1. 정보 보호 이행 점검하기
1-1. 정보 보호 이행 점검 계획 수립
1) 정보 보호 관리체계 구축 단계
정보 보호 관리 체계(ISMS: Information Security Management System)란 조직의 주요 정보자산을 보호하기 위하여 정보 보호 관리 절차와 과정을 체계적으로 수립하여 속적으로 관리하고 운영하기 위한 종합적인 체계이다.
① 정보 보호 관리 체계 구조
정보 보호 관리 체계는 관리 과정 5단계, 정보 보호 대책 13개 분야로 구성되어 있다.
② 정보 보호 관리 체계 구축 단계
정보 보호 관리 체계는 정책 수립 및 범위 설정, 경영진 책임 및 조직 구성, 위험 관리, 정보 보호 대책 구현, 사후 관리의 5단계로 구축된다.
2) 정보 보호 관련 법률
| 구분 | 법 | 시행령 | 시행 규칙 |
| 정보 보호 관계 법령 |
정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 |
정보 통신망 이용촉진 및 정보 보호 등에 관한 법률 시행령 |
정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행 규칙 |
| 정보 통신 기반 보호법 | 정보 통신기반 보호법 시행령 | 정보 통신 기반 보호법 시행규칙 | |
| 국가 정보화 기본법 | 국가 정보화 기본 시행령 | 국가 정보화 기본법 시행 규칙 | |
| 전자 정부법 | |||
| 개인 정보 보호 관계 법령 |
개인 정보 보호법 | 개인 정보 보호법 시행령 | 개인 정보 보호법 시행 규칙 |
| 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률 |
정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행령 |
정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행규칙 |
|
| 위치 정보의 보호 및 이용 등에 관한 법률 |
위치 정보의 보호 및 이용 등에 관한 법률 시행령 |
||
| 기타 참고 법령 | 전자 분서 및 전자 거래 기본법 | 전자 문서 및 전자 거래 기본법 시행령 |
전자 문서 및 전자 거래 기본법 시행 규칙 |
| 전자 서명법 | 전자 서명법 시행령 | 전자 서명법 시행 규칙 | |
| 전자 금융 거래법 | 전자 금융 거래법 시행령 | ||
| 전기 통신 사업법 | 전기 통신 사업법 시행령 | ||
| 전기 통신 기본법 | 전기 통신 기본법 시행령 | ||
| 통신 비밀 보호법 | 통신 비밀보호법 시행령 | 통신 제한 조치 등 허가 규칙 | |
| 국가 사이버 안전 관리 규정 | |||
| 보안 업무 규정 | 보안 업무 규정 시행 규칙 | ||
| 방송 통신 발전 기본법 | 방송 통신 발전 기본법 시행령 | ||
| 전자상거래 등에서의 소비자 보호에 관한 법률 |
전자상거래 등에서의 소비자 보호에 관한 법률 시행령 | 전자 상거래 등에서의 소비자 보호에 관한 법률 시행 규칙 |
|
| 신용 정보의 이용 및 보호에 관한 법률 |
신용정보의 이용 및 보호에 관한 법률 시행령 |
신용 정보의 이용 및 보호에 관한 법률 시행 규칙 |
|
| 유비쿼터스도시의 건설 등에 관한 법률 |
유비 쿼터스도시의 건설 등에 관한 법률 시행령 | ||
| 국가 공간 정보 기본법 | 국가 공간 정보 기본법 시행령 | ||
| 소비자 기본법 | 소비자 기본법 시행령 |
3) 정보 보호 이행 점검 절차
- 정보보호 이행점검 수행절차
* 조직의 정보 보호 이행 계획을 분석한다.
조직 내에서 적용하고 있는 정보 보호 정책 및 이행 계획의 내용을 수집하여 분석한다.
①조직의 정보 보호 정책을 분석한다.
* 조직의 정보 보호 이행 점검 세부 계획을 수립한다.
정보 보호 정책과 정보 보호 계획을 기반으로 정보 보호 활동에 대한 이행 내역을 점검하기 위한 세부 계획을 수립한다.
① 정보 보호 점검을 위한 범위를 결정한다.
② 정보 보호 점검 주기를 결정한다.
③정보 보호 점검을 위한 점검 방법을 결정한다.
④정보 보호 점검을 이행할 인력을 결정한다.
⑤정보 보호 점검 계획을 수립한다.
⑥정보 보호 점검 계획을 교육한다.
4) 정보 보호 문서 체계
| 분류 | 주요 내용 |
| 정책 (Policy) |
- 정보 보호에 대한 상위 수준의 방향 및 목표 제시 - 조직의 경영 목표를 반영하고 정보 보호 관련 상위 정책과 일관성을 유지 - 관련된 모든 사람이 정보 보호를 위해 반드시 지켜야 할 요구사항을 전반적으로 규정 |
| 표준 (Standard) |
- 정보 보호 정책의 만족을 위하여 반드시 준수하여야 할 구체적인 사항을 규정 - 조직의 환경 또는 요구 사항에 따라 관련된 모든 사용자들이 준수하도록 요구되는 규정 |
| 지침 (Guidelines) |
- 정보 보호 정책의 만족을 위하여 융통성 있게 적용할 수 있는 선택 가능하거나 권고적인 사항을 설명 - 정보 보호 정책에 따라 특정 분야별 정보 보호 활동 또는 특정 시스템에 필요한 세부 정보를 설명 |
| 절차 (Procedures) |
- 정책을 만족하기 위하여 수행하여야 하는 사항을 순서에 따라 단계적으로 설명 - 정보 보호 활동의 적용을 위해 필요한 적용 절차 등 구체적인 방법을 기 |
1-2. 침해사고 대응하기
1) 침해사고 공격 유형
| 구분 | 내용 |
| 악성 코드 공격 | 사용자의 동의 없이 컴퓨터에 설치되어 사용자의 정보를 탈취하거나 컴퓨터를 오작동 시키는 악의적인 행위(컴퓨터 바이러스, 월, 트로이 목마, 백도어, 봇(BOT), 스파이웨어 등) |
| 서비스 거부 공격 | 시스템에 과도한 부하를 유발하여 성능을 저하시키거나 정상적인 서비스를 차단하는 행위 |
| 비인가 접근 공격 | 인가 받지 않은 자가 기반 시스템 및 응용 프로그램, 데이터 등에 논리적 또는 물리적으로 불법 접근하는 공격 |
| 복합 구성 공격 | 악성 코드 공격, 서비스 거부 공격, 비인가 접근 공격등의 요소를 복합적으로 이용하는 공격 유형 |
① 정보 보호 침해 사고의 개념
정보 보호 침해 사고는 조직이 보유하고 있는 정보 시스템이 비정상적인 사용자에 의하여 손상되어 정상적인 운용에 영향을 미치거나, 또는 주요 정보가 외부에 유출되어 불법적으로 활용될 위험이 있는 사고이다.
2) 침해 사고 대응 방안
| 구분 | 내용 |
| 악성 코드 공격 | 1) 악성코드 공격 판단 2) 감염 시스템 분리 및 감염 경로 차단 3) 외부 네트워크와의 연결 차단 4) 미확인 악성코드 대처 및 사고 통보 |
| 서비스 거부 공격 | 1) 서비스 거부 공격 유형 판단 및 추척 차단 2) 정보 통신 서비스 제공자(ISP) 차단 규칙을 통한 차단 및 추적 3) 피해 시스템의 자료 백업 및 보안 취약점 제거 4) 사고 통보 |
| 비인가 접근 공격 | 1) 피해자 시스템 격리 또는 서비스 중지 2) 로그 자료 백업 및 비인가 접근 공격에 사용된 계정 제거 3) 사고 통보 |
| 복합 구성 공격 | 1) 사고 별 중요도를 판별하여 우선순위에 따라 사고 대응 절차 수행 |
2. 정보 보호 정책 교육하기
2-1. 정보 보호 교육 계획 수립
1) 정보 보호 교육 수행 절차
- 연간 정보 보호 계획을 수립한다.
교육의 시기 및 기간, 교육 대상, 교육 내용, 교육 방법 등의 내용이 포함된 연간 정보 보호 교육 계획을 수립한다.
- 정보 보호 교육 계획을 보고한다.
① 정보 보호 교육 계획을 경영진에게 보고한다.
정보 보호 교육 계획을 정보 보호 최고 책임자 및 경영진에게 보고를 하여 승인을 받는다.
② 정보 보호 교육 계획을 공유한다.
정보 보호 교육 계획을 관련 조직 및 임직원들과 배포하여 공유한다.
- 정보 보호 교육의 원활한 수행을 위하여 교육 계획을 수립할 때 교육 대상에 경영진을 포함하여 정보보호의 중요성과 침해 사고 발생 시 조직의 경영에 미치는 영향을 인지할 수 있도록 하여야 한다.
2) 정보 보호 교육 수행 기준
| 구분 | 대상 | 교육 방법 |
| 기본 정보 보호 교육 | 정규직 임직원, 임시 직원, 외주 업체, 외부자 등을 대상 | 연 1회 이상 |
| 직무별 정보 보호 교육 | IT 및 정보 보호 직무자 | 연 1회 이상 (기본 정보 보호 교육과 별도) |
| 개인 정보 보호 교육 | 개인 정보 관리 책임자 및 개인 정보 취급자 | 연 2회 이상 (기본 정보 보호 교육과 별도) |
정보 보호 교육 대상에게 교육을 수행하기 위한 시기 및 시간을 정의할 때 조직의 업무 특성을 반영하여 업무 영향을 최소화할 수 있는 시점으로 일정을 정의한다. 교육 계획을 수립할 경우에는 관련 법률 규정(정보 통신망 이용촉진 및 정보 보호 등에 관한 법률 ʻ개인 정보의 기술적・관리적 보호 조치 기준(고시)' 제3조(내부 관리 계획의 수립・시행) 2항에 따라 다음과 같은 기준을 준수하여야 한다.
3) 정보 보호 교육 수행 방법
| 구분 | 특징 | 장점 | 단점 |
| 집체 교육 | 정해진 시기에 정해진 장소에서 교육을 수행 | 교육의 효과가 높음 | 시간 및 공간의 제약이 있음 |
| 온라인 교육 | 인터넷을 통하여 동영상 교육 수행 | 시간 및 공간의 제약이 없음 | 교육의 효과가 낮고 사전에 동영상 촬영이 필요 |
| 실습 교육 | 현장에서 업무 기반으로 보안 교육을 수행 | 다양한 현장 체험으로 교육의 효과가 극대화 됨 | 많은 시간이 필요하고 교육 수행 인원에 제약이 많음 |
2-2. 외부자 보안 관리하기
1) IT 외주 용역 유형 정의
| IT 외부 용역 유형 | 교육 방법 | |
| 유형 1 | 운영 용역 | - 업무망 내 시스템 네트워크 및 보안 장비 운영 - 기업 내부망에 대한 취약점 점검 및 모의 해킹 |
| 유형 2 | 유지 보수 용역 | - 업무망에 온라인 접속 권한으로 수행된 업무에 대한 유지 보수 - 기업 내 온라인으로 진행되는 시스템 네트워크 및 IT 보안 장비 유지 보수 - 외주 업체 내에서 운영되는 시스템 네트워크 및 IT 보안 정바 유지 보수 - 원격 시스템 네트워크 및 보안 장비 유지 보수 - 원격 유지 보수 및 장애 관리 |
| 유형 3 | SI 용역 | - IT 업무 지원 시스템 개발 구축 |
| 유형 4 | 데이터 처리 | - 기업 내외 헬프 데스크 운영 - 기업 내부 데이터를 활용한 대리점 운영 |
| 유형 5 | 용역 오프라인 지원 | - 오프라인으로 출려된 산출물을 관리하는 용역 업체 - 오프라인으로 출려된 내부 데이터를 활용하여 면담으로 진행되는 정보 보호 컨설팅 - 오프라인으로 출려된 내부 데이터를 활용하여 진행되는 기업 회계 감사 및 보안 컨설팅 |
2) IT 외부 용역 접근 경로
3) 외주 용역 수행 정보 보호 활동
| 구분 | 정보 보호 활동 | 세부 내용 |
| 입찰 및 계약 단계 |
보안 요구 기준 마련 | 외주 용역 추진에 필요한 정보 보호 요구 사항 수준 등 기준을 마련하고 확인 |
| 보안을 고려한 계약 체결 | 정보 보호 요구 사항이 충족한 사업자를 선정하고 미흡한 경우에는 기술 협상 과정에서 정보 보호 요구 사항을 반영 | |
| 개발 및 구축 단계 |
자료에 대한 보안 관리 | 내부 자료 관리 계획을 수립하여 정보 보호 및 내부 정보 유출 방지 |
| 사무실 장비에 대한 보안 관릳 | 외주업체 사무실의 물리적 보안 조치를 확인하고 반출/입하는 장비에 대한 보안 관리 계획 수립하고 이행 | |
| 내/외부망 접근 관리 | 외부자의 내부 시스템 접근에 대한 관리 및 외부망 접근 제얻 | |
| 외부자 신원 조회 | 외부자를 통한 정보 유출을 막기 위하여 보안 서약서 작성 및 사전 신원 조사 실시 | |
| 사업 완료 단계 |
사업 완료 시 보안 대책 | 최종 산출물 중 보안이 요구되는 자료의 유출 방지를 위하여 보호 조치를 실시 |
'민간 자격증 > 정보보호관리사' 카테고리의 다른 글
| 13. 보안 장비 운영 (0) | 2024.07.31 |
|---|---|
| 12. 물리적 보안 운영 (1) | 2024.07.30 |
| 10. 시스템 보안 운영 (1) | 2024.07.25 |
| 9. 애플리케이션 보안 운영 (2) | 2024.07.22 |
| 8. 네트워크 보안 운영 (1) | 2024.07.19 |
댓글