.

 

4. 인증 (Authentication)

정보를 제공한, 소유한 주체가 나 자신이 맞다고 인증하는 것을 말한다.

 

5. 부인방지 (Non-requdiation)

부인을 방지한다. 아내를 막는다 이런뜻이 아니라.(ㅋㅋ)

예를 들어, 내 메세지를 수신해놓고 수신하지 않았다고 사실을 부인하는 것을 방지하는 것.

쉽게 말해서 구라치는걸 막는다 이런 뜻이다.

 

 

* 정보보호와 비지니스

정보화가 고도화됨에 따라, 이 정보를 지켜야하는 정보보호 기술, 활동은 점점더 그 가치가 높아지고 있다.

아직 완벽하게 자리잡고 있지는 않지만, 점점 더 IT인프라 사업과 보안은 밀접한 관계를 맺고있다.

 

기존에 자산을 보호하는 개념으로 이루어지던 정보보호 활동이 자산을 넘어 고객의 개인정보까지 보호해야하는 개념으로 확장되었다.

그냥 정보보호와 비지니스는 뗄 수 없는 관계가 되어가고 있다. 전체적인 사업분야 에서. 

 

 

* 정보보호 관리의 개념

정보보호관리 (Information Security Management System)는 자산을 보호하는데 관련된 모든 활동을 관리하는 것이다.

기술적인 보안 활동을 총체적으로 관리하고, 지속적으로 감독하는 그런 활동.

총 6가지 과정을 통해서 이루어진다.

 

눈에 보이는 대로 저런 방식으로 한다.

ISMS 라는 정보보호 관리체계 인증 제도가 있는데, 그게 바로 정보보호 관리를 말하는 거임.

 

+ 참고자료

OECD 정보보호 가이드라인

OECD 에서 제공하는 정보보호에 대한 인식제고와 정보보호문화의 진흥을 주장하며

정보보호 가이드라인을 내놓은 것을 말한다.

 

여기엔 9가지 원칙이 있다.

1. 인식 : 참여자들은 정보보호의 필요성과 정보보호 제고를 위해 각각의 역할을 인식해야 한다.

2. 책임의식 : 모든 참여자들은 정보시스템과 네트워크 보호에 책임의식을 지녀야 한다.

3. 대응 : 참여자들은 보안사고를 예방, 탐지, 대응하기 위해 상호협조적으로 행동한다.

4. 윤리 : 참여자들은 타인의 적법한 이익을 존중한다.

5. 민주성 : 정보보호는 통신의 자유, 개인정보의 보호 등 민주주의 가치와 조화를 이룬다.

6. 위험평가 : 참여자들은 기술,물리,정책적 요소 등 다양한 측면에서 위험평가를 실시한다.

7. 설계와 이행 : 참여자들은 정보통신제품, 서비스, 시스템 등의 설계와 이행에 정보보호를 핵심요소로 고려한다.

8. 관리 : 참여자들은 정보보호 관리에 대해 포괄적인 접근방식을 채택해야 한다.

9. 재평가 : 참여자들은 변화하는 위험요소에 대응하기 위해 정보보호 실태에 대해 지속적인 재평가와 보완을 해야한다.