정보보안기사 필기 - 39(정보보호 거버넌스와 관리 체계 수립)

- 정보보호 거버넌스

정보보호 거버넌스는 회사의 이사회 및 경영진측에서 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 메커니즘을 제공해야합니다. 거버넌스란 공유된 목적에 의해 일어나는 활동을 의미합니다.

 

<목표>

• 책임성(Accountability) : 정보보호 활동의 성과에대해 누가 책임을 지는지를 말합니다.
• 비즈니스 연계성(Business Alignment) : 정보보호 활동이 기업의 비즈니스 목표 달성에 기여하는지를 말합니다.
• 준거성(Compliance) : 정보보호 활동이 원칙과 기준에 따라 수행되는지를 말합니다.

<정보보호 거버넌스 구현 요건>

전략적 연계(strategic alignment) : 정보보호 거버넌스는 비즈니스, IT 목표 및 정보보안전략이 서로 연계되어야하며 최상위 정보보안 운영위원회의 역할과 책임을 명시하고 정보보안 보고체계의 합리화를 수행해야합니다.

위험 관리(risk management) : 저직의 정보 보안 사고의 잠재적 위험을 줄이기위해 조직의 적합한 위험관리 체계를 수립하고 이를 지속적으로 관리하여 수용 가능한 수준으로 위험을 낮춰야합니다.

자원 관리(resource management) : 중요 정보 자산과 인프라를 포함하는 전사적 정보보안 아키텍처를 확보해야합니다. 또한 정책과 절차 및 책임을 명시하면서 아웃소싱을 수행해야합니다.

성과 관리(performance management) : 정보보안 거버넌스의 효과적인 운영척도로써 모니터링, 보고 및 평가에 따른 성과 평가 체계를 운영해야 하며, 비즈니스 측면도 고려하여 성과를 평가해야합니다.

가치 전달(value delivery) : 정보보안 ㅌ추자를 최적화하기위해 기업의 구성원에게 정보보안의 중요성과 가치를 교육시켜야합니다.

 

- 정보보호 정책, 절차, 표준, 지침, 기준선

정보보호 정책이란 조직의 내 외부 환경과 업무 성격에 맞는 효과적인 정보보호를 위하여 기본적으로 무엇이 수행되어야 하는 가를 일목요연하게 기술한 지침과 규약으로써 정보자산을 어떻게 관리하고 보호할 것 인가에대해 문서로 기술해 놓은 것입니다. 보안 정책은 조직 안에서 보안이 어떤 종류의 역할을 수행하는지 규정하기위해 최고경영진에 의해 마련된 일반적인 선언입니다. 조직과 조직체의 수행 임무와 관련이 있으며 이는 전반적인 위협에 기반을 둡니다.

 

<정보보호 정책을 구현하기 위한 요소>

• 표준(standards) : 정책이 기업과 조직의 정책이 가야할 미션과 비전을 제시하는 무엇을 정의한다면 표준은 요구사항을 정의한 것입니다.
• 기준선(baseline) : 미래의 변경에대한 비교로 사용되는 현재 시점을 나타냅니다.
• 자침(guidelines) : 사용자, it 직원, 운영 직원 그리고 특정한 표준이 적용되지 않는 사람들에대한 권장 행동과 운영적 안내 사안입니다. 판단을 명확하게 내릴 수 없는 경우가 항상 존재하며 이러한 경우에 지침이 참조될 수 있습니다.
• 절차(procedure) : 특정한 목표를 성취하기위해 수행되는 단계적인 작업을 자세하게 설명합니다. 많은 조직들이 컴퓨터의 권한 부여, 감사 활동, 물품의 폐기 방법을 설명하는 문서화된 절차를 가지고 있습니다.

<정보 보안전문가의 역할>

• 정보보안 활동을 위한 예산을 확보합니다.
• 타 부서와 협력하여 정책, 절차, 기준선, 표준, 지침을 개발합니다.
• 보안인식 프로그램 개발 및 제공을 합니다.
• 비즈니스 목적에대한 이해를 합니다.
• 최신의 위협/취약점에대한 인지를 합니다.
• 정부의 법/규정에 대한 컴플라이언스 여부를 점검합니다.
• 최신 기술을 습득합니다.

 

<정보보호조직 구성원의 역할과 책임>

• 최고 경영자 : 정보보호를 위한 총괄 책임이 있습니다.
• 정보시스템 정보보호 관리자 : 조직의 정보보호 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임이 있습니다.
• 데이터 관리자 : 정보시스템에 저장된 데이터의 정확성과 무셜성을 유지하고 데이터의 중요성 및 분류를 결정할 책임이 있습니다.
• 프로세스 관리자 : 해당 정보시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있습니다.
• 기술 지원인력 : 보안대책의 구현에 대하여 조언할 책임이 있습니다.
• 사용자 : 조직의 정보보호 정책에 따라 수립된 절차를 준수할 책임이 있습니다.
• 정보시스템 감시자 : 정보보호 정책, 표준, 대책, 실무 및 절차가 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임이 있습니다.

 

- 인적 자원 보안

<퇴직>

• 우호적인 퇴직 : 회사와 직원 모두 퇴직에 동의한 경우이며 HR부서에서 퇴직 직원이 회사의 자산을 모두 반납했는지, 퇴직 직원의 회사에대한 모든 접근 권한이 제거되었는지 확인합니다.
• 적대적인 퇴직 : 해고당한 경우로서 시스템의 특수권한을 보유한 직원이 퇴직하는 경우 회사는 큰위험을 안게됩니다. 해고 직원에게 해고 사실을 알리기전에 접근권한을 즉시 삭제해야합니다.