본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

isms60

제3절 정보보호 관리체계의 구성요소 제3절 정보보호 관리체계의 구성요소 정보보호 관리체계를 통해 지속적인 정보보호 수준을 제고하고 침해사고 시 피해확산 방지와 신속한 대응 등의 절차를 수립, 훈련함으로써 고객 만족도 향상, 정보자산 보호, 업무 효율성 증진 등의 효과를 얻을 수 있다. 정보보호 투자가 기업의 이익에 얼마나 직접적으로 영향을 미쳤는지는 정확하게 판단하기 어려우나 정보보호 투자를 하지 않았을 경우 조직 및 기업이 침해사고 등으로 발생되는 기업 이미지 및 주가 하락, 매출 손실, 파트너 이탈, 고객 피해보상 등의 피해규모를 통해 간접적으로 산출할 수 있다. 정보보호 관리의 주요 구성요소들은 다음과 같다. 제１항 정보보호 전략 전략의 사전적 의미는 정치, 경제 따위의 사회적 활동을 하는데 필요한 책략이라고 정의하고 있다. (네이버.. 2022. 4. 26.

정보보호 관리체계의 필요성 제2절 정보보호 관리체계의 필요성 정보보호에 대한 최고 경영층은 ‘정보보호는 완벽해야 하는 것’이라는 인식이 자리잡고 있으며, 제한된 예산과 부족한 인력으로 부분적 일회성 정보보호 활동을 수행하거나 침해사고 등에 대해 단편적인 대응에 그치고 있다. 하지만 정보보호에 대한 조직 및 기업의 사회적 책임이 중요해지면서 정보보호 컴플라이언스, 정보보호 거버넌스, 위험관리 등이 기업의 경쟁력의 중요 요소가 되고 있다. 실무자들은 완벽한 보안이 어렵다는 점을 인식하고 있지만 차마 공개적으로 얘기하기는 어려운 현실이다. 완벽에 가까운 정책을 만들고 그에 맞는 정보보호 활동을 이행해면서 사고가 발생한 경우 피해를 최소화하는 대책 수립이 최선이다. 즉 정보보호와 관련된 통합적, 체계적인 활동을 수행하고 침해사고 등에 대.. 2022. 4. 11.

정보보호 관리체계의 개요 제１절 정보보호 관리체계의 개요 관리체계란 조직 및 기업의 품질경영이나 환경경영 등에서 사용하는 용어로써 정보시스템과 같은 IT 시스템을 의미하는 것이 아니라 어떤 대상을 관리하기 위한 체계를 의미한다. 경영학의 대가인 피터 드러커에 따르면 관리체계는 강점을 높이고 약점을 낮추며 조직 및 기업이 공동의 성과를 올릴 수 있도록 만들어 준다. 이러한 성과를 얻기 위해 인적 물적 자원과 경영진의 적극적인 참여와 의사결정이 필수적이다. 정보보호 관리체계는 조직 및 기업의 주요 정보자산을 보호하기 위하여 조직, 인력, 설비, 정책, 목적, 제도, 절차, 문서, 기록 등 경영자원을 활용하여 체계적으로 보호대책을 수립하고 지속적으로 관리하기 위한 방법론이다. 정보보호 관리체계를 구축 운용하는 조직 및 기업은 관리체계.. 2022. 4. 11.

유럽경제위원회(UNECE) WP.29 차량 사이버보안 관련 법규 1. UNECE 규제의 개요 가. UNECE의 차량 사이버 보안 관련 법규 유럽경제위원회(UNECE) WP.29 차량 사이버보안 관련 법규 UNR No.155: Cyber security and Cyber Security Management System UNR No.156: Software Update and Software Updates Management System -자동차 제조사는 차량 설계부터 생산 그리고 단종까지 생명주기 전반에 걸쳐 사이버보안 요건 정의 -전사적 차원에서 구축해야 하는 사이버보안 관리체계(Cyber Security Management System)에 대한 요구사항 (CSMS) -CSMS(차량 사이버보안 관리체계) 운영을 위한 업무 프로세스를 수립한 후 적용 -CSMS 세부 활.. 2021. 10. 14.

(ISMS-P) 인증대상 및 인증범위 1. ISMS-P 인증대상 구분 사업 유형 근거 필수여부 인증유형 의무대상자 ISP 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 필수 ISMS IDC 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 필수 ISMS 병원 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -「의료법」제3조의4에 따른 상급종합볍원 - 필수 ISMS 학교 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 필수 ISMS 정보통신서비스제공자 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액.. 2021. 10. 8.

(ISMS-P) 인증의 법적 근거 1. 정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)의 개요 가. ISMS-P의 정의 -기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 (개인)정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도 나. ISMS-P의 특징 관련 법령 -「정보통신망법」 제47조와 제47조의2, 같은 법 시행령 제47조부터 제54조까지의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증 -「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8까지의 규정에 따른 개인정보보호 관리체계 인증 관련 고시 -「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 관계 부처 -과학기술정보통신부 -개인정보보호위원회 다. ISMS-P의 기대효과 -(안전성), 정보.. 2021. 10. 8.

(ISMS-P) 개인정보의 유형 (가명정보, 익명정보) 가. 개인정보의 유형 근거 유형 설명 특징 개인정보 (개인정보보호법 제2조 제1항) 개인식별정보 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 (직접)식별자 개인식별가능정보 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (간접/준)식별자, 민감정보 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소 요되는 시간, 비용, 기술 등을 합리적으로 고려 가명정보 개인식별정보 또는 개인식별가능정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용 결합 없이는 특정 개인을 알아볼 수 없는 정보 비개인정보 (개인정보보호법 제58조의2) 익명정보 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보.. 2021. 8. 16.

(ISMS-P) 데이터 폐기 1. 데이터 폐기의 개요 가. 데이터 폐기의 정의 이용자와의 서비스 종료 또는 이전 시, 이용자의 데이터를 재사용할 수 없도록 정보 삭제 나. 데이터 폐기의 특징 이용자 완전 삭제 (복구가 불가능 하도록 삭제) 백업된 데이터에 대한 삭제 방안 마련 2. 데이터 폐기의 개념도 및 구성요소 가. 데이터 폐기의 개념도 나. 데이터 폐기의 구성요소 구분 대상 설명 Virtual resource VM Object Storage NAS -공개 또는 상용 툴을 사용 삭제 -자체 개발한 툴을 이용하여 이용자의 데이터가 저장된 위치에 새로운(무의미한) 데이터를 중복하여 저장하는 방법 -랜덤 키로 데이터 생성 후 해당 파일에 덮어 쓰기 Database Table Space Table Column -저장된 데이터 삭제 -삭.. 2021. 8. 10.

(ISMS-P) 암호 정책 수립 1. 암호 정책 수립의 개요 가. 정의 중요정보의 전송 및 저장 시 안전한 보호를 위한 정책 수립 및 이행 나. 특징 암호 대상은 취급 정보 민감도 및 중요도에 따라 정의 암호화 대상별 암호화 방식과 알고리즘 강도 정의 암호키 관리 대책 정보 전송 및 저장 시 암호화 방안 암호화 관련 시스템 운영 담당자 역할 및 책임 정의 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등) 2. 암호 정책 수립과 관련된 통제항목 가. 암호 정책 수립과 관련된 통제항목 개념도 나. 암호 정책 수립과 관련된 통제항목 요소 통제항목 특징 설명 9.1.5. 공개서버 보안 SSL TLS -웹 서버 등을 통한 개인정보 등 중요정보를 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport L.. 2021. 8. 10.

(CSAP) 금융사 CSP 안전성 평가와 비교 1. CSAP (클라우드 서비스 보안 인증) 가. CSAP의 정의 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제23조 제2항에 따라 정보보호 기준의 준수 여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. CSAP의 특징 (공공기관 이용 대상), 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 목적 (민간 클라우드 관리체계), 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 다. CSAP의 근거 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(20.. 2021. 7. 30.

(ISMS-P) (MySQL & Maria DB) 데이터베이스의 시스템 로그 유형 1. MySQL & Maria DB의 로그 개요 가. 로그의 정의 -데이터베이스 자신의 상태를 기록하기 위해 로그를 기록 나. 로그의 유형 유형 설명 Error log 시작, 종료, 운영 중에 발생되는 Error 상태를 기록 General query log 클라이언트로부터 수행된 SQL 문법 기록 Binary log 변경된 데이터 혹은 수행된 SQL문 기록 Relay log 복제 마스터 서버로부터 변경된 데이터를 수신한 로그 Slow query log long_query_time 파라미터에서 설정된 시간보다 오래 수행될 경우 기록되는 로그 DDL log DDL 언어가 수행될 때 기록되는 로그 -특정 설정을 하지 않는 한 기본적으로 디렉터리에 저장 2. 로그 생성 파라미터 및 결과 확인 방법 가. 로그 생.. 2021. 7. 27.

(ISMS-P) (MySQL & Maria DB) 데이터베이스의 감사로그 관리 Maria DB는 5.5.37과 10.0.10 버전부터 audit plugin 내장 1) Plugin이 위치하는 디렉터리 확인 >show global variables like 'plugin_dir%'; 2) 1)에서 확인한 위치에 라이브러리 파일 복사 3) plugin 설치 여부 확인 4) audit 환경 변수 설정 확인 5) OS에서 plugin 설치 >install plugin server_audit soname 'server_audit.so'; 6) plugin 설치 여부 확인 >select * from mysql.plugin; 7) audit 설정 여부 >show global variables like 'server_audit%'; 8) my.cnf에 환경 변수 설정 server_audit_ev.. 2021. 7. 27.

(ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 고급 감사 정책 1. (윈도우키+secpol)에서 감사 정책 [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] -'보안 설정 > 고급 감사 정책 구성'의 보안 감사 정책 설정은 정의된 활동을 추적하여 중요한 비즈니스 관련 및 보안 관련 규칙의 준수를 감사 가능 2. [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책]에서 생성 가능한 감사 유형 유형 설명 계정 로그온 -도메인 컨트롤러 또는 로컬 SAM(보안 계정 관리자)에서 계정 데이터를 인증하려는 시도를 기록 계정 관리 -사용자 및 컴퓨터 계정 및 그룹에 대한 변경 내용을 모니터링 가능 세부 추적 -자세한 추적 보안 정책 설정 및 감사 이벤트를 사용하여 해당 컴퓨터에서 개별 응용 프로그램 .. 2021. 7. 25.

(ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 로컬 감사 정책 1. (윈도우키+secpol)에서 감사 정책 -감사 설정을 구성하지 않으면 보안 관련 문제 상황 동안 어떠한 일이 발생했는지 파악하기란 거의 불가능 -구성된 감사 설정에서 이벤트를 생성하는 허가된 작업이 너무 많으면 보안 이벤트 로그가 불필요한 데이터로 가득 차게 되며 전체 컴퓨터 성능에도 영향을 줄 수 있음 2. [로컬 정책 > 감사 정책] [로컬 정책 > 감사 정책]에서 생성 가능한 감사 이벤트의 유형 구분 설명 개체 액세스 감사 -파일, 폴더, 레지스트리 키, 프린터 등 감사 요구 사항을 지정하는 SACL(시스템 액세스 제어 목록)이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 여부를 결정 계정 관리 감사 -컴퓨터의 각 계정 관리 이벤트를 감사할지 여부를 결정 계정 로그온 이벤트 감사 -이벤트.. 2021. 7. 25.

(ISMS-P) (Windows) 윈도우 시스템에서 생성 가능한 감사 로그 유형 1. 감사 생성 정책 시스템 버전 설명 Windows XP, 2003 로컬 정책-감사 정책에서 9개 범주의 로그 생성 Windows Server 2008, Windows 7 이후 고급 감사 정책에서 그룹 정책 관리 콘솔(GPMC, 도메인, 사이트, OU)나 로컬 보안 정책(secpol.msc)에서 설정 -로컬 정책 > 감사 정책의 기본 감사 정책 설정과 고급 감사 정책 구성의 고급 설정을 모두 사용 시 예기치 않은 결과 발생 가능 2. 생성된 로그 확인 윈도우에서는 로그를 이벤트라고 하며 이벤트 뷰어(eventvwr.msc)를 통해 확인 가능 2021. 7. 25.

(ISMS-P) (Linux) 리눅스 시스템의 감사 로그 생성 및 로그 유형 1. rsyslog의 개요 가. rsyslog의 정의 -리눅스 초기 syslog를 사용하던 것을 성능 및 관리 편리성을 개선한 로그 관리 기능 나. rsyslog의 관련 파일 관련 파일 설명 /etc/rc.d/init.rsyslog -rsyslogd 데몬을 동작시키는 스크립트 /etc/rsyslog.conf -rsyslogd 데몬 환경 설정 파일 /etc/sysconfig/rsyslog -rsyslogd 데몬 실행과 관련된 옵션 설정 파일 /sbin/rsyslogd -실제 rsyslog 관련 데몬 2. rsyslog.conf의 설정 파일 및 로그 옵션 구성요소 가. rsyslog.conf의 설정파일 -리눅스 시스템에서 생성될 각종 유형의 로그에 대한 설정을 rsyslog.cnf에서 가능 나. rsyslo.. 2021. 7. 25.

(ISMS-P) 관리자 계정을 공용으로 사용하는 문제점 상황 1) 시스템을 관리하는 다수의 관리자(User #1, User #2, User #3)가 'abc'계정을 공용으로 사용 2) Application이 시스템 내의 자원을 엑세스할 때 기본적으로 'abc' 계정을 사용 (관리자와 Application이 'abc' 계정을 공용으로 사용하는 상황) 3) 'abc'계정에서 root 권한 필요 시 패스워드 입력 없이 su, sudo 사용 보완조치 1) 각 관리자별로 개인 계정을 발급하여 추후 사고 시 책임추적성 확보 필요 2) Application이 시스템 자원 엑세스 시 관리자와 다른 계정과 권한을 사용하여 사고 예방 및 책임추적성 확보 필요 3) su, sudo 실행 시 패스워드 입력을 통해 악이적인 접근 및 root권한 획득을 통한 추가 피해 예방 -사용자.. 2021. 7. 9.

(ISMS-P) 개인정보 유출 및 침해사고 등 발생 시 신고기관 및 이용자 통지 개인정보 유출 및 침해사고 발생 등이 발생하면 개인정보처리자, 정보통신서비스제공자, 클라우드컴퓨팅서비스제공자 등은 각각의 사항에 해당되는 기관에 신고를 하여야함 1) 개인정보 유출 신고 -개인정보처리자 (개인정보보호법 제34조) -정보통신서비스제공자 (개인정보보호법 제39조의4) -상거래 기업 및 법인 (신용정보의 이용 및 보호에 관한 법률 제39조의4) 2) 개인정보 침해 신고 -이용자/정보주체 (개인정보보호법 제62조) 3) 침해사고 신고 -정보통신서비스제공자 (정보통신망법 제48조의3) 4) 클라우드컴퓨팅 관련 침해사고 신고 및 이용자 정보 유출 등 -클라우드컴퓨팅서비스제공자 (클라우드컴퓨팅법 제25조) * 클라우드에 관한 침해사고 및 개인정보 유출 신고는 각각 별도로 신고 개인정보 유출 시 개인정.. 2021. 6. 29.

이전 1 2 3 4 다음

티스토리툴바