1 위험관리 접근법
- 요구 성격에 따른 분류
- 기준선 접근법 Baseline Approach : 기본 수준 지정 후 달성 위한 보호대책 선택
- 위험 분석 접근법 Risk Analysis Approach : 전문가 판단법(인증심사), 위험 상세 분석, 복합적 접근법
- 결과 성격에 따른 분류
- 정량적 접근법 Quantitative Approach : 상/중/하와 같은 설명 변수에 따라 위험을 표시(주관적 지표)
- 정성적 접근법 Descriptive Approach : 위험 발생 확률과 수식 크기에 대한 기대가치 분석
2 정보보호 관리진단 절차
3 환경분석
- 환경분석 주요 활동
- 행위 : 담당자 인터뷰, 자료수집 및 분석, 현황분석 및 현장실사
- 구성 : 위험 관리, 유관기관 및 업체, 인증 규격, 정보보호 정책, 추진 목표, 비지니스 전략, 조직 운영, 경재사 현황
- 결과 : 비전 등 일반현황, 비지니스 유형, 사업 및 업무공간, 조직 및 인력 구성, 최근 보안사고 현황, 법률,이행 현황
- 정보보호 요구사항 정의 Define security requirement
- 개요 : 최고 경영층이 지향하는 정보보호 목표 및 목적의 파악
- 내용 : 인터뷰, ISMS 현황 파악 자료 요청 및 검토, 주요 IT System 및 조직 구성 현황 등의 파악, 최고 경영층의 의지| 요구사항과 컨설팅 기준 Mapping| 자료 요청 : 조직, 계획, 정책/지침, 정보시스템, 교육 등
- 접근 방법 : 정보보호 비전/요구사항 수렴 > 추진 방향 도출 > 프로젝트 추진 방향성 수립
- 산출물 : 요구사항 분석서
- 범위 정의 Decine scope
- 정보보호 요구사항 정의 단계에서 도출된 내용을 고려하여 범위 설정
- 정보보호 관리체계 ISMS 구축을 위함 범위 선정
- 조직/인력, 물리적 범위, Application 범위, 네트워크 범위 등을 명시
- 포함 사항 : 고객에게 제공되는 활동, 물리적 위치, 조직 운영, 생산/처리/전송에 저장되는 정보, 외부와 공유되는 정보
- 관점에 따른 범위
- 전사 관점 : 조직 전체를 대상, 최소한의 법칙에서 벗어날 수 있지만 프로젝트 기간의 중기화 및 저항 예상
- 특정부서 관점 : 중요 정보 취급하는 부서 대상, 저항과 위험성이 최소화 되지만 전사적인 애로사항 발생
- 중요정보의 유통 단계 관점 : 특정 정보의 생산, 유통, 저장, 폐기 단계에 따른 조직 대상
- 중요 정보의 흐름
- 타 경쟁업체에 비해 경쟁력을 가지는 중요정보는 무엇인가?
- 중요정보는 어디에서 생성되는가?
- 중요정보는 어디에 저장되고 있는가?
- 중요정보는 어디에 활용/제공되고 있는가?
- 중요정보는 어디서, 어떻게 폐기되고 있는가?
- 산출물 : 범위 정의서
- 현황 분석 Gap anlysis
- 조직의 정보보호관리체계 전체를 파악하기 위해 ISO27001, ISMS-P 등의 통제 항목을 활용한 체크리스트를 활용한 분석
- 정보의 자산 식별 및 분류 : 기업의 정확한 가치 판단
- ISO/IEC 27005 정보보호 위험관리 기준 관점 : 중요 자산(정보, 업무 프로세스 및 활동), 지원자산(하드웨어 등)
- KISA-ISMS 관점 : 대부분의 기업에서 정보자산의 현황을 유지하는 방법
- 그룹화 시 고려할 사항 : 자산 별 유사성, 중요도, 용도, 위치, 소유
- 정보 자산 가치 평가
- 기밀성 : 조직 내 허가받은 자에게만 공개되어야 함
- 무결성 : 고의적이나 우연히 변경되는 경우 조직에 피해를 줄 수 있는 수준
- 가용성 : 서비스가 중단되는 경우 조직 운영과 개인 프라이버시에 피해를 주는 수준
- 침해사고 피해 규모
- 장애복구 목표 시간
- GAP 분석 방안 : 현황 계획 수립 > 현황 분석 질의서 작성 > 현황 분석 실시 > 주요 이슈 및 개선안 도출
- GAP 분석 시 고려해야 할 사항
- 현황분석이 위험평가를 대체하지 않음
- 현황분석은 강제사항이 아니나 위험평가는 강제사항
- 현황분석의 결과는 위험평가 프로세스의 입력물이며 위험평가 결과물에 반드시 고려되어야 함
- 취약한 위험 정의 Define valnerability threat
- 위험 평가 Risk Assessment
- 위험 대책 Risk Treatment
- Master Plan 수립
1 위험관리 접근법
- 요구 성격에 따른 분류
- 기준선 접근법 Baseline Approach : 기본 수준 지정 후 달성 위한 보호대책 선택
- 위험 분석 접근법 Risk Analysis Approach : 전문가 판단법(인증심사), 위험 상세 분석, 복합적 접근법
- 결과 성격에 따른 분류
- 정량적 접근법 Quantitative Approach : 상/중/하와 같은 설명 변수에 따라 위험을 표시(주관적 지표)
- 정성적 접근법 Descriptive Approach : 위험 발생 확률과 수식 크기에 대한 기대가치 분석
2 정보보호 관리진단 절차
3 환경분석
- 환경분석 주요 활동
- 행위 : 담당자 인터뷰, 자료수집 및 분석, 현황분석 및 현장실사
- 구성 : 위험 관리, 유관기관 및 업체, 인증 규격, 정보보호 정책, 추진 목표, 비지니스 전략, 조직 운영, 경재사 현황
- 결과 : 비전 등 일반현황, 비지니스 유형, 사업 및 업무공간, 조직 및 인력 구성, 최근 보안사고 현황, 법률,이행 현황
- 정보보호 요구사항 정의 Define security requirement
- 개요 : 최고 경영층이 지향하는 정보보호 목표 및 목적의 파악
- 내용 : 인터뷰, ISMS 현황 파악 자료 요청 및 검토, 주요 IT System 및 조직 구성 현황 등의 파악, 최고 경영층의 의지| 요구사항과 컨설팅 기준 Mapping| 자료 요청 : 조직, 계획, 정책/지침, 정보시스템, 교육 등
- 접근 방법 : 정보보호 비전/요구사항 수렴 > 추진 방향 도출 > 프로젝트 추진 방향성 수립
- 산출물 : 요구사항 분석서
- 범위 정의 Decine scope
- 정보보호 요구사항 정의 단계에서 도출된 내용을 고려하여 범위 설정
- 정보보호 관리체계 ISMS 구축을 위함 범위 선정
- 조직/인력, 물리적 범위, Application 범위, 네트워크 범위 등을 명시
- 포함 사항 : 고객에게 제공되는 활동, 물리적 위치, 조직 운영, 생산/처리/전송에 저장되는 정보, 외부와 공유되는 정보
- 관점에 따른 범위
- 전사 관점 : 조직 전체를 대상, 최소한의 법칙에서 벗어날 수 있지만 프로젝트 기간의 중기화 및 저항 예상
- 특정부서 관점 : 중요 정보 취급하는 부서 대상, 저항과 위험성이 최소화 되지만 전사적인 애로사항 발생
- 중요정보의 유통 단계 관점 : 특정 정보의 생산, 유통, 저장, 폐기 단계에 따른 조직 대상
- 중요 정보의 흐름
- 타 경쟁업체에 비해 경쟁력을 가지는 중요정보는 무엇인가?
- 중요정보는 어디에서 생성되는가?
- 중요정보는 어디에 저장되고 있는가?
- 중요정보는 어디에 활용/제공되고 있는가?
- 중요정보는 어디서, 어떻게 폐기되고 있는가?
- 산출물 : 범위 정의서
- 현황 분석 Gap anlysis
- 조직의 정보보호관리체계 전체를 파악하기 위해 ISO27001, ISMS-P 등의 통제 항목을 활용한 체크리스트를 활용한 분석
- 정보의 자산 식별 및 분류 : 기업의 정확한 가치 판단
- ISO/IEC 27005 정보보호 위험관리 기준 관점 : 중요 자산(정보, 업무 프로세스 및 활동), 지원자산(하드웨어 등)
- KISA-ISMS 관점 : 대부분의 기업에서 정보자산의 현황을 유지하는 방법
- 그룹화 시 고려할 사항 : 자산 별 유사성, 중요도, 용도, 위치, 소유
- 정보 자산 가치 평가
- 기밀성 : 조직 내 허가받은 자에게만 공개되어야 함
- 무결성 : 고의적이나 우연히 변경되는 경우 조직에 피해를 줄 수 있는 수준
- 가용성 : 서비스가 중단되는 경우 조직 운영과 개인 프라이버시에 피해를 주는 수준
- 침해사고 피해 규모
- 장애복구 목표 시간
- GAP 분석 방안 : 현황 계획 수립 > 현황 분석 질의서 작성 > 현황 분석 실시 > 주요 이슈 및 개선안 도출
- GAP 분석 시 고려해야 할 사항
- 현황분석이 위험평가를 대체하지 않음
- 현황분석은 강제사항이 아니나 위험평가는 강제사항
- 현황분석의 결과는 위험평가 프로세스의 입력물이며 위험평가 결과물에 반드시 고려되어야 함
- 취약한 위험 정의 Define valnerability threat
- 위험 평가 Risk Assessment
- 위험 대책 Risk Treatment
- Master Plan 수립
