본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그

정책6

제2항 정보보호 정책, 표준, 지침 제2항 정보보호 정책, 표준, 지침 정보보호 정책은 정보보호 활동의 목적, 전략, 목표를 설정하고 책임과 권한을 부여하기 위한 최고 경영진의 의사표현이다. 기업의 전략, 목표를 달성하기 위해 구체적인 정책이 필요하며 정책이 없다면 조직 및 기업은 개인 판단 기준에 의존하여 수행하게 된다. 통제 목표를 달성하기 위해 조직 및 기업은 통제 방법을 만들어야 한다. 이런 통제 방법은 통제 목표를 달성하기 위해 세부적으로 어떻게 이행해야 하는지를 다룬다. 통제 방법이 잘 준수될 수 있도록 그리고 효과적인 모니터링을 하기 위해 정책과 절차가 만들어져야 한다. 조직 및 기업에 관련된 비즈니스 활동 수행을 위한 목표 달성을 위해 관련된 법률을 준수하면서 중요 정보자산을 보호하기 위한 목표를 설정하고, 책임과 권한을 부.. 2022. 5. 2.
권한 부여 (인가, Authorization) 제 2 절 권한 부여 (인가, Authorization) 정보시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다. [그림] 인증과 권한 부여 위 그림처럼 인증과 권한부여는 서로 다른 단계이다. 식별과 인증은 주체의 신원을 검증하는 행위로써 접근통제 절차의 첫 단계이며, 아이디/패스워드 등을 활용하여 인증하게 된다. 이후 인증이 성공하게 되면 사전에 정의된 접근통제 3요소(정책, 모델, 메커니즘)를 활용하여 주체에게 개체(리소스 또는 기능)에 액세스할 수 있는 권한을 부여하는 단계를 거치게 된다. [표] 접근통제 정책, 모델, 메커니즘 구분 유형 접근통제 정책 MAC, DAC, RBAC, ABAC .. 2022. 3. 27.
접근통제 정책 제 3 절 접근통제 정책 l 강제적 접근통제 (MAC) 규칙 기반의 접근통제 정책과 동일한 개념인 강제적 접근통제(MAC)는 사전에 정의된 보안등급과 보안레벨에 의하여 통제하는 기법이다. 객체에 대한 접근은 주체에게 부여된 보안등급(권한)과 객체에 부여된 보안레벨(허용등급)에 기반하며, 관리자가 주체의 자원에 대한 권한을 부여하기 때문에 군 또는 공공기관과 같이 강력한 보안이 필요한 곳에서 주로 사용한다. 정보시스템에서 주체가 객체에 접근할 때 양측의 보안등급을 비교하여 낮은 등급의 주체가 높은 등급의 객체에 접근할 수 없도록 통제하며 모든 주체와 객체에 등급을 설정해야 하므로 복잡하다. 대표적인 예로서 카페에서 회원의 등급별로 접근가능한 게시판을 통제하는 방법이다. 규칙 기반의 접근통제 정책은 MLP(.. 2022. 3. 18.
(ISMS-P) 2.10.1. 보안시스템 운영 (항목) 2.10.1. 보안시스템 운영 (내용) 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립·이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. 2021. 11. 30.
(ISMS-P) 2.2.6. 보안 위반 시 조치 (항목) 2.2.6. 보안 위반 시 조치 (내용) 임직원 및 관련 외부자가 법령, 규제 및 내부 정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 2021. 11. 4.
(ISMS-P) 2.1.1. 정책의 유지관리 (항목) 2.1.1. 정책의 유지관리 (내용) 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 2021. 11. 2.

티스토리툴바