1. 정보보호 대책 구현
위험을 감소시키기 위한 대책을 구현하는걸 말한다. 여기서 행하는 활동을 통제(Control) 이라고 한다.
통제는 '통제수행 시점'에 따라, '통제 구현방식'에 따라, '통제 구체성'에 따라 분류된다.
* 통제수행 시점에 따른 구분
- 예방통제 : 발생가능한 문제를 사전에 식별하여 대처하는 능동적인 통제
- 탐지통제 : 예방통제를 우회하는 문제를 찾아내어 통제하는 것. 로그분석 등이 해당됨.
- 교정통제 : 탐지통제를 통하여 발견된 문제를 복구, 손실 최소화시키는 통제
* 통제 구현방식에 따른 구분
- 관리통제 : 관리에 대한 통제임. 직원 통제, 직무 분리/순환, 원칙 통제, 변경사항 통제 등이 포함됨.
- 운영통제 : 운영에 대한 통제임. 문서, H/W, S/W 통제, 물리적 접근통제 등이 포함됨.
* 통제 구체성에 따른 구분
- 일반통제, 응용통제(입력, 처리, 출력통제)
2. 정보보호 교육 및 훈련
위험이 생기는 이유 중 하나가 교육 훈련이 부족해서이다. 알아보자.
- 정보보호 인식 프로그램 : 정보보호 인식 개선이 가장 큰 문제다. 수준별로 인식 교육을 마련한다.
- 교육 대상자 분류 : 임직원 / IT관련 그룹들과 외부자들에 대한 교육이 필요하다.
- 교육 내용 : 기본적인 정보보호 활동과 인식전환을 위한 일반교육과 실무적인 관점의 전문교육 모두 필요하다.
- 교육 평가와 피드백 : 진행 후에는 반드시 설문조사를 통해 피드백을 받는다.
3. 컴퓨터/네트워크 보안운영
* 컴퓨터 운영
PC보안에 대한 중요성이 증가함에 따라 운영기준을 수립하여 사용자에게 기준을 준수하도록 한다.
PC보안 운영 준수 가이드에 몇가지만 알아보겠다.
- 업무적 목적 외 사용제한
- 주변장치 설치 및 변경제한
- 이동식 보조기억장치의 승인
- PC 및 저장 매체 반출 승인
- 지적 재산권 준수
등등..
* 네트워크 보안정책과 네트워크 운영
네트워크 접근에 대한 보안정책을 수립하고, 운영간에 기술적, 관리적 세부 절차를 마련해야 한다.
- 업무망과 인터넷망의 분리 : 개인정보처리시스템과 인터넷망은 분리되어야 한다.
- 개발업무와 다른 업무용 네트워크 분리 : 이것도 위의 이유와 마찬가지.
- 인가된 서비스에 대해서만 접속 가능
- 운영의 효율성을 위해 세그먼트 또는 서비스별로 나누어 관리
* 매체 관리
- 데이터 보관 : 식별번호 / 목적 / 일시 / 기간 / 책임자 등의 관리기준을 두고 관리
- 데이터 폐기 : 보존연한 / 폐기방식 / 폐기확인 방법 / 이유 / 일시 / 내용 / 관리대장 목록 작성 등의 기준을 둠.
'IT 그리고 정보보안 > Knowledge base' 카테고리의 다른 글
재난복구계획 (DRP) (0) | 2021.04.12 |
---|---|
업무연속성 관리 및 계획수립 (BCP) (0) | 2021.04.12 |
위험 관리 (Risk management) (0) | 2021.04.12 |
정보보호 정책 및 조직 (0) | 2021.04.12 |
정보보호 관리 (0) | 2021.04.12 |