정보 보안

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

정보 보안은 정보의 기밀성, 무결성, 가용성을 유지하는 것을 목표로 하는 일련의 조치이다. 이는 인가되지 않은 접근, 사용, 공개, 중단, 수정 또는 파괴로부터 정보와 정보 시스템을 보호하는 것을 의미하며, 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 세 가지 요소, 즉 CIA를 핵심으로 한다. 정보 보안은 고대 암호화 기술 사용에서 시작되어 컴퓨터와 인터넷의 발달과 함께 중요성이 커졌으며, 위협으로는 소프트웨어 공격, 지적 재산권 절도, 신원 도용 등이 있다. 정보 보안은 물리적 및 비물리적 방법, 보안 등급 분류, 위험 관리, 접근 제어, 심층 방어, 법률 및 규정, 업무 연속성, 정보 보안 문화, 관련 표준 등을 포함한다. 정보 보안과 관련된 자격증으로는 정보처리기사, 정보보안기사, CISSP, CISA 등이 있다.

더 읽어볼만한 페이지

방범 - 경비원
경비원은 시설 및 인력을 보호하고 출입을 통제하며 순찰, 위험 감지 및 보고 등의 업무를 수행하는 직업으로, 화재, 도난, 침입 등으로부터 보호하며 방문객 안내, 배달물 접수 등의 부가적인 서비스를 제공하기도 한다.
방범 - 폐쇄회로 텔레비전
폐쇄회로 텔레비전(CCTV)은 영상을 촬영하여 특정 장소로 전송하는 감시 시스템으로, 기술 발전에 따라 범죄 예방 등 다양한 목적으로 활용되지만 개인정보보호 침해 문제와 함께 국가별 법률 및 안면 인식 기술과 결합된 감시 시스템에 대한 사회적 논의가 필요하다.
국가안전보장 - 파이브 아이즈
파이브 아이즈는 미국, 영국, 캐나다, 오스트레일리아, 뉴질랜드 5개국 간의 정보 동맹으로, 각국의 정보기관을 통해 수집한 정보를 공유하며 냉전 시기부터 현재까지 국제 정세에 대응하기 위해 감시 및 정보 공유 범위를 확대하고 있다.
국가안전보장 - 반역죄
반역죄는 역사적, 정치적 맥락에 따라 정의가 변화해 온 군주나 국가에 대한 충성 의무 위반 범죄로, 국가 안보 위협 행위, 정부 전복 시도 등을 포함하며, 각국 법률은 국가별로 상이하게 규정되어 있다.

정보 보안
정보 보안 개요
설명	정보 자산을 보호하여 위험을 완화하는 것.
핵심 개념
기밀성	인가된 사람만 정보에 접근할 수 있도록 보장하는 것.
무결성	정보가 정확하고 완전하게 유지되도록 보장하는 것.
가용성	인가된 사용자가 필요할 때 정보에 접근할 수 있도록 보장하는 것.
정보 보안 위험 관리
위험 관리 프레임워크	정보 보안 위험을 식별, 평가, 완화하기 위한 체계적인 접근 방식.
위험 완화	정보 보안 위험을 줄이거나 제거하기 위한 조치.
정보 보안 정책
정책 목적	조직의 정보 자산을 보호하기 위한 규칙과 지침을 설정하는 것.
정책 구성	조직의 정보 자산을 보호하기 위한 규칙과 지침을 정의하는 것.
정보 보안 위협
사이버 공격	악성 소프트웨어, 피싱, 서비스 거부 공격 등을 포함한 다양한 형태의 공격.
데이터 유출	무단 접근으로 인해 정보가 외부로 유출되는 것.
내부 위협	조직 내부의 인원에 의한 위협.
보안 취약점	시스템 또는 소프트웨어의 약점.
정보 보안 기술 및 방법
암호화	정보를 읽을 수 없도록 변환하는 방법.
접근 제어	정보에 접근할 수 있는 사람을 제한하는 방법.
방화벽	네트워크 보안을 위한 보안 시스템.
침입 탐지 시스템	네트워크 침입을 감지하는 시스템.
바이러스 검사 소프트웨어	악성 소프트웨어를 탐지하고 제거하는 소프트웨어.
인증	사용자 신원을 확인하는 방법.
다요소 인증	여러 인증 요소를 사용하여 보안을 강화하는 방법.
정보 보안 전문 분야
전문 분야	네트워크 보안 보안 감사 침해 사고 대응 보안 컨설팅 악성 코드 분석 암호학 보안 아키텍처 위험 관리 보안 교육 및 인식
정보 보안의 중요성
디지털 전환	디지털 전환 시대에 정보 보안의 중요성이 더욱 커짐.
데이터 표준화	데이터 표준화의 부족이 정보 보안을 저해할 수 있음.
시장 반응	정보 유출과 같은 보안 사고가 시장에 부정적인 영향을 미칠 수 있음.

2. 정의

정보보안은 정보의 수집, 가공, 저장, 검색, 송신, 수신 과정에서 발생할 수 있는 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미한다. 이는 정보를 제공하는 공급자와 사용자 모두에게 중요한데, 공급자는 내외부 위협으로부터 정보 자산을 보호하고, 사용자는 개인 정보 유출 및 남용을 방지해야 한다.^[15]

정보보안의 정의는 다양하지만, 일반적으로 다음과 같은 공통된 목표를 가진다.

기밀성 (Confidentiality): 허가된 사람만 정보에 접근할 수 있도록 보장한다.
무결성 (Integrity): 정보가 정확하고 완전하며, 위변조되지 않았음을 보장한다.
가용성 (Availability): 허가된 사용자가 필요할 때 정보에 접근할 수 있도록 보장한다.

ISO/IEC 27000:2009에서는 정보보안을 "정보의 기밀성, 무결성, 가용성"을 보장하고, 추가적으로 "진정성, 책임성, 부인 방지, 신뢰성"과 관계가 있을 수 있다고 정의한다.^[311] CNSS(미국 국가안보시스템위원회)는 2010년에 "인가되지 않은 접근, 사용, 폭로, 붕괴, 수정, 파괴로부터 정보와 정보 시스템을 보호해 기밀성, 무결성, 가용성을 제공하는 것"이라고 정의했다.^[312]

JIS Q 27000(즉, ISO/IEC 27000)은 정보보안을 정보의 기밀성, 무결성, 가용성을 유지하는 것으로 정의한다.^[320] 이 세 가지 속성은 정보보안의 3요소 또는 CIA라고 불린다.

경제협력개발기구(OECD)와 ISO/IEC JTC 1/SC 27 등은 진정성, 책임추적성, 부인방지, 신뢰성의 네 가지 속성을 추가하여 정보보안의 정의를 확장했다.^[324]^[325]

진정성(authenticity): 정보 시스템 사용자가 본인임을 확인하고 위장을 방지한다.
책임추적성(accountability): 특정 동작을 한 주체를 추적할 수 있도록 보장하는 특성이다.
부인방지(non-repudiation): 정보를 보낸 사람이 나중에 부인하지 못하도록 증명하는 능력이다.
신뢰성(reliability): 의도한 동작 및 결과와 일치하는 특성이다.

위의 네 가지 요소를 추가한 것을 정보보안의 7요소라고 한다.

일본산업규격(JIS)에서는 정보보안을 “정보의 기밀성, 무결성 및 가용성을 유지하는 것. 더 나아가 진정성, 책임추적성, 부인방지 및 신뢰성과 같은 특성을 유지하는 것을 포함할 수도 있다.”라고 정의하여, 이 네 가지를 정보보안의 특성에 포함하지 않아도 된다고 하였다.

2. 1. 정보보안의 3요소 (CIA)

정보 보안의 핵심에는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 "CIA 삼각형"이 있다.^[53] 이 개념은 1972년 앤더슨 보고서에서 처음 소개되었고, 이후 ''컴퓨터 시스템의 정보 보호(The Protection of Information in Computer Systems)''에서도 반복되었다. 약어는 스티브 립너가 1986년경에 만들었다.^[54]

기밀성 (Confidentiality): 허가받지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것이다. 비밀 보장이라고 할 수도 있다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다.^[56] 개인 정보 보호와 유사하지만 두 용어는 서로 바꿔 사용할 수 없다. 오히려 기밀성은 무단 열람으로부터 데이터를 보호하기 위해 구현되는 개인 정보 보호의 구성 요소이다.^[57] 전자 데이터의 기밀성이 침해된 예로는 노트북 도난, 비밀번호 도난 또는 중요한 이메일이 잘못된 사람에게 전송되는 경우 등이 있다.^[58]
무결성 (Integrity): 허가받지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것이다. 다시 말하면, 수신자가 정보를 수신했을 때, 또는 보관돼 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정 또는 첨삭되지 않았음을 확인할 수 있도록 하는 것이다. IT 보안에서 데이터 무결성은 데이터의 전체 수명 주기 동안 정확성과 완전성을 유지하고 보장하는 것을 의미한다.^[59] 즉, 데이터가 무단으로 또는 탐지되지 않은 방식으로 수정될 수 없다는 것을 의미한다.^[60]
가용성 (Availability): 허가된 사용자 또는 객체가 정보에 접근하려 할 때 이것이 방해받지 않도록 하는 것이다. 최근에 네트워크의 고도화로 대중에 많이 알려진 '''서비스 거부 공격'''(DDoS 공격, Distributed Denial of Service Attack^영어)이 이러한 가용성을 해치는 공격이다.^[68] 어떤 정보 시스템이든 그 목적을 달성하려면 필요할 때 정보가 가용해야 한다.^[65]

JIS Q 27000(즉, ISO/IEC 27000)은 정보 보안을 정보의 기밀성, 무결성, 가용성을 유지하는 것으로 정의한다.^[320]

JIS Q 27001에서는 정보보안의 3요소를 다음과 같이 정의하고 있다. (ISO/IEC 27001의 정의를 번역) 여기서 엔티티는 단체 등을 가리킨다.

정보보안 (information security): 정보의 기밀성, 무결성 및 가용성을 유지하는 것. 더 나아가, 진정성, 책임 추적성, 부인 방지 및 신뢰성과 같은 특성을 유지하는 것을 포함할 수도 있다.
기밀성 (confidentiality): 허가받지 않은 개인, 엔티티 또는 프로세스에 대해 정보를 사용 불가능하거나 비공개로 만드는 특성
무결성 (integrity): 자산의 정확성 및 완전성을 보호하는 특성
가용성 (availability): 허가된 엔티티가 요청했을 때 접근 및 사용이 가능한 특성

이것들을 '''정보보안의 3요소'''라고 하며, 영어 머리글자를 따서 정보의 '''CIA'''라고도 한다.

2. 2. 추가적인 보안 목표

경제협력개발기구(OECD)는 1992년에 제정되고 2002년에 개정된 「정보 시스템 및 네트워크 보안 지침」^[78]에서 정보보안 의식, 책임, 대응, 윤리, 민주주의, 위험 평가, 보안 설계 및 구현, 보안 관리, 재평가라는 9가지 원칙을 제시하였다.^[79] 이를 바탕으로 2004년 NIST는 「정보기술 보안을 위한 엔지니어링 원칙」^[55]에서 33가지 원칙을 제안하였다.

1998년, 돈 파커(Donn Parker)는 고전적인 "CIA" 삼각형에 대한 대안 모델로 정보의 6가지 기본 요소라고 부르는 파커의 6가지 요소를 제안했다. 이 요소들은 기밀성, 소유, 무결성, 진정성, 가용성, 그리고 유용성이다. 파커 헥사드(Parkerian Hexad)의 장점은 보안 전문가들 사이에서 논쟁의 여지가 있다.^[80]

2011년, 오픈 그룹(The Open Group)은 정보 보안 관리 표준인 O-ISM3을 발표했다.^[81] 이 표준은 접근 제어(9), 가용성(3), 데이터 품질(1), 규정 준수 및 기술(4)과 관련된 "보안 목표"라는 요소를 포함하여 보안의 핵심 개념에 대한 작동 정의를 제시하였다.

ISO/IEC JTC 1/SC 27은 1996년에^[324] 진정성, 책임추적성, 신뢰성 세 가지 속성을 추가했고, 2006년에^[325] 부인방지 속성을 추가했다. 이 네 가지 특성의 의미는 다음과 같다.

진정성(authenticity): 특정 주체 또는 자원이 주장하는 대로임을 보장하는 특성. 사용자, 프로세스, 시스템, 정보 등의 엔티티에 적용된다. 정보 시스템 사용자가 확실히 본인임을 확인하고, 위장을 방지한다.
책임추적성(accountability): 특정 엔티티의 동작을 그 동작으로부터 동작 주체인 엔티티까지 단일하게 추적할 수 있도록 보장하는 특성.
부인방지(non-repudiation): 부인 봉쇄(否認封鎖)라고도 한다. 정보를 보낸 사람이 나중에 정보를 보냈다는 것을 발뺌(부인)하지 못하도록 하는 것이다. 법률에서 부인방지는 계약상 의무를 이행하려는 의도를 의미한다. 또한 거래의 한 당사자가 거래를 받았다는 것을 부인할 수 없으며, 다른 당사자가 거래를 보냈다는 것을 부인할 수 없다는 것을 의미한다.^[73] 암호 시스템과 같은 기술이 부인방지 노력에 도움이 될 수 있지만, 이 개념은 본질적으로 기술 영역을 초월하는 법적 개념이라는 점에 유의해야 한다.^[74]
신뢰성(reliability): 의도한 동작 및 결과와 일치하는 특성.

기본적인 정보보안 3요소에 상기 4요소를 추가한 것을 '''정보보안 7요소'''라고 한다.

일본산업규격(JIS) Q 27002 (ISO/IEC 27002)에서는 정보보안을 “정보의 기밀성, 무결성 및 가용성을 유지하는 것. 더 나아가 진정성, 책임추적성, 부인방지 및 신뢰성과 같은 특성을 유지하는 것을 포함할 수도 있다.”라고 정의하고 있다. 즉, 일본산업규격(JIS)에 따르면, 이 네 가지를 정보보안의 특성에 포함하지 않아도 된다.

3. 역사

율리우스 카이사르는 기원전 50년경에 자신의 비밀 메시지가 다른 사람에게 넘어가도 읽히지 않도록 카이사르 암호를 발명했습니다.^[31] 19세기 중반, 각국 정부는 정보의 민감도에 따라 관리하는 분류 시스템을 개발했습니다.^[36]

제1차 세계 대전 당시에는 여러 전선과 정보를 주고받는 다층 분류 시스템을 사용했고, 외교 및 군사 본부에서 암호 작성 및 해독 부서의 활용이 증가했습니다.^[42] 전쟁 사이에는 정보를 암호화하고 해독하는 데 기계가 사용되면서 암호화 기술은 더욱 정교해졌습니다.^[43]

제2차 세계 대전 동안에는 공유되는 정보의 양이 증가하면서 분류 시스템과 절차를 정렬해야 할 필요성이 커졌습니다.^[44] 독일군이 전쟁 데이터를 암호화하는 데 사용했고 앨런 튜링에 의해 해독된 에니그마 암호기는 안전한 정보를 생성하고 사용하는 대표적인 예시입니다.^[46]

냉전 기간 동안 메인프레임 컴퓨터는 더 복잡한 작업을 수행하기 위해 온라인으로 연결되었고, 미국 국방부의 고등 연구 계획국(ARPA)은 미국군 내에서 정보를 교환하기 위한 네트워크 시스템의 가능성을 연구하기 시작했습니다. 1968년, 래리 로버츠는 ARPANET 프로젝트를 공식화했는데, 이는 나중에 인터넷으로 발전했습니다.

1973년, 인터넷 개척자 로버트 메트칼프는 ARPANET 보안에 "암호 구조 및 형식의 취약성, 전화 접속에 대한 안전 절차 부족, 사용자 식별 및 권한 부여 부재"와 같은 여러 결함이 있음을 발견했습니다.

20세기 말과 21세기 초, 통신, 컴퓨팅 하드웨어 및 소프트웨어, 데이터 암호화 분야에서 급속한 발전이 이루어졌습니다.^[47] 1980년대 초, 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)이 설립되면서 서로 다른 유형의 컴퓨터가 통신할 수 있게 되었습니다.^[49] 이러한 컴퓨터는 인터넷을 통해 빠르게 상호 연결되었습니다.^[50]

인터넷을 통해 수행되는 전자 데이터 처리 및 전자 비즈니스의 급속한 성장과 국제 테러리즘 사건은 컴퓨터와 정보를 보호하는 더 나은 방법의 필요성을 증폭시켰습니다.^[51]

4. 위협

정보 보안 위협은 여러 가지 형태로 나타난다.^[16] 오늘날 가장 일반적인 위협은 다음과 같다.^[17]^[18]

소프트웨어 공격: 바이러스,^[19] 웜, 피싱 공격, 트로이 목마 등이 있다.
지적 재산권 절도: 기업의 영업 비밀, 기술 정보 유출 등이 있으며, 많은 기업들에게 광범위한 문제가 되고 있다.^[20]
신원 도용: 타인의 개인 정보를 도용하여 금융 사기, 명예 훼손 등을 일으키거나, 사회 공학을 통해 중요한 정보에 접근하는 것을 의미한다.^[21]^[22]
파괴 행위: 조직의 웹사이트를 파괴하여 고객의 신뢰를 잃게 하려는 시도 등을 포함한다.^[23]
정보 갈취: 랜섬웨어와 같이 정보 또는 재산을 소유자에게 돌려주는 대가로 금품을 요구하는 행위이다.^[24]

이러한 공격에 대한 가장 효과적인 예방 조치 중 하나는 정기적인 사용자 인식 교육을 실시하는 것이다.^[25]

5. 정보보안의 특성

정보보안은 100% 완벽하게 달성할 수 없다.^[326] 정보보안 대책은 실패율에 의해 그 효과가 측정된다.^[326] 둘 이상의 정보보안 대책을 함께 사용하면 위험을 크게 줄일 수 있다.^[326]

6. 정보보안의 방법

정보보안은 크게 물리적인 방법과 비물리적인(소프트웨어적인) 방법으로 나눌 수 있다. 물리적인 방법은 자물쇠를 사용하거나 보초를 활용하는 것이 대표적이다. 비물리적인 방법으로는 암호학 기술을 사용하여 권한을 가진 사람만 정보에 접근하도록 하거나, 정보 유출 경로를 감시하고 통제하여 유출 위험을 미리 막는 방법이 있다.

6. 1. 물리적 보안

물리적 보안은 자물쇠를 사용하거나 보초를 활용하는 등 물리적인 방법을 통해 정보를 보호하는 것을 의미한다. 이는 정보 보안을 위한 방법 중 하나로, 비물리적인(소프트웨어적인) 방법과 함께 사용될 수 있다. 출입 통제, CCTV 설치, 잠금 장치 사용 등이 물리적 보안의 예시에 해당된다.^[327]

6. 2. 비물리적 보안

암호학 기술을 사용하여 권한을 가진 인물에게만 접근을 허용하거나 유출 경로를 모두 모니터링, 통제하여 유출 위험을 사전에 차단하는 방법이 비물리적 보안에 해당한다.

'''DB 또는 어플리케이션:''' 외부, 내부자가 DB 내에 저장된 정보에 불법 접근하는 것을 막는 방식을 사용한다. 사용자 실수, 오용, 내부자 권한 남용, 비정상적인 접근 행위 및 DB 관련 취약점으로부터 보호하는 방식을 사용한다.^[327]

DB 또는 어플리케이션 보안
종류	설명
DB 암호화	DBMS나 DBMS 외부에서 정보에 대해 암/복호화가 수행되는 방법. 비인가자에 대한 정보 오용을 방지하기 위해 도입.
DB 방화벽	접근 제어로도 불림. 권한 있는 사용자의 접근만 허용하는 방식과 권한에 따라 접근 권한을 차등 부여하는 방식이 있다.
개인정보 접속 기록 관리	접속한 내역을 기록하는 기술이다. 쿼리문, 쿼리 결과값, 정보 패턴, IP, 접속 시간 등을 저장한다. 사용자들은 자신의 행위가 모두 로깅되는 것을 인지하고 있기 때문에 과다 조회를 통제하는 효과도 볼 수 있다.

'''엔드포인트 (PC, 서버, 모바일)''' : 단말에서 개인 정보나 기밀 정보 등을 보안하는 기술.

엔드포인트 보안
종류	설명
엔드포인트 DLP	Data Loss Prevention의 약자로 내부 정보 유출을 방지하는 기술
PC 내 개인 정보 및 기밀 정보 암호화	PC 내 저장된 정보가 비인가자, 외부인에게 노출되지 않도록 보호하는 기술. 대칭형, 비대칭형, 단방향 암호가 있다.^[328]
DRM	Data Rights Managements의 약자. 권한자에게만 복호화 키를 주어서 문서 유출 시 불법적인 사용자가 문서를 무단으로 열어보지 못하게 하는 기술.^[329]
백신	엔드포인트 내 숨어있는 악성 소프트웨어를 찾아내서 제거하는 기술. 악성 소프트웨어는 정보 탈취의 원인이 되기도 한다.

'''네트워크 (메일, 웹서비스):''' 네트워크를 통해 보안을 위협하는 모든 문제들을 해결하는 방식이다. 정보 유출, 악성 코드 감염 및 디도스 공격 예방 등이 해당된다.

네트워크 보안
종류	설명
네트워크 DLP	사외망으로 통하는 네트워크 끝단에서 내부 정보 유출을 통제하는 기술. 메신저, 웹하드, 웹메일, 클라우드 서비스를 통한 기밀 정보, 개인 정보 유출 차단
네트워크 접근 제어	비인가자의 통신망 접속을 적절하게 조절하는 기술. 특정 보안 기능을 적용한 후에 접속할 수 있게 하므로 네트워크 장애를 발생시키는 빈도를 줄임.^[330]
악성 코드 차단	악성 코드 종류는 다양하다. 컴퓨터 바이러스, 웜, 스파이웨어, 트로이목마, 랜섬웨어 등이 그 예다. 스파이웨어는 PC에 몰래 설치되어 사용자 정보를 빼간다. 랜섬웨어는 특정 파일을 암호화하여 복구 불가 상태로 돈을 요구한다. 악성 코드는 정보보안에 위해가 가는 존재다. 보안 회사들은 해당 악성 코드 배포 원천 사이트를 차단해 감염 위험을 사전에 차단한다.

정보 보안은 암호학을 사용하여 권한이 없는 사용자에게는 사용할 수 없도록 정보를 변환하며, 이 과정을 암호화라고 한다.^[165] 암호화된 정보는 암호화 키를 소지한 권한 있는 사용자가 복호화 과정을 통해 원래 사용 가능한 형태로 다시 변환할 수 있다.^[166] 암호학은 정보 보안에서 정보가 전송 중(전자적으로 또는 물리적으로)이거나 저장 중일 때 무단 또는 우발적인 공개로부터 정보를 보호하는 데 사용된다.^[58]

암호학은 향상된 인증 방법, 메시지 다이제스트, 디지털 서명, 부인방지, 암호화된 네트워크 통신을 포함하여 정보 보안에 유용한 다른 응용 프로그램도 제공한다.^[167] 텔넷 및 파일 전송 프로토콜(FTP)과 같은 이전의 안전하지 않은 응용 프로그램은 암호화된 네트워크 통신을 사용하는 SSH(Secure Shell)과 같은 보다 안전한 응용 프로그램으로 천천히 대체되고 있다.^[168] 무선 통신은 WPA/WPA2 또는 이전의(그리고 덜 안전한) WEP과 같은 프로토콜을 사용하여 암호화할 수 있다. 유선 통신(예: ITU-T G.hn)은 암호화에 AES(Advanced Encryption Standard)를, 인증 및 키 교환에 X.1035를 사용하여 보호된다.^[169] GnuPG 또는 PGP와 같은 소프트웨어 응용 프로그램을 사용하여 데이터 파일과 이메일을 암호화할 수 있다.^[170]

암호학은 올바르게 구현되지 않으면 보안 문제를 야기할 수 있다.^[171] 암호화 솔루션은 암호학 분야의 독립적인 전문가들에 의해 엄격한 동료 검토를 거친 업계에서 허용되는 솔루션을 사용하여 구현되어야 한다.^[172] 암호화 키의 길이와 강도도 중요한 고려 사항이다.^[173] 약하거나 너무 짧은 키는 약한 암호화를 생성한다.^[173] 암호화 및 복호화에 사용되는 키는 다른 기밀 정보와 같은 수준의 엄격함으로 보호해야 한다.^[174] 공개 키 기반 구조(PKI) 솔루션은 키 관리와 관련된 많은 문제를 해결한다.^[58]

7. 보안 등급 분류

보호할 대상을 중요성에 따라 분류해, 각각의 중요도에 따라 보호 방법에 차등을 두는 것을 말한다.^[115] 정보 보안 및 위험 관리의 중요한 측면은 정보의 가치를 인식하고 정보에 대한 적절한 절차와 보호 요구 사항을 정의하는 것이다.^[115] 모든 정보가 동일한 가치를 지니는 것은 아니므로 모든 정보에 동일한 수준의 보호가 필요한 것은 아니다.^[116] 따라서 정보에 보안 등급을 할당해야 한다.^[117]

정보에 어떤 분류를 할당해야 하는지에 영향을 미치는 요소로는 해당 정보가 조직에 얼마나 가치가 있는지, 정보가 얼마나 오래되었는지, 정보가 쓸모없게 되었는지 여부 등이 있다.^[120] 정보를 분류할 때 법률 및 기타 규제 요구 사항도 중요한 고려 사항이다.^[121]

선택 및 사용되는 정보 보안 분류 레이블의 유형은 조직의 성격에 따라 달라진다.^[119]

기업 부문에서는 공개, 민감, 개인, 기밀과 같은 레이블을 사용한다.
정부 부문에서는 비밀 취급 불필요, 비공식, 보호, 기밀, 비밀, 최고 기밀 및 그에 상응하는 비영어권 레이블을 사용한다.^[123]
부문 간 형성에서는 트래픽 라이트 프로토콜을 사용하며, 이는 흰색, 녹색, 노란색, 빨간색으로 구성된다.
개인 부문에서는 재정과 같은 하나의 레이블을 사용한다. 여기에는 온라인 뱅킹과 같은 돈 관리와 관련된 활동이 포함된다.^[124]

조직의 모든 직원과 비즈니스 파트너는 분류 체계에 대해 교육을 받고 각 분류에 대한 필요한 보안 통제 및 처리 절차를 이해해야 한다.^[125]

8. 위험 관리

리스크 관리는 위험 요소를 발견하고 최소화하거나 제거하기 위한 체계적인 관리 체제이다. 주로 다음과 같은 항목을 정의한다:^[82]

위험의 정의
위험 수준 분류
위험 요소 발견 시 제거를 위한 위험 수준별 처리 시간
위험 신고부터 제거까지 정보 공유 방법 및 절차
위험 기록

리스크는 정보 자산에 손해를 입히거나 자산을 잃게 하는 나쁜 일이 발생할 가능성을 의미한다.^[83] 취약성은 정보 자산을 위험에 빠뜨리거나 손상시킬 수 있는 약점이며, 위협은 인위적이든 자연적이든 손해를 야기할 가능성이 있는 모든 것을 의미한다.^[84] 위협이 취약성을 이용하여 피해를 입힐 가능성이 리스크를 만들고, 실제로 피해를 입히면 영향을 미치게 된다.^[85] 정보 보안에서 영향은 가용성, 무결성, 기밀성의 손실 및 기타 손실(소득, 생명, 부동산 손실 등)을 포함할 수 있다.^[86]

'''리스크 관리'''는 인증 정보 시스템 감사자(CISA) 검토 매뉴얼 2006에서 다음과 같이 정의된다. "조직이 사업 목표를 달성하는 데 사용하는 정보 자원에 대한 취약성과 위협을 식별하고, 정보 자원의 조직적 가치를 기반으로 수용 가능한 수준으로 리스크를 줄이기 위해 어떤 대책을 취할지 결정하는 과정".^[87]

이 정의에서 두 가지를 명확히 해야 한다. 첫째, 리스크 관리 ''과정''은 지속적이고 반복적인 프로세스이다. 비즈니스 환경은 끊임없이 변화하며, 매일 새로운 위협과 취약성이 등장하기 때문이다.^[88] 둘째, 리스크 관리에 사용되는 대책(보안 통제)은 생산성, 비용, 대책의 효과, 그리고 보호되는 정보 자산의 가치 사이의 균형을 맞춰야 한다.^[89] 보안 위반은 드물게 발생하고, 쉽게 복제할 수 없는 특정 상황에서 발생하기 때문에 이러한 과정에는 한계가 있다.^[90] 따라서 모든 프로세스와 대책은 그 자체로 취약성에 대해 평가되어야 한다.^[91] 모든 리스크를 식별하거나 제거하는 것은 불가능하며, 남아 있는 리스크를 "잔여 리스크"라고 한다.^[92]

리스크 평가는 비즈니스의 특정 영역에 대한 지식을 갖춘 사람들로 구성된 팀이 수행한다.^[93] 팀 구성원은 비즈니스의 다른 부분이 평가됨에 따라 시간이 지남에 따라 달라질 수 있다.^[94] 평가는 정보에 입각한 의견을 바탕으로 주관적인 정성적 분석을 사용하거나, 신뢰할 수 있는 금액과 과거 정보를 사용할 수 있는 경우 정량적 분석을 사용할 수 있다.

연구에 따르면 대부분의 정보 시스템에서 가장 취약한 지점은 사람 사용자, 운영자, 설계자 또는 기타 사람이다.^[95] ISO/IEC 27002:2005 정보 보안 관리 관행 코드는 리스크 평가 중에 다음 사항을 검토할 것을 권장한다.

보안 정책
정보 보안 조직
자산 관리
인적 자원 보안
물리적 및 환경 보안
통신 및 운영 관리
접근 제어
정보 시스템 취득, 개발 및 유지 관리
정보 보안 사건 관리
비즈니스 연속성 관리
규정 준수

넓은 의미에서 리스크 관리 프로세스는 다음과 같이 구성된다.^[96]^[97]

단계	설명
자산 식별 및 가치 추정	사람, 건물, 하드웨어, 소프트웨어, 데이터(전자, 인쇄, 기타), 용품 등을 포함한다.^[98]
위협 평가 실시	자연재해, 전쟁, 사고, 조직 내부 또는 외부에서 발생하는 악의적인 행위 등을 포함한다.^[99]
취약성 평가 실시	각 취약성에 대해 악용될 확률을 계산한다. 정책, 절차, 표준, 교육, 물리적 보안, 품질 관리, 기술 보안 등을 평가한다.^[100]
각 위협이 각 자산에 미치는 영향 계산	정성적 분석 또는 정량적 분석을 사용한다.^[101]
적절한 통제 식별, 선택 및 구현	비례적인 대응을 제공한다. 생산성, 비용 효율성 및 자산 가치를 고려한다.^[102]
통제 조치의 효과 평가	통제가 눈에 띄는 생산성 손실 없이 필요한 비용 효율적인 보호를 제공하는지 확인한다.^[103]

주어진 리스크에 대해 관리자는 자산의 상대적으로 낮은 가치, 발생 빈도의 상대적으로 낮은 빈도 및 비즈니스에 대한 상대적으로 낮은 영향을 고려하여 리스크를 수용할 수 있다.^[104] 또는 경영진은 적절한 통제 조치를 선택하고 구현하여 리스크를 줄일 수 있다. 어떤 경우에는 보험에 가입하거나 다른 사업체에 아웃소싱함으로써 리스크를 다른 사업체로 이전할 수도 있다.^[105] 일부 리스크의 현실성은 논쟁의 여지가 있을 수 있으며, 이 경우 경영진은 리스크를 부인할 수 있다.^[106]

정보보안과 관련하여 사용되는 주요 용어는 다음과 같다:

위험 (risk): 어떠한 손실을 발생시키는 상황이나 상황에 대한 가능성. 위험 분석을 위험 분석이라고 한다.
취약성 (vulnerability): 위험을 발생시키는 원인.
위협 (threat): 취약성을 이용(exploit)하여 위험을 현실화시키는 수단. 자연재해도 포함된다.
사건 (incident): 발생 가능성이 높은 위협.
대응책 (countermeasure): 위협이 위험을 현실화하는 것을 억제(최소화)하려는 수단. 대책이라고도 한다.

JIS Q 27001에서는 이들을 다음과 같이 정의하고 있다. (ISO/IEC 27001의 정의를 번역)

위험 (risk): 사건의 발생 확률과 사건의 결과의 조합.
취약성 (vulnerability): 하나 이상의 위협이 이용할 수 있는 자산 또는 자산 그룹이 가지는 약점.
위협 (threat): 시스템 또는 조직에 손해를 줄 수 있는 사건의 잠재적 원인.
정보보안 사건 (information security incident): 원하지 않거나 예기치 못한 단독 또는 일련의 정보보안 사건으로서, 사업 운영을 위태롭게 할 확률 및 정보보안을 위협할 확률이 높은 것.
정보보안 사건 (information security event): 시스템, 서비스 또는 네트워크에서 특정 상태의 발생. 특정 상태란 정보보안 기본 방침 위반 또는 관리 대책의 결함 가능성, 또는 보안과 관련이 있을지도 모르는 미지의 상황을 나타내는 것을 말한다.

9. 접근 제어

접근 제어는 인가된 접근을 허용하고 비인가된 접근 시도를 차단하는 것을 의미한다.^[127] 보호된 정보에 대한 접근은 해당 정보에 접근할 권한이 있는 사람, 정보를 처리하는 컴퓨터 프로그램, 그리고 컴퓨터 자체로 제한되어야 한다.^[128] 이를 위해 접근 제어 메커니즘이 필요하며, 정보의 가치와 민감도에 따라 제어 메커니즘의 강도가 결정된다.^[129]

접근 제어는 식별, 인증, 권한 부여의 세 단계로 구성된다.^[131]^[58] 각 단계에 대한 자세한 내용은 하위 섹션을 참조하면 된다.

9. 1. 식별 (Identification)

식별은 누군가 또는 무엇인가가 무엇인지 주장하는 행위이다. 어떤 사람이 "안녕하세요, 제 이름은 존 도(John Doe)입니다"라고 말하면 자신이 누구인지 주장하는 것이다.^[132] 하지만, 그 주장이 사실일 수도 있고 아닐 수도 있다. 존 도가 보호된 정보에 접근하기 전에, 존 도라고 주장하는 사람이 실제로 존 도인지 확인하는 것이 필요하다.^[133] 일반적으로 이러한 주장은 사용자 이름(username)의 형태를 취한다. 사용자 이름을 입력함으로써 "나는 그 사용자 이름에 해당하는 사람이다"라고 주장하는 것이다.^[134]

9. 2. 인증 (Authentication)

인증(Authentication)은 신원을 확인하는 행위이다.^[135] 예를 들어 존 도우(John Doe)라는 사람이 은행에서 돈을 찾으려면, 은행 직원에게 자신이 존 도우라고 말한다. 이것은 신원을 주장하는 것이다.^[135] 은행 직원은 사진이 있는 신분증을 요구하고, 존 도우는 운전면허증을 제시한다.^[136] 은행 직원은 면허증의 이름과 사진을 확인하여 존 도우가 정말로 자신이 주장하는 사람인지 확인한다.^[137] 마찬가지로, 올바른 비밀번호를 입력하면 사용자는 자신이 해당 사용자 이름의 소유자임을 증명하는 것이다.^[138]

인증에는 세 가지 유형의 정보를 사용할 수 있다.^[139]^[140]

알고 있는 정보: 비밀번호, PIN, 어머니의 옛 성 등^[141]^[142]
소지하고 있는 정보: 운전면허증, 마그네틱 카드 등^[143]^[144]
본인의 생체 정보: 생체 인식 (예: 손바닥 정맥 인식, 지문 인식, 음성 인식, 망막 스캔)^[145]

강력한 인증은 두 가지 이상의 인증 정보 유형을 요구하는 이중 인증을 필요로 한다.^[146] 오늘날 컴퓨터 시스템에서 가장 일반적인 식별 방법은 사용자 이름이며, 가장 일반적인 인증 방법은 비밀번호이다.^[147] 그러나 사용자 이름과 비밀번호는 점점 더 정교한 인증 메커니즘(예: 시간 기반 일회용 비밀번호)으로 대체되거나 보완되고 있다.^[148]^[149]

9. 3. 권한 부여 (Authorization)

사람, 프로그램 또는 컴퓨터가 식별 및 인증을 성공적으로 마치면, 해당 주체가 접근할 수 있는 정보 자원과 수행할 수 있는 작업(실행, 보기, 생성, 삭제, 변경)이 결정되어야 한다.^[150] 이를 권한 부여라고 한다. 정보 및 기타 컴퓨팅 서비스에 대한 권한 부여는 관리 정책 및 절차에서 시작된다.^[151] 정책은 누가, 어떤 조건에서, 어떤 정보와 컴퓨팅 서비스에 접근할 수 있는지를 규정한다. 그리고 접근 제어 메커니즘을 구성하여 이러한 정책을 시행한다.^[152] 서로 다른 컴퓨팅 시스템에는 다양한 종류의 접근 제어 메커니즘이 있으며, 어떤 시스템은 여러 가지 접근 제어 메커니즘을 선택할 수도 있다.^[153] 시스템이 제공하는 접근 제어 메커니즘은 세 가지 접근 제어 방식 중 하나를 기반으로 하거나 세 가지 방식의 조합에서 파생될 수 있다.^[58]

비재량적 접근 방식은 모든 접근 제어를 중앙 집중식 관리 아래에 통합한다.^[154] 정보 및 기타 자원에 대한 접근은 일반적으로 조직 내 개인의 직무(역할) 또는 개인이 수행해야 하는 작업을 기반으로 한다.^[155]^[156] 재량적 접근 방식은 정보 자원의 생성자 또는 소유자에게 해당 자원에 대한 접근을 제어할 수 있는 권한을 부여한다.^[154] 강제적 접근 제어 방식에서는 정보 자원에 할당된 보안 분류를 기반으로 접근 권한이 부여되거나 거부된다.^[127]

오늘날 사용되는 일반적인 접근 제어 메커니즘의 예로는, 많은 고급 데이터베이스 관리 시스템에서 사용 가능한 역할 기반 접근 제어, UNIX 및 Windows 운영 체제에서 제공되는 간단한 파일 권한,^[157] Windows 네트워크 시스템에서 제공되는 그룹 정책 개체, 그리고 커버로스, RADIUS, TACACS 및 많은 방화벽과 라우터에서 사용되는 간단한 접근 목록이 있다.^[158]

효과적이려면 정책 및 기타 보안 제어는 시행 가능하고 준수되어야 한다. 효과적인 정책은 사람들이 자신의 행동에 대해 책임을 지도록 한다.^[159] 예를 들어, 미국 재무부의 중요하거나 독점적인 정보를 처리하는 시스템에 대한 지침에는 모든 실패 및 성공적인 인증 및 접근 시도를 기록해야 하며, 모든 정보에 대한 접근은 일종의 감사 추적을 남겨야 한다고 명시되어 있다.^[160]

또한 접근 제어에 대해 이야기할 때 필요-알권리 원칙이 적용되어야 한다. 이 원칙은 직무 수행을 위해 사람에게 접근 권한을 부여한다.^[161] 이 원칙은 정부에서 다른 보안 등급을 다룰 때 사용된다.^[162] 서로 다른 부서에 있는 두 직원이 모두 최고 기밀 보안 등급을 가지고 있더라도 정보를 교환하려면 필요-알권리가 있어야 한다. 필요-알권리 원칙 내에서 네트워크 관리자는 직원이 해야 하는 것 이상에 접근하지 못하도록 최소한의 권한을 부여한다.^[163] 필요-알권리는 기밀성-무결성-가용성 삼위일체를 시행하는 데 도움이 된다. 필요-알권리는 삼위일체의 기밀성 영역에 직접적인 영향을 미친다.^[164]

10. 심층 방어 (Defense in Depth)

심층 방어(Defense in depth)는 하나의 보안 요소가 실패하더라도 전체 시스템의 보안을 유지하기 위해 여러 겹의 보안 계층을 사용하는 전략이다. 이는 단일 보안 조치에 의존하지 않고, 클라우드 및 네트워크 엔드포인트 등 다양한 영역에서 다층적인 보안 제어를 결합하는 방식이다. 방화벽, 침입 탐지 시스템, 이메일 필터링, 바이러스 백신 소프트웨어, 클라우드 기반 보안 및 기존 네트워크 방어 체계 등이 이러한 보안 제어에 해당한다.^[112]

심층 방어는 관리, 논리, 물리적 제어라는 세 가지 계층을 통해 구현될 수 있다.^[113] 또는 데이터, 사람, 네트워크 보안, 호스트 기반 보안, 애플리케이션 보안 계층으로 구성된 양파 모델로 시각화할 수도 있다.^[114] 이 전략은 기술뿐만 아니라 사람과 프로세스의 유기적인 협력을 강조하며, 실시간 모니터링 및 대응을 중요하게 다룬다.^[112]

11. 법률 및 규정

녹색: 보호 및 안전장치
빨강: 만연한 감시 사회]]

다음은 전 세계 여러 지역의 정부 법률 및 규정 중 데이터 처리 및 정보 보안에 상당한 영향을 미치거나, 미쳤거나, 미칠 것으로 예상되는 일부 목록이다.^[268]^[269] 정보 보안에 상당한 영향을 미치는 중요한 산업 부문 규정도 포함되어 있다.^[268]

영국:
1998년 데이터 보호법은 개인 관련 정보 처리(정보의 입수, 보유, 사용 또는 공개 포함) 규제에 대한 새로운 규정을 마련한다.^[270]^[271]
컴퓨터 남용법(Computer Misuse Act) 1990은 컴퓨터 범죄(예: 해킹)를 형사 범죄로 규정하는 영국 의회의 법률이다.^[274] 이 법은 캐나다^[275]와 아일랜드를 포함한 다른 여러 국가^[276]^[277]가 이후 자체 정보 보안법을 제정할 때 영감을 얻은 모델이 되었다.
EU:
유럽 연합 데이터 보호 지침(EUDPD)은 모든 EU 회원국이 EU 전역 시민의 데이터 프라이버시 보호를 표준화하기 위한 국가 규정을 채택하도록 요구한다.^[272]^[273]
데이터 보존 지침(Data Retention Directive)(폐지됨)은 인터넷 서비스 제공업체와 통신 회사가 발송된 모든 전자 메시지와 발신된 모든 전화 통화에 대한 데이터를 6개월에서 2년 동안 보관하도록 요구했다.^[278]
미국:
가족 교육 권리 및 프라이버시법(Family Educational Rights and Privacy Act)(FERPA)은 미국 연방법으로 학생 교육 기록의 프라이버시를 보호한다.^[279] 이 법은 미국 교육부(U.S. Department of Education)의 해당 프로그램에 따라 자금을 지원받는 모든 학교에 적용된다.^[280] 일반적으로 학교는 학생 교육 기록의 정보를 공개하려면 부모 또는 자격 있는 학생의 서면 허가를 받아야 한다.^[280]^[281]^[282]
연방 금융 기관 심사 위원회(Federal Financial Institutions Examination Council)(FFIEC)의 감사관을 위한 보안 지침은 온라인 뱅킹 보안에 대한 요구 사항을 명시한다.^[283]
1996년의 건강보험 이식 및 책임법(Health Insurance Portability and Accountability Act)(HIPAA)은 전자 의료 거래에 대한 국가 표준과 제공자, 건강 보험 계획 및 고용주를 위한 국가 식별자를 채택하도록 요구한다.^[284] 또한 의료 제공자, 보험 제공자 및 고용주가 건강 데이터의 보안 및 프라이버시를 보호하도록 요구한다.^[285]
1999년의 그램-리치-블리리법(Gramm–Leach–Bliley Act)(GLBA), 즉 1999년 금융 서비스 현대화법은 금융 기관이 수집, 보유 및 처리하는 개인 금융 정보의 프라이버시와 보안을 보호한다.^[286]
서번스-옥슬리법(Sarbanes–Oxley Act) 2002년(SOX)의 404조는 상장 회사가 각 회계연도 말에 제출하는 연례 보고서에서 재무 보고에 대한 내부 통제의 효과를 평가하도록 요구한다.^[287] 최고 정보 책임자는 재무 데이터를 관리하고 보고하는 시스템의 보안, 정확성 및 신뢰성을 담당한다.^[288] 이 법은 상장 회사가 평가의 유효성을 증명하고 보고해야 하는 독립 감사인과 협력하도록 요구한다.^[289]
주 보안 위반 알림법(캘리포니아 및 기타 여러 주)은 암호화되지 않은 "개인 정보"가 손상되거나 분실되거나 도난당했을 수 있는 경우 기업, 비영리 단체 및 주 기관이 소비자에게 알리도록 요구한다.^[294]
미국 국방부(DoD)는 2004년 DoD 지침 8570을 발표하고 DoD 지침 8140으로 보완하여 모든 DoD 직원과 정보 보장 역할 및 활동에 관여하는 모든 DoD 계약 직원이 다양한 업계 정보 기술(IT) 인증을 취득하고 유지하도록 요구하여 네트워크 인프라 방어에 관여하는 모든 DoD 직원이 최소한의 IT 업계에서 인정하는 지식, 기술 및 능력(KSA)을 갖도록 한다. Andersson과 Reimers(2019)는 이러한 인증이 CompTIA의 A+ 및 Security+에서 ICS2.org의 CISSP 등에 이르기까지 다양하다고 보고한다.^[304]
캐나다:
캐나다의 PIPEDA은 특정 상황에서 수집, 사용 또는 공개되는 개인 정보를 보호함으로써 전자상거래를 지원하고 촉진한다.^[295]^[296]
그리스:
그리스의 헬레닉 통신 보안 및 프라이버시 당국(ADAE)(법률 165/2011)은 그리스에서 전자 통신 네트워크 및/또는 서비스를 제공하는 모든 회사가 고객의 기밀성을 보호하기 위해 배포해야 하는 최소 정보 보안 통제를 설정하고 설명한다.^[300] 여기에는 관리 및 기술 통제(예: 로그 기록은 2년 동안 저장해야 함)가 모두 포함된다.^[301]
그리스의 헬레닉 통신 보안 및 프라이버시 당국(ADAE)(법률 205/2013)은 그리스 통신 회사가 제공하는 서비스 및 데이터의 무결성과 가용성 보호에 중점을 둔다.^[302] 이 법은 이러한 회사 및 기타 관련 회사가 적절한 사업 연속성 계획과 중복 인프라를 구축, 배포 및 테스트하도록 강제한다.^[303]
국제:
지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)(PCI DSS)은 지불 계정 데이터 보안을 강화하기 위한 포괄적인 요구 사항을 설정한다.^[290] 이는 PCI 보안 표준 위원회의 창립 지불 브랜드(아메리칸 익스프레스(American Express), 디스커버 파이낸셜 서비스(Discover Financial Services), JCB, 마스터카드 월드와이드,^[291] 비자 인터내셔널(Visa International) 포함)가 전 세계적으로 일관된 데이터 보안 조치의 광범위한 채택을 촉진하기 위해 개발했다.^[292] PCI DSS는 보안 관리, 정책, 절차, 네트워크 아키텍처, 소프트웨어 설계 및 기타 중요한 보호 조치에 대한 요구 사항을 포함하는 다면적인 보안 표준이다.^[293]

12. 업무 연속성

업무 연속성 관리(BCM)는 사건으로 인한 조직의 중요 업무 기능 중단을 보호하거나, 최소한 그 영향을 최소화하기 위한 조치와 관련이 있다.^[252]^[253] BCM은 조직이 기술과 사업을 현재의 위협과 일치시켜 평상시 업무의 지속성을 유지하는 데 필수적이다.^[254] 모든 필수적인 업무 기능이 어떤 유형의 위협에도 대비하여 계속 운영하는 데 필요한 것을 갖추도록 조직의 위험 분석 계획에 포함되어야 한다.^[255]

여기에는 다음이 포함된다.

요구 사항 분석: 중요 업무 기능, 의존성 및 잠재적인 실패 지점, 잠재적인 위협 및 조직에 우려되는 사건 또는 위험을 식별한다.^[256]^[257]
사양: 최대 허용 중단 시간, 복구 지점 목표(최대 허용 데이터 손실 기간)를 정한다.^[258]
아키텍처 및 설계: 복원력(예: 고가용성을 위한 IT 시스템 및 프로세스 엔지니어링,^[259] 사업을 방해할 수 있는 상황 회피 또는 예방), 사고 및 비상 관리(예: 구내 대피, 비상 서비스 호출, 분류/상황^[260] 평가 및 복구 계획 적용), 복구(예: 재구축) 및 비상 관리(사용 가능한 모든 리소스를 사용하여 발생하는 모든 상황에 긍정적으로 대처하는 일반적인 기능)를 포함한 적절한 접근 방식 조합을 사용한다.^[261]
구현: 백업, 데이터 전송 등의 구성 및 예약, 중요 요소 복제 및 강화, 서비스 및 장비 공급업체와의 계약을 진행한다.
테스트: 다양한 유형, 비용 및 보증 수준의 업무 연속성 연습을 한다.^[262]
관리: 전략 정의, 목표 및 목표 설정, 작업 계획 및 지시, 자금, 인력 및 기타 리소스 할당, 다른 활동에 대한 우선 순위 지정, 팀워크, 리더십, 통제, 동기 부여 및 기타 업무 기능 및 활동과의 조정^[263](예: IT, 시설, 인적 자원, 위험 관리, 정보 위험 및 보안, 운영), 상황 모니터링, 상황 변경 시 조치 확인 및 업데이트, 지속적인 개선, 학습 및 적절한 투자를 통한 접근 방식 성숙화를 한다.
보증: 지정된 요구 사항에 대한 테스트, 주요 매개변수 측정, 분석 및 보고, 호출 시 계획대로 진행될 것이라는 더 큰 확신을 위해 추가 테스트, 검토 및 감사를 수행한다.^[264]

BCM이 사건의 발생 확률과 심각성을 모두 줄임으로써 재해 관련 위험을 최소화하는 광범위한 접근 방식을 취하는 반면, 재해 복구 계획(DRP)은 재해 발생 후 가능한 한 빨리 사업 운영을 재개하는 데 특히 중점을 둔다.^[265] 재해 발생 직후 적용되는 재해 복구 계획은 중요한 정보통신기술(ICT) 인프라를 복구하는 데 필요한 단계를 설명한다.^[266] 재해 복구 계획에는 계획 그룹 설립, 위험 평가 수행, 우선 순위 설정, 복구 전략 개발, 계획 목록 및 문서 준비, 검증 기준 및 절차 개발, 마지막으로 계획 실행이 포함된다.^[267]

13. 정보보안 문화

정보 보안 문화는 단순히 직원들의 보안 인식 수준을 넘어, 조직의 사상, 관습, 사회적 행동 등이 정보 보안에 긍정적 또는 부정적으로 영향을 미치는 방식을 의미한다.^[305] 문화적 개념은 조직의 여러 부문이 정보 보안에 대해 효과적으로 협력하거나, 오히려 효과를 저해하는 방식으로 작용할 수 있다. 직원들이 보안에 대해 생각하고 느끼는 방식과 그들이 취하는 행동은 조직의 정보 보안에 큰 영향을 미친다.

Roer & Petric (2017)은 조직 내 정보 보안 문화의 7가지 핵심 요소를 다음과 같이 제시한다.^[306]

요소	설명
태도	직원들이 조직 정보 보안과 관련된 다양한 활동에 대해 느끼는 감정과 정서.^[307]
행동	직원들의 실제 또는 의도된 활동과 위험 감수 행위로, 정보 보안에 직접적 또는 간접적으로 영향을 미친다.
인식	직원들이 정보 보안과 관련된 관행, 활동 및 자기 효능감에 대한 인식, 검증 가능한 지식 및 신념.
소통	직원들이 서로 소통하는 방식, 소속감, 보안 문제에 대한 지원, 그리고 사고 보고.
준수	조직의 보안 정책 준수, 그러한 정책의 존재에 대한 인식 및 정책 내용을 기억할 수 있는 능력.
규범	직원과 동료들이 비공식적으로 정상 또는 일탈로 간주하는 보안 관련 조직 행동 및 관행에 대한 인식 (예: 보안 행동에 대한 숨겨진 기대와 정보통신기술 사용에 대한 암묵적인 규칙).
책임	정보 및 조직의 보안을 유지하거나 위태롭게 하는 데 있어 직원들이 가지는 역할과 책임에 대한 이해.

Andersson과 Reimers (2014)는 직원들이 종종 자신을 조직 정보 보안 "노력"의 일부로 여기지 않고, 종종 조직의 정보 보안 최상의 이익을 무시하는 행동을 한다는 것을 발견했다.^[308] 연구에 따르면 정보 보안 문화는 지속적으로 개선되어야 한다. "정보 보안 문화: 분석에서 변화까지"에서 저자들은 "이는 끝없는 과정이며, 평가와 변화 또는 유지 관리의 순환이다"라고 언급했다. 정보 보안 문화를 관리하기 위해서는 사전 평가, 전략적 계획, 운영 계획, 실행 및 사후 평가의 다섯 단계를 거쳐야 한다.^[309]

사전 평가: 직원들의 정보 보안 인식 수준을 파악하고 현재의 보안 정책을 분석한다.
전략적 계획: 더 나은 인식 프로그램을 만들기 위해 명확한 목표를 설정해야 한다. 사람들을 그룹화하는 것은 이를 달성하는 데 도움이 된다.
운영 계획: 내부 소통, 경영진의 참여, 보안 인식 제고 및 교육 프로그램을 기반으로 우수한 보안 문화를 조성한다.
실행: 경영진의 헌신, 조직 구성원과의 소통, 모든 조직 구성원을 위한 교육 과정, 그리고 직원들의 헌신이 특징이어야 한다.^[309]
사후 평가: 이전 단계의 효과를 더 잘 평가하고 지속적인 개선을 위한 기반을 구축한다.

14. 관련 표준

ISO/IEC 27001과 NIST 사이버보안 프레임워크는 일반적인 정보보안 표준에 포함된다.^[15]

15. 관련 자격증

정보처리기사
정보보안기사
Certified Information Systems Security Professional|CISSP^영어
Certified Information Systems Auditor|CISA^영어

참조

_[1] 논문 Information security risks management framework – A step towards mitigating security risks in university network http://dx.doi.org/10[...] 2017-08-00
_[2] 논문 Market Reactions to Tangible and Intangible Information https://www.nber.org[...] 2006-08-00
_[3] 서적 Knowledge Potential Measurement and Uncertainty Deutscher Universitätsverlag 2004-00-00
_[4] 논문 The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security http://www.jissec.or[...] 2018-01-25
_[5] 간행물 Security policy http://dx.doi.org/10[...] CRC Press 2021-05-28
_[6] 웹사이트 The big three: Our greatest security risks and how to address them https://apps.dtic.mi[...]
_[7] 서적 Proceedings 24th Annual International Computer Software and Applications Conference. COMPSAC2000 IEEE Comput. Soc
_[8] 간행물 How the Lack of Data Standardization Impedes Data-Driven Healthcare http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-05-28
_[9] 웹사이트 Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are Crucial to Measuring Success https://www.gartner.[...] Gartner 2018-01-25
_[10] 웹사이트 Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation https://www.gartner.[...] Gartner 2018-01-25
_[11] 간행물 Accounting for Firm Heterogeneity within U.S. Industries: Extended Supply-Use Tables and Trade in Value Added using Enterprise and Establishment Level Data https://www.nber.org[...] National Bureau of Economic Research 2018-11-00
_[12] 간행물 Secure estimation subject to cyber stochastic attacks http://dx.doi.org/10[...] Elsevier 2021-05-28
_[13] 서적 Synchronization of mechanical systems World Scientific 2003-00-00
_[14] 웹사이트 9 Types of Cybersecurity Specializations https://learn.org/ar[...]
_[15] 웹사이트 ITU-T Recommendation database http://www.itu.int/I[...]
_[16] 서적 Human Rights and Internal Security in Malaysia: Rhetoric and Reality. Defense Technical Information Center 2006-03-00
_[17] 논문 Nuclear theft and sabotage threats remain high, report warns http://dx.doi.org/10[...] 2018-09-14
_[18] 서적 Information risk and security : preventing and investigating workplace computer crime Routledge 2017-03-02
_[19] 서적 CISSP Study Guide John Wiley & Sons
_[20] 서적 OECD Economic Surveys: Denmark 2009 OECD 2023-11-30
_[21] 논문 Identity Theft: The Newest Digital Attackking Industry Must Take Seriously 2007-00-00
_[22] 서적 IT-säkerhet och människan : De har världens starkaste mur men porten står alltid på glänt Umeå universitet, Institutionen för informatik 2017-00-00
_[23] 논문 Sabotage toward the Customers who Mistreated Employees Scale http://dx.doi.org/10[...] 2021-05-28
_[24] 논문 7side – Company Information, Company Formations and Property Searches http://dx.doi.org/10[...] 2008-06-00
_[25] 간행물 Working with panic attacks http://dx.doi.org/10[...] Routledge 2021-05-28
_[26] 서적 Table 7.7 France: Comparison of the profit shares of non-financial corporations and non-financial corporations plus unincorporated enterprises https://www.oecd.org[...] OECD 2023-12-01
_[27] 간행물 How Did it All Come About? Palgrave Macmillan
_[28] 논문 The Economics of Information Security Investment http://tissec.acm.or[...] 2002-11-00
_[29] 논문 Individual Trust and Consumer Risk Perception http://dx.doi.org/10[...] 2011-07-00
_[30] 논문 Creating An American Culture Of Secrecy: Cryptography In Wilson-Era Diplomacy https://doi.org/10.1[...] 2019-10-31
_[31] 간행물 Introduction : Caesar Is Dead. Long Live Caesar! http://dx.doi.org/10[...] Bloomsbury Academic 2021-05-29
_[32] 서적 Lives of the Caesars (Oxford World's Classics) Oxford University Press
_[33] 서적 The Code Book https://archive.org/[...] Anchor
_[34] 논문 Towards trusted and secure communications in a vehicular environment http://dx.doi.org/10[...] Nanyang Technological University
_[35] 서적 The Evolution of British Sigint: 1653–1939 Her Majesty's Stationery Office
_[36] 논문 Were Banks Special? Contrasting Viewpoints in Mid-Nineteenth Century Britain https://ssrn.com/abs[...] 2018-09-21
_[37] 서적 Spies, Wiretaps, and Secret Operations: An Encyclopedia of American Espionage ABC-CLIO
_[38] 서적 The Federal Anti-Trust Law Columbia University Press 1930-12-31
_[39] 웹사이트 Official Secrecy https://fas.org/irp/[...] 2008-12-30
_[40] 간행물 The Official Secrets Act 1989 which replaced section 2 of the 1911 Act Routledge 2016-06-10
_[41] 웹사이트 Official Secrets Act: what it covers; when it has been used, questioned https://indianexpres[...] 2019-03-08
_[42] 논문 "Breaking the Chains with Which We were Bound": The Interrogation Chamber, the Indian National Army and the Negation of Military Identities, 1941–1947 http://dx.doi.org/10[...] 2015-11-01
_[43] 논문 The scramble to unscramble French Indochina http://dx.doi.org/10[...] 1982-06-01
_[44] 간행물 Allied Power. Mobilizing Hydro-Electricity During Canada'S Second World War http://dx.doi.org/10[...] University of Toronto Press 2015-12-31
_[45] 간행물 Officers and Enlisted Men http://dx.doi.org/10[...] University of North Carolina Press 2011-06-15
_[46] 서적 Enigma: The Battle for the Code Orion
_[47] 서적 Thomas Merton: Twentieth-Century Wisdom for Twenty-First-Century Living http://dx.doi.org/10[...] The Lutterworth Press 2012-04-26
_[48] 보고서 Building more powerful less expensive supercomputers using Processing-In-Memory (PIM) LDRD final report http://dx.doi.org/10[...] 2009-09-01
_[49] 웹사이트 A Brief History of the Internet https://www.usg.edu/[...]
_[50] 논문 Walking through the view of Delft - on Internet http://dx.doi.org/10[...] 2001-10-01
_[51] 서적 The History of Information Security: A Comprehensive Handbook https://archive.org/[...] Elsevier
_[52] 간행물 Proceedings Companion of the 23rd Annual ACM Conference on Innovation and Technology in Computer Science Education ACM 2018-07-02
_[53] 웹사이트 The CIA Triad http://www.techrepub[...] 2008-06-30
_[54] 논문 Toward a Better Understanding of "Cybersecurity" http://dx.doi.org/10[...] 2021-06-08
_[55] 웹사이트 Engineering Principles for Information Technology Security http://csrc.nist.gov[...] csrc.nist.gov
_[56] 서적 Pattern and Security Requirements: Engineering-Based Establishment of Security Standards https://books.google[...] Springer
_[57] 간행물 International Encyclopedia of Statistical Science 2011
_[58] 서적 The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice https://books.google[...] Syngress
_[59] 논문 IS Practitioners' Views on Core Concepts of Information Integrity Elsevier
_[60] 논문 Unauthorized Occupation of Land and Unauthorized Construction: Concepts and Types of Tactical Means of Investigation 2020-01-01
_[61] 간행물 Referential Integrity for Database Design http://dx.doi.org/10[...] Auerbach Publications 2000-09-21
_[62] 논문 Model Threats and Ensure the Integrity of Information 2018-01-01
_[63] 논문 Privacy theft malware multi-process collaboration analysis 2013-02-26
_[64] 서적 Measuring Data Quality for Ongoing Improvement Elsevier 2013
_[65] 비디오 Video from SPIE - the International Society for Optics and Photonics http://dx.doi.org/10[...]
_[66] 논문 Communication Skills Used by Information Systems Graduates 2005-01-01
_[67] 보고서 Outages of electric power supply resulting from cable failures Boston Edison Company system https://www.osti.gov[...] 1980-07-01
_[68] 논문 Protection Against Denial of Service Attacks: A Survey http://staffweb.cms.[...] 2010-09-01
_[69] 간행물 Be Able To Perform a Clinical Activity Qeios 2020-02-02
_[70] 서적 2011 IEEE International Symposium on Dynamic Spectrum Access Networks (DySPAN) IEEE 2011-05-01
_[71] 논문 Information technology. Information security incident management http://dx.doi.org/10[...] BSI British Standards 2021-05-29
_[72] 서적 Identify and Align Security-Related Roles Apress 2020
_[73] 서적 Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management John Wiley & Sons
_[74] 논문 Information technology. Open systems interconnection. Security frameworks for open systems http://dx.doi.org/10[...] BSI British Standards 2021-05-29
_[75] 서적 Thus could it have been Wilhelm Fink Verlag 2014-01-01
_[76] 학술지 Use of the Walnut Digital Signature Algorithm with CBOR Object Signing and Encryption (COSE) https://www.rfc-edit[...] 2022-01-18
_[77] 서적 Structural Integrity in the Petrochemical Industry http://dx.doi.org/10[...] Elsevier 2021-05-29
_[78] 웹사이트 oecd.org https://web.archive.[...] 2014-01-17
_[79] 학술지 GSSP (Generally-Accepted system Security Principles): A trip to abilene http://dx.doi.org/10[...] 1996-01
_[80] 웹사이트 (ICS)2 Blog https://web.archive.[...] 2017-11-17
_[81] 웹사이트 Open Information Security Maturity Model http://www.ism3.com/[...] 2017-02-12
_[82] 학술지 Leading or lagging indicators of risk? The informational content of extra-financial performance scores http://dx.doi.org/10[...] 2017-01-11
_[83] 학술지 Folate has potential to cause harm http://dx.doi.org/10[...] 1995-07-22
_[84] 논문 Harm, risk, and threat http://dx.doi.org/10[...] Cambridge University Press 2021-05-29
_[85] 서적 Legal Issues in Information Security https://books.google[...] Jones & Bartlett Learning
_[86] 서적 CISA: Certified Information Systems Auditor Study Guide 2016-03-04
_[87] 서적 CISA Review Manual 2006 Information Systems Audit and Control Association
_[88] 학술지 Two-dimensional process modeling (2DPM) http://dx.doi.org/10[...] 2012-11-02
_[89] 논문 All Countermeasures Have Some Value, But No Countermeasure Is Perfect http://dx.doi.org/10[...] Springer-Verlag 2021-05-29
_[90] 학술지 Data breaches: Deloitte suffers serious hit while more details emerge about Equifax and Yahoo http://dx.doi.org/10[...] 2017-10
_[91] 학술지 The duality of Information Security Management: fighting against predictable and unpredictable threats http://eprints.luiss[...]
_[92] 학술지 Managing HSE Risk in Harsh Environment http://dx.doi.org/10[...] SPE 2009-08-04
_[93] 논문 Sold out: how Ottawa's downtown business improvement areas have secured and valorized urban space http://dx.doi.org/10[...] Carleton University
_[94] 웹사이트 Does Mutual Fund Performance Vary over the Business Cycle? http://dx.doi.org/10[...] 2012-06
_[95] 서적 Information systems security: facing the information society of the 21st century Chapman & Hall, Ltd. 1996-05-31
_[96] 서적 A Practical Introduction to Security and Risk Management SAGE Publications
_[97] 서적 Management of Information Security Cengage Learning
_[98] 논문 Hardware, Fabrics, Adhesives, and Other Theatrical Supplies http://dx.doi.org/10[...] Routledge 2021-05-29
_[99] 논문 Perceptions of Unsafe Acts http://dx.doi.org/10[...] CRC Press 2021-05-29
_[100] 논문 Information Security Procedures and Standards http://dx.doi.org/10[...] Auerbach Publications 2021-05-29
_[101] 학술지 Figure S1: Analysis of the prognostic impact of each single signature gene 2020-06-25
_[102] 학술지 CO4 Cost-Effectiveness Analysis - Appropriate for All Situations? 2012-06
_[103] 학술지 GRP canopies provide cost-effective over-door protection http://dx.doi.org/10[...] 1996-11
_[104] 웹사이트 Figure 2.3. Relative risk of being a low performer depending on personal circumstances (2012) http://dx.doi.org/10[...] 2021-05-29
_[105] 웹사이트 NIST SP 800-30 Risk Management Guide for Information Technology Systems https://csrc.nist.go[...] 2022-01-18
_[106] 서적 May I Choose? Can I Choose? Oppression and Choice Palgrave Macmillan 2024-11-11
_[107] 논문 A Guide to Selecting and Implementing Security Controls http://dx.doi.org/10[...] 1994-01-01
_[108] 논문 Guest Editor: Rajiv Agarwal: Cardiovascular Risk Profile Assessment and Medication Control Should Come First http://dx.doi.org/10[...] 2007-09-25
_[109] 서적 Guide to the Implementation and Auditing of ISMS Controls based on ISO/IEC 27001 http://dx.doi.org/10[...] BSI British Standards 2013-11-01
_[110] 서적 Security Controls Evaluation, Testing, and Assessment Handbook https://books.google[...] Syngress
_[111] 문서 Information technology. Security techniques. Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002 http://dx.doi.org/10[...] BSI British Standards 2021-05-29
_[112] 웹사이트 Schneier on Security: Security in the Cloud https://www.schneier[...]
_[113] 서적 Administrative Controls http://dx.doi.org/10[...] CRC Press 2021-05-29
_[114] 서적 Applied Network Security Monitoring Elsevier 2021-05-29
_[115] 서적 Overview Auerbach Publications 2024-11-11
_[116] 문서 Electrical protection relays. Information and requirements for all protection relays http://dx.doi.org/10[...] BSI British Standards 2021-05-29
_[117] 논문 Supplemental Information 4: List of all combined families in alphabetical order assigned in MEGAN vers. 5.11.3. 2019-02-06
_[118] 논문 A Quantitative Analysis of Classification Classes and Classified Information Resources of Directory 2006-03-31
_[119] 서적 Enterprise Information Security and Privacy Artech House
_[120] 서적 Welcome to the Information Age http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-05-29
_[121] 서적 AIHce 2006 AIHA 2024-11-01
_[122] 웹사이트 Business Model for Information Security (BMIS) https://www.isaca.or[...] ISACA 2018-01-25
_[123] 논문 Top secret/trade secret: Accessing and safeguarding restricted information http://dx.doi.org/10[...] 1987-01-01
_[124] 논문 Financial information security behavior in online banking http://journals.sage[...] 2023-01-05
_[125] 논문 Figure 7: Classification accuracy for each model for all features. 2021-02-25
_[126] 서적 Asset Classification http://dx.doi.org/10[...] Auerbach Publications 2021-06-01
_[127] 서적 Proceedings of the 6th International Conference on Security of Information and Networks ACM Press 2013-01-01
_[128] 서적 The Country of the Mind Must Also Attack http://dx.doi.org/10[...] Oxford University Press 2021-06-01
_[129] 논문 A petri-net model of access control mechanisms http://dx.doi.org/10[...] 1988-01-01
_[130] 문서 Information technology. Personal identification. ISO-compliant driving licence http://dx.doi.org/10[...] BSI British Standards 2021-06-01
_[131] 서적 Ccna security 210-260 official cert guide. Cisco press 2015-01-01
_[132] 서적 What is Assertion? http://dx.doi.org/10[...] Taylor & Francis 2021-06-01
_[133] 논문 Field Season In Illinois Begins May 2 http://dx.doi.org/10[...] 1960-01-01
_[134] 웹사이트 Username/Password Authentication for SOCKS V5 https://www.rfc-edit[...] 2022-01-18
_[135] 서적 Teller, Seller, Union Activist: Class Formation and Changing Bank Worker Identities http://dx.doi.org/10[...] Palgrave Macmillan UK 2021-06-01
_[136] 논문 Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri 2020-12-23
_[137] 백과사전 License Checks http://dx.doi.org/10[...] CQ Press 2021-06-01
_[138] 서적 He Said/She Said http://dx.doi.org/10[...] University of South Carolina Press 2021-05-29
_[139] 논문 Supplemental Information 8: Methods used to monitor different types of contact 2020-10-26
_[140] 서적 Efficiency and scalability methods for computational intellect Information Science Reference
_[141] 서적 The Insurance Superbill Must Have Your Name as the Provider http://dx.doi.org/10[...] Routledge 2021-06-01
_[142] 서적 Take Control of Your Passwords
_[143] 학술지 New smart Queensland driver license announced http://dx.doi.org/10[...] 2009-07-01
_[144] 서적 A human engineering and ergonomic evaluation of the security access panel interface. United States. Dept. of Energy 1995
_[145] 학술지 Prints charming: how fingerprints are trailblazing mainstream biometrics http://dx.doi.org/10[...] 2017-04-01
_[146] 백과사전 Encyclopedia of Cryptography and Security 2005
_[147] 웹사이트 Figure 1.5. Marriage remains the most common form of partnership among couples, 2000-07 http://dx.doi.org/10[...] 2021-06-01
_[148] 서적 Modern Concepts of Security https://books.google[...] AuthorHouse 2018-01-18
_[149] 웹사이트 One-Time Password (OTP) Pre-Authentication http://dx.doi.org/10[...] 2012-04-01
_[150] 서적 International Conference and Exhibition, Barcelona, Spain, 3-6 April 2016 Society of Exploration Geophysicists and American Association of Petroleum Geologists 2016-04-03
_[151] 서적 Authorization And Approval Program http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-06-01
_[152] 서적 What responses under what conditions? http://dx.doi.org/10[...] Policy Press 2021-06-01
_[153] 서적 2013 IEEE 7th International Conference on Software Security and Reliability IEEE 2013-06-01
_[154] 백과사전 Computer Science and Communications Dictionary 2000
_[155] 학술지 Individual Subunits of the Glutamate Transporter EAAC1 Homotrimer Function Independently of Each Other 2005-08-10
_[156] 서적 Essentials of educational psychology: big ideas to guide effective teaching Pearson 2012
_[157] 서적 2018 Dynamics of Systems, Mechanisms and Machines (Dynamics) IEEE 2018-11-01
_[158] 서적 Configuring TACACS and Extended TACACS Auerbach Publications 2002-05-15
_[159] 서적 Developing Effective Security Policies http://dx.doi.org/10[...] CRC Press 2021-06-01
_[160] 웹사이트 The Use of Audit Trails to Monitor Key Networks and Systems Should Remain Part of the Computer Security Material Weakness https://www.treasury[...] 2017-10-06
_[161] 웹사이트 fixing-canadas-access-to-medicines-regime-what-you-need-to-know-about-bill-c398 http://dx.doi.org/10[...] 2021-06-01
_[162] 학술지 Dealing with Uncertain Risks—When to Apply the Precautionary Principle http://dx.doi.org/10[...] 2006-01-01
_[163] 웹사이트 We Need to Know More About How the Government Censors Its Employees http://dx.doi.org/10[...] 2021-06-01
_[164] 서적 1001 Computer Words You Need to Know: The Ultimate Guide To The Language Of Computers Oxford University Press 2021-07-30
_[165] 서적 Elliptic Curve Cryptography http://dx.doi.org/10[...] Springer International Publishing 2021-06-01
_[166] Thesis From Someone Who Has Been There: Information Seeking in Mentoring http://dx.doi.org/10[...] iSchools 2014-03-01
_[167] 서적 Message Digests, Message Authentication Codes, and Digital Signatures http://dx.doi.org/10[...] Elsevier 2021-06-05
_[168] 웹사이트 Use of RSA Keys with SHA-256 and SHA-512 in the Secure Shell (SSH) Protocol https://www.rfc-edit[...] The RFC Series 2018-03-01
_[169] 서적 2016 IEEE International Conference on Consumer Electronics-Asia (ICCE-Asia) IEEE 2016-10-01
_[170] 학술지 How you can use the data encryption standard to encrypt your files and data bases http://dx.doi.org/10[...] 1990-05-01
_[171] 서적 Why Buy when You Can Rent? http://dx.doi.org/10[...] Springer Berlin Heidelberg 2021-06-05
_[172] 서적 What GIS Experts and Policy Professionals Need to Know about Using Marxan in Multiobjective Planning Processes http://dx.doi.org/10[...] Esri Press 2021-06-05
_[173] 백과사전 Encyclopedia of Cryptography and Security 2005
_[174] 서적 Information Security and Assurance http://dx.doi.org/10[...] Springer Berlin Heidelberg 2021-06-05
_[175] 서적 Corporate Management, Governance, and Ethics Best Practices https://books.google[...] John Wiley & Sons
_[176] 서적 All-in-one CISSP Certification Exam Guide McGraw-Hill/Osborne
_[177] 학술지 Jean-Claude Milner's Mallarmé: Nothing Has Taken Place http://dx.doi.org/10[...] 2018-09-20
_[178] 문서 The Importance of Operational Due Diligence http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2015-10-16
_[179] 학술지 Some Important Diagnostic Points the General {{sic|Pract|ioner|nolink=y}} Should Know About the Nose http://dx.doi.org/10[...] 1917-03-01
_[180] 서적 Landschappen van Maas en Peel: een toegepast historisch-geografisch onderzoek in het streekplangebied Noord- en Midden-Limburg. Eisma 1999
_[181] 학술지 Minding Previous Steps Taken http://dx.doi.org/10[...] 2017-06-22
_[182] 서적 Risk communication : a handbook for communicating environmental, safety, and health risks Wiley
_[183] 문서 Due Diligence in Cyber Activities http://dx.doi.org/10[...] Oxford University Press 2020-12-03
_[184] 웹사이트 The Duty of Care Risk Analysis Standard https://docra.org/
_[185] 문서 Evaluating crime prevention http://dx.doi.org/10[...] Cambridge University Press
_[186] 학술지 FDA considers antidepressant risks for kids http://dx.doi.org/10[...] 2004-09-15
_[187] 학술지 Protecting me from my Directive: Ensuring Appropriate Safeguards for Advance Directives in Dementia http://dx.doi.org/10[...] 2017-08-16
_[188] 문서 Preparing for Breach Litigation http://dx.doi.org/10[...] Elsevier 2016
_[189] 웹사이트 ISO 17799ISO/IEC 17799:2005(E) http://www.iso.org ISO copyright office 2005-06-15
_[190] 문서 Developing a Computer Security Incident Response Plan http://dx.doi.org/10[...] Elsevier 2016
_[191] 문서 Part 1. Incident Response Team http://dx.doi.org/10[...] Elsevier 2014
_[192] 학술지 Formal specification of information systems requirements http://dx.doi.org/10[...] 1985
_[193] 서적 Assessment of ecotoxicological risks of element leaching from pulverized coal ashes s.n. 1995
_[194] 서적 Practical Pathology Informatics Springer-Verlag
_[195] 학술지 Risks posed by climate change to the delivery of Water Framework Directive objectives in the UK http://dx.doi.org/10[...] 2006-12-01
_[196] 서적 Practical Information Security Management: A Complete Guide to Planning and Implementation Apress
_[197] 서적 Understanding human differences : multicultural education for a diverse America Pearson/Allyn & Bacon 2011
_[198] 서적 Simple Scene, Sensational Shot Routledge 2013-04-12
_[199] 학술지 Quackery: How It Can Prove Fatal Even in Apparently Simple Cases-A Case Report http://dx.doi.org/10[...] 2016
_[200] 학술지 Shared roles and responsibilities in flood risk management http://dx.doi.org/10[...] 2019-02-22
_[201] 서적 Audit Report, "Fire Protection Deficiencies at Los Alamos National Laboratory." United States. Dept. of Energy 2009
_[202] 학술지 Managing change in libraries and information services; A systems approach http://dx.doi.org/10[...] 1992-01-01
_[203] 서적 Business Process Change Management Springer Berlin Heidelberg 2003
_[204] 서적 Leading Culture Change http://dx.doi.org/10[...] 2020-07-01
_[205] 서적 Family Inc. : using business principles to maximize your family's wealth John Wiley & Sons 2016-03-22
_[206] 학술지 Some properties of sets tractable under every polynomial-time computable distribution http://dx.doi.org/10[...] 1995-08-01
_[207] 웹사이트 Figure 12.2. Share of own-account workers who generally do not have more than one client http://dx.doi.org/10[...]
_[208] 학술지 Multi-user file server for DOS LANs http://dx.doi.org/10[...] 1987-06-01
_[209] 문서 Defining Organizational Change http://dx.doi.org/10[...] Wiley-Blackwell 2011-04-19
_[210] 문서 Change Management — Key for Business Process Excellence http://dx.doi.org/10[...] Springer Berlin Heidelberg 2003
_[211] 논문 Tier 2—Advanced Help Desk—Help Desk Supervisor http://dx.doi.org/10[...] Elsevier 2021-06-05
_[212] 논문 An Application of Bayesian Networks in Automated Scoring of Computerized Simulation Tasks http://dx.doi.org/10[...] Routledge 2021-06-05
_[213] 학술지 Change, Change, Change http://dx.doi.org/10[...] 1994-06
_[214] 서적 Project Scheduling and Cost Control: Planning, Monitoring and Controlling the Baseline J. Ross Publishing
_[215] 논문 17. Innovation and Change: Can Anyone Do This? http://dx.doi.org/10[...] University of Hawaii Press 2021-06-05
_[216] 서적 Promise of a pencil : how an ordinary person can create extraordinary change Simon and Schuster 2015-02-03
_[217] 논문 Describing Within-Person Change Over Time http://dx.doi.org/10[...] Routledge 2021-06-05
_[218] 서적 Legislating bureaucratic change : the Civil Service Reform Act of 1978 State University of New York Press 1984
_[219] 학술지 Preliminary Change Request for the SNS 1.3 GeV-Compatible Ring https://www.osti.gov[...] 2022-01-18
_[220] 논문 Allocation priority management of agricultural water resources based on the theory of virtual water IEEE 2011-05
_[221] 논문 Change risks and best practices in Business Change Management Unmanaged change risk leads to problems for change management Routledge 2013-07-18
_[222] 서적 Accounting Best Practices Wiley 2016
_[223] 학술지 Successful change requires more than change management http://dx.doi.org/10[...] 2008-10-17
_[224] 논문 Planning for water resources under climate change http://dx.doi.org/10[...] Routledge 2021-06-05
_[225] 학술지 Answering the computer back http://dx.doi.org/10[...] 1967-01
_[226] 학술지 Climatic change and food production http://dx.doi.org/10[...] 1981-02
_[227] 논문 Computer Science and Communications Dictionary 2000
_[228] 논문 Editorial Advisory and Review Board http://dx.doi.org/10[...] Emerald Group Publishing Limited 2021-06-05
_[229] 논문 Where a Mirage Has Once Been, Life Must Be http://dx.doi.org/10[...] University of South Carolina Press 2021-06-05
_[230] 학술지 Two, When There Might Have Been Three 1983
_[231] 학술지 We can also make change http://dx.doi.org/10[...] 2021-06-05
_[232] SSRN 'Change Is the Law of Life. and Those Who Look only to the past or Present Are Certain to Miss the Future- John F. Kennedy' Assessing This Statement with References to Organizations in Zimbabwe Who Have Been Affected by Change. 2020-11-05
_[233] 서적 Privatisation in the UK
_[234] 학술지 More complex/realistic rheology must be implemented; Numerical convergence tests must be performed 2020-09-22
_[235] 서적 Edward C. Stone Collection
_[236] 논문 Achieve Lasting Process Improvement Elsevier 2021-06-05
_[237] 서적 Expeditie agroparken : ontwerpend onderzoek naar metropolitane landbouw en duurzame ontwikkeling s.n. 2009
_[238] 웹사이트 Figure 1.3. About 50 percent of the Going for Growth recommendations have been implemented or are in process of implementation http://dx.doi.org/10[...] 2021-06-05
_[239] 논문 Must Justice Be Done at All Costs? http://dx.doi.org/10[...] Oxford University Press 2021-06-05
_[240] 서적 Macroeconomic implications of changes in the composition of the labor force University of California, Santa Barbara
_[241] 학술지 Demand assigned multiple access systems using collision type request channels http://dx.doi.org/10[...] 1981-10
_[242] 학술지 "Certain Old and Lovely Things, Whose Signified Is Abstract, Out of Date": James Stirling and Nostalgia http://dx.doi.org/10[...] 2013
_[243] 논문 Scitepress 2016
_[244] 서적 Paradise postponed Penguin Adult 2010-04
_[245] 학술지 Concerns about SARS-CoV-2 evolution should not hold back efforts to expand vaccination 2021
_[246] 논문 Processing Data with Map Reduce http://dx.doi.org/10[...] Apress 2021-06-05
_[247] 학술지 Good study overall, but several procedures need fixing https://hess.coperni[...] 2022-01-18
_[248] 웹사이트 Peer Review Coordinating Draft. Task Analysis for Conduct Intelligence Planning (Critical Combat Function 1): As Accomplished by a Battalion Task Force https://apps.dtic.mi[...] 1996-07-00
_[249] 웹사이트 http://www.itpi.org/[...]
_[250] 웹사이트 book summary of The Visible Ops Handbook: Implementing ITIL in 4 Practical and Auditable Steps http://www.wikisumma[...] wikisummaries.org 2016-06-22
_[251] 논문 Change Control and Change Management http://dx.doi.org/10[...] HIMSS Publishing 2021-06-05
_[252] 논문 Business continuity management. Guidance on organization recovery following disruptive incidents http://dx.doi.org/10[...] BSI British Standards 2021-06-05
_[253] 서적 Development of a computerized aid to integrated land use planning (cailup) at regional level in irrigated areas : a case study for the Quan Lo Phung Hiep region in the Mekong Delta, Vietnam ITC 1996
_[254] 논문 Developing a BCM Strategy in Line with Business Strategy http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-06-05
_[255] 서적 Business Continuity Management: In Practice BCS Learning & Development Limited 2010
_[256] 논문 Identifying Potential Failure Causes http://dx.doi.org/10[...] ASM International 2021-06-05
_[257] 서적 Risks to the returns to medical innovation : the case of myriad genetics
_[258] 논문 Maximum Acceptable Outage http://dx.doi.org/10[...] SAGE Publications, Inc. 2021-06-05
_[259] 논문 Segment Design Tradeoffs http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-06-05
_[260] 서적 IEE Seminar Using ITS in Public Transport and in Emergency Services IEE 1998
_[261] 학술지 Contingency Plans and Business Recovery http://dx.doi.org/10[...] 1993-01-00
_[262] 논문 Strengthening and testing your business continuity plan http://dx.doi.org/10[...] Elsevier 2021-06-05
_[263] 논문 The 'Other' Side of Leadership Discourse: Humour and the Performance of Relational Leadership Activities http://dx.doi.org/10[...] Palgrave Macmillan UK 2021-06-05
_[264] 논문 Specified time relays for industrial use http://dx.doi.org/10[...] BSI British Standards 2021-06-05
_[265] 서적 Workplace Violence Elsevier 2021-06-05
_[266] 서적 Disaster Planning for Libraries Elsevier 2021-06-05
_[267] 웹사이트 The Disaster Recovery Plan http://www.sans.org/[...] Sans Institute 2012-02-07
_[268] 학술지 Figure 1.10. Regulations in non-manufacturing sector have significant impact on the manufacturing sector http://dx.doi.org/10[...] OECD Publishing 2021-06-05
_[269] 서적 Ahupuaʻa [electronic resource] : World Environmental and Water Resources Congress 2008, May 12-16, 2008, Honolulu, Hawaiʻi American Society of Civil Engineers 2008
_[270] 서적 Data protection [H.L.] A bill [as amended in standing committee d] intituled an act to make new provision for the regulation of the processing of information relating to individuals, including the obtaining, holding, use or disclosure of such information Proquest LLC 2007
_[271] 논문 Data protection, access to personal information and privacy protection http://dx.doi.org/10[...] Bloomsbury Professional 2021-06-05
_[272] 서적 The Data Protection Directive and Medical Research Across Europe Routledge 2021-06-05
_[273] 웹사이트 Data Protection Act 1998 http://www.legislati[...] The National Archives 2018-01-25
_[274] 서적 Criminal Law Statutes 2011-2012 Routledge 2021-06-05
_[275] 웹사이트 Which Countries Become Tax Havens? http://dx.doi.org/10[...] 2006-12-00
_[276] 웹사이트 Figure 1.14. Participation rates have risen but labour force growth has slowed in several countries http://dx.doi.org/10[...] 2021-06-05
_[277] 웹사이트 Computer Misuse Act 1990 http://www.legislati[...] The National Archives 2018-01-25
_[278] 웹사이트 Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 http://eur-lex.europ[...] European Union 2018-01-25
_[279] 서적 Higher Education Law Routledge 2021-06-05
_[280] 학술지 Alabama Schools Receive NCLB Grant To Improve Student Achievement http://dx.doi.org/10[...] 2021-06-05
_[281] 서적 China bound : a guide to academic life and work in the PRC : for the Committee on Scholarly Communication with the People's Republic of China, National Academy of Sciences, American Council of Learned Societies, Social Science Research Council National Academy Press 1987
_[282] 법규 Codified at {{UnitedStatesCode|20|1232g}}, with implementing regulations in title 34, part 99 of the [[Code of Federal Regulations]]
_[283] 웹사이트 Audit Booklet https://ithandbook.f[...] FFIEC 2018-01-25
_[284] 백과사전 Health Insurance Portability and Accountability Act (HIPAA) http://dx.doi.org/10[...] SAGE Publications, Inc. 2021-06-05
_[285] 웹사이트 Public Law 104 - 191 - Health Insurance Portability and Accountability Act of 1996 http://www.gpo.gov/f[...] U.S. Government Publishing Office 2018-01-25
_[286] 웹사이트 Public Law 106 - 102 - Gramm–Leach–Bliley Act of 1999 https://www.gpo.gov/[...] U.S. Government Publishing Office 2018-01-25
_[287] 논문 The impact of the Sarbanes-Oxley Act (SOX) on small-sized publicly traded companies and their communities http://dx.doi.org/10[...] Northeastern University Library
_[288] 논문 Educational and Professional Trends of Chief Financial Officers http://dx.doi.org/10[...] Portland State University Library
_[289] 웹사이트 Public Law 107 - 204 - Sarbanes-Oxley Act of 2002 https://www.gpo.gov/[...] U.S. Government Publishing Office 2018-01-25
_[290] 서적 Pci Dss Glossary, Abbreviations, and Acronyms http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-06-05
_[291] 서적 PCI Breakdown (Control Objectives and Associated Standards) http://dx.doi.org/10[...] John Wiley & Sons, Inc. 2021-06-05
_[292] 웹사이트 Welfare-Consistent Global Poverty Measures https://www.nber.org[...] 2017-08-00
_[293] 웹사이트 Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures - Version 3.2 https://www.pcisecur[...] Security Standards Council 2018-01-25
_[294] 웹사이트 Security Breach Notification Laws http://www.ncsl.org/[...] National Conference of State Legislatures 2018-01-25
_[295] 서적 Financial institutions answer book, 2015 : law, governance, compliance Practising Law Institute 2015-06-23
_[296] 서적 Personal Information and Data Protection http://dx.doi.org/10[...] Hart Publishing 2021-06-05
_[297] 서적 Chapter 5. An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act Queen's Printer for Canada 2000
_[298] 학술지 Comments http://dx.doi.org/10[...] 1984
_[299] 웹사이트 Personal Information Protection and Electronic Documents Act http://laws-lois.jus[...] Canadian Minister of Justice 2018-01-25
_[300] 학술지 Privacy-protected communication for location-based services http://dx.doi.org/10[...] 2011-05-11
_[301] 웹사이트 Regulation for the Assurance of Confidentiality in Electronic Communications http://www.adae.gr/f[...] Hellenic Authority for Communication Security and Privacy 2018-01-25
_[302] 서적 Security, Privacy, Ethical, and Legal Considerations http://dx.doi.org/10[...] Auerbach Publications 2021-06-05
_[303] 웹사이트 Αριθμ. απόφ. 205/2013 http://www.adae.gr/f[...] Hellenic Authority for Communication Security and Privacy 2018-01-25
_[304] 학술지 CYBER SECURITY EMPLOYMENT POLICY AND WORKPLACE DEMAND IN THE U.S. GOVERNMENT https://library.iate[...] 2019
_[305] 웹사이트 Definition of Security Culture https://securitycult[...] 2019-01-27
_[306] 서적 The 2017 Security Culture Report - In depth insights into the human factor CLTRe North America, Inc
_[307] 서적 Good Feelings http://dx.doi.org/10[...] Routledge 2018-03-21
_[308] 간행물 Post-Secondary Education Network Security: Results of Addressing the End-User Challenge 2014-03-11
_[309] 학술지 Information security culture - from analysis to change 2003-12-00
_[310] 서적 Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals IGI Global Publishing
_[311] 표준 Information technology – Security techniques – Information security management systems – Overview and vocabulary ISO/IEC
_[312] 보고서 National Information Assurance (IA) Glossary Committee on National Security Systems 2010-04-26
_[313] 웹사이트 Glossary of terms, 2008 http://www.isaca.org[...] ISACA
_[314] 서적 Information security: Protecting the global enterprise Hewlett-Packard Company
_[315] 학술지 Information security is information risk management ACM
_[316] 논문 Why we need a new definition of information security
_[317] 논문 A taxonomy for information security technologies
_[318] 논문 Threats looming beyond the perimeter http://dx.doi.org/10[...] 2004-12-00
_[319] 논문 The analysis of methods of determination of functional types of security of the information-telecommunication system from an unauthorized access 2016-12-21
_[320] 웹사이트 情報セキュリティマネジメントシステム ― 用語 https://www.kikakuru[...] 2019-01-00
_[321] 웹사이트 情報セキュリティ政策会議「政府機関の情報セキュリティ対策のための統一基準」 http://www.nisc.go.j[...]
_[322] 문서 ISO 7498-2:1989 Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture（OSI基本参照モデル－第2部：セキュリティアーキテクチャ）
_[323] 문서 OECD Guidelines for the Security of Information Systems（OECD 情報セキュリティに関するガイドライン）
_[324] 문서 ISO/IEC TR 13335-1:1996 Information technology - Security techniques - The Guidelines for the management of IT Security - Part 1: Concepts and models for IT Security（情報技術－セキュリティ技術－情報技術セキュリティ管理指針－第1部：情報技術セキュリティの概念及びモデル）
_[325] 문서 JIS Q 13335-1:2006 情報技術―セキュリティ技術―情報通信技術セキュリティマネジメント―第1部：情報通信技術セキュリティマネジメントの概念及びモデル
_[326] 웹사이트 http://www.happycamp[...]
_[327] 웹인용 DB보안의 정의 http://www.dbguide.n[...] 2019-06-05
_[328] 웹인용 암호화 https://terms.naver.[...] 한국정보통신기술협회 2019-06-05
_[329] 웹인용 [차세대 문서보안②] DRM 대체할 완벽한 기술 없다 http://www.datanet.c[...] 2019-06-05
_[330] 웹인용 네트워크 접근제어 https://terms.naver.[...] 한국정보통신기술협회 2019-06-05