정보보호 대책 구현 및 운영

1. 정보보호 대책 구현

위험을 감소시키기 위한 대책을 구현하는걸 말한다. 여기서 행하는 활동을 통제(Control) 이라고 한다. 

통제는 '통제수행 시점'에 따라, '통제 구현방식'에 따라, '통제 구체성'에 따라 분류된다.

 

* 통제수행 시점에 따른 구분

- 예방통제 : 발생가능한 문제를 사전에 식별하여 대처하는 능동적인 통제

- 탐지통제 : 예방통제를 우회하는 문제를 찾아내어 통제하는 것. 로그분석 등이 해당됨.

- 교정통제 : 탐지통제를 통하여 발견된 문제를 복구, 손실 최소화시키는 통제

 

* 통제 구현방식에 따른 구분

- 관리통제 : 관리에 대한 통제임. 직원 통제, 직무 분리/순환, 원칙 통제, 변경사항 통제 등이 포함됨.

- 운영통제 : 운영에 대한 통제임. 문서, H/W, S/W 통제, 물리적 접근통제 등이 포함됨.

 

* 통제 구체성에 따른 구분

- 일반통제, 응용통제(입력, 처리, 출력통제)

 

 

2. 정보보호 교육 및 훈련

위험이 생기는 이유 중 하나가 교육 훈련이 부족해서이다. 알아보자.

- 정보보호 인식 프로그램 : 정보보호 인식 개선이 가장 큰 문제다. 수준별로 인식 교육을 마련한다.

- 교육 대상자 분류 : 임직원 / IT관련 그룹들과 외부자들에 대한 교육이 필요하다.

- 교육 내용 : 기본적인 정보보호 활동과 인식전환을 위한 일반교육과 실무적인 관점의 전문교육 모두 필요하다.

- 교육 평가와 피드백 : 진행 후에는 반드시 설문조사를 통해 피드백을 받는다.

 

 

3. 컴퓨터/네트워크 보안운영

* 컴퓨터 운영

PC보안에 대한 중요성이 증가함에 따라 운영기준을 수립하여 사용자에게 기준을 준수하도록 한다.

PC보안 운영 준수 가이드에 몇가지만 알아보겠다.

- 업무적 목적 외 사용제한

- 주변장치 설치 및 변경제한

- 이동식 보조기억장치의 승인

- PC 및 저장 매체 반출 승인

- 지적 재산권 준수

등등..

 

* 네트워크 보안정책과 네트워크 운영

네트워크 접근에 대한 보안정책을 수립하고, 운영간에 기술적, 관리적 세부 절차를 마련해야 한다.

- 업무망과 인터넷망의 분리 : 개인정보처리시스템과 인터넷망은 분리되어야 한다.

- 개발업무와 다른 업무용 네트워크 분리 : 이것도 위의 이유와 마찬가지.

- 인가된 서비스에 대해서만 접속 가능

- 운영의 효율성을 위해 세그먼트 또는 서비스별로 나누어 관리

 

* 매체 관리

- 데이터 보관 : 식별번호 / 목적 / 일시 / 기간 / 책임자 등의 관리기준을 두고 관리

- 데이터 폐기 : 보존연한 / 폐기방식 / 폐기확인 방법 / 이유 / 일시 / 내용 / 관리대장 목록 작성 등의 기준을 둠.