맨위로가기

정보 보안 관리

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

정보 보안 관리는 조직의 정보 자산에 대한 위협과 취약성을 관리하고 완화하여 정보의 기밀성, 무결성, 가용성을 보장하는 체계적인 접근 방식이다. 국제표준화기구(ISO)는 정보 보안 관리 시스템(ISMS) 구축 및 운영을 위한 국제 표준인 ISO/IEC 27001을 제정했으며, ISO/IEC 27000 시리즈, ITIL, COBIT, O-ISM3 2.0 등이 정보 보안 관리 프로그램을 구현하는 데 도움이 되는 표준으로 활용된다. ISMS는 위험 관리, 정보보안 정책 수립, 구현 및 교육, 조직 체계 구축 등을 포함하며, 한국에서도 관련 인증 제도와 정책이 운영되고 있다.

더 읽어볼만한 페이지

  • 정보 관리 - 이미지 스캐너
    이미지 스캐너는 사진, 문서, 3차원 물체 등을 디지털 이미지로 변환하는 장치이며, 1860년대부터 시작되어 다양한 종류와 스캔 요소를 거쳐 발전해 왔고, 문서 처리, 이미지 편집 등 광범위한 분야에 응용된다.
  • 정보 관리 - 비즈니스 인텔리전스
    비즈니스 인텔리전스는 기업이 의사 결정을 개선하기 위해 데이터를 수집, 저장, 분석 및 공유하는 방법론, 프로세스, 아키텍처 및 기술을 의미하며, 데이터 보고, 분석, 대시보드 형태로 제공되어 성과 지표 관리, 분석, 데이터 공유 및 협업, 지식 관리 등 다양한 비즈니스 목적을 달성하는 데 활용된다.
  • 정보 기술 관리 - 전사적 자원 관리
    전사적 자원 관리(ERP)는 기업의 자원과 업무 프로세스를 통합하여 효율성을 높이는 시스템이며, 재무, 인사, 제조, 공급망 관리 등 다양한 기능을 다루고, 기업의 의사 결정, 투명성, 세계화를 지원한다.
  • 정보 기술 관리 - 고객 지원
    고객 지원은 기업이 고객의 문의, 불만, 문제 해결 요청 등에 대응하는 활동으로, 자동화와 다양한 방식을 통해 효율성을 높여 고객 만족도 및 충성도를 강화하는 데 기여한다.
  • 보안 - 금고
    금고는 현금, 귀중품, 중요 문서 등을 도난, 화재, 외부 위협으로부터 안전하게 보관하기 위한 잠금장치가 있는 견고한 상자 또는 보관 시설로, 기원전 13세기 이집트에서 기원하여 다양한 재료와 잠금 방식으로 발전해왔으며, 내화 금고, 방도 금고, 대여 금고 등 다양한 종류와 UL, EN 등의 국제적인 표준에 따른 성능 등급이 존재한다.
  • 보안 - 경비원
    경비원은 시설 및 인력을 보호하고 출입을 통제하며 순찰, 위험 감지 및 보고 등의 업무를 수행하는 직업으로, 화재, 도난, 침입 등으로부터 보호하며 방문객 안내, 배달물 접수 등의 부가적인 서비스를 제공하기도 한다.
정보 보안 관리
개요
종류경영
분야정보 보안
관련 법규정보통신망 이용촉진 및 정보보호 등에 관한 법률
개인정보 보호법
정보보호산업의 진흥에 관한 법률
상세 내용
정의조직의 정보 보안을 관리하고 유지하기 위한 체계적인 접근 방식
목적위험 관리
보안 정책 수립 및 시행
정보 자산 보호
핵심 요소기밀성
무결성
가용성
관련 표준ISO/IEC 27001
ISO/IEC 27002
관련 자격증CISSP
CISM
정보보안기사
관리 시스템
주요 단계계획 (Plan)
실행 (Do)
점검 (Check)
조치 (Act)
특징지속적인 개선을 통해 정보 보안 수준 유지 및 향상
필요성법적 규제 준수
기업의 신뢰도 향상
정보 유출 방지

2. ISO에서의 위치 및 관련 표준

국제표준화기구(ISO)는 정보보안 경영 시스템(ISMS) 구축 및 운영을 위한 국제 표준인 ISO/IEC 27001을 제정하였다. 정보 보안 관리 프로그램을 구현하고 위협과 취약성을 완화하는 데 도움이 되는 표준에는 ISO/IEC 27000 표준군, ITIL 프레임워크, COBIT 프레임워크, O-ISM3 2.0 등이 있다.

2. 1. ISO/IEC 27001

ISO/IEC 27000 표준군은 정보 보안 관리를 규율하는 가장 잘 알려진 표준 중 일부이며, 전 세계 전문가의 의견을 기반으로 정보 보안 관리 시스템(ISMS)의 구축, 구현, 배포, 모니터링, 검토, 유지, 업데이트 및 개선을 위한 최선의 요구 사항을 제시한다.[3][4]

ISMS를 규정한 ISO/IEC 27001:2013은 ISO의 다양한 경영 시스템 표준(MSS, Management System Standard) 중 하나이며[20], MSS의 공통화를 도모한 부속서 SL[21]에 따라 규격화되었다. 이를 통해 품질, 환경, IT 서비스, 사업 연속성 경영 시스템을 규정한 QMS, EMS, ITSMS, BCMS와 정합성이 확보되었다.[20]

2013년 개정 이후, 리스크 관리에 대한 국제 표준인 ISO 31000:2009 (JIS Q 31000:2010)과 정합성도 확보되었다.[20]

ISO/IEC JTC 1(정보기술)의 SC27 위원회(보안 기술 부위원회)에는 정보 보안을 위한 경영 시스템 표준 개발을 담당하는 작업 그룹이 있다. 이 그룹이 ISMS 구축 방법과 인증 기준을 심의하여 ISO/IEC 27001이 되며, 번역본이 일본 산업 규격(JIS)이 된다. SC27은 ISMS 관련 국제 표준을 여러 개 더 표준화했으며, 이들 표준을 '''ISMS 패밀리 규격'''이라고 칭한다. 패밀리 규격은 JIS Q 27000 조항 0.2에 상세히 설명되어 있다.

2. 2. ISMS 패밀리 규격

ISO/IEC 27000 시리즈는 정보보안 관리체계(ISMS) 구축, 운영, 평가, 개선 등 정보보안 관리 전반에 걸친 다양한 지침을 제공하는 표준군이다.

ISO/IEC JTC 1(정보기술)의 SC27 위원회(보안 기술 부위원회)는 정보 보안을 위한 경영 시스템 표준 개발을 담당한다. 이 위원회 산하 작업 그룹에서 ISMS 구축 방법과 인증 기준을 심의하여 국제 표준ISO/IEC 27001이 만들어졌고, 이를 번역하여 일본 산업 규격(JIS)으로도 사용한다. SC27은 ISMS 관련 국제 표준을 여러 개 더 표준화했으며, 이들을 '''ISMS 패밀리 규격'''이라고 부른다.

2. 3. 기타 관련 표준

ITIL 프레임워크, COBIT 프레임워크, O-ISM3 2.0 등은 정보보안 관리와 관련된 프레임워크 및 모델을 제공하며, ISO/IEC 27000 표준군과 함께 활용될 수 있다. ITIL은 정보 기술 인프라, 서비스 및 보안의 효과적인 관리를 위한 개념, 정책 및 모범 사례 모음이다.[13][14] ISACA에서 개발한 COBIT은 정보 보안 담당자가 정보 관리 및 거버넌스 전략을 개발하고 구현하는 동시에 부정적인 영향을 최소화하고 정보 보안 및 위험 관리를 제어할 수 있도록 돕는 프레임워크이다.[4][13][15] [https://www.ism3.com O-ISM3] 2.0은 The Open Group의 기술 중립적인 엔터프라이즈 정보 보안 모델이다.[16]

ISMS를 규정한 ISO/IEC 27001:2013은 ISO의 다양한 '''경영 시스템 표준''' (MSS Management System Standard) 중 하나이며[20], MSS의 공통화를 도모한 부속서 SL[21]에 따라 규격화되었다.

ISO/IEC JTC 1 (정보기술)의 SC27 위원회 (보안 기술 부위원회)에는 정보 보안을 위한 경영 시스템 표준 개발을 담당하는 작업 그룹이 있으며, 이 그룹은 ISMS 구축 방법과 인증 기준을 심의하여 국제 표준 ISO/IEC 27001을 만든다.

3. 용어

ISMS를 이해하는 데 필요한 용어를 해설한다.


  • '''리스크'''는 "목표에 대한 불확실성의 영향"[22]을 의미하며, '''정보 보안 리스크'''는 위협이 정보 자산의 취약성을 이용하여 조직에 손해를 입힐 가능성과 함께 발생한다.[23] ISMS에서는 정보 보안 리스크를 "정보 보안 목표에 대한 불확실성의 영향"으로 표현하기도 한다.[23]
  • '''정보 자산'''은 ISO 원문에서는 "자산"(asset)이지만, 오해를 일으키지 않도록 JIS에서는 "정보 자산"으로 표기하고 있다.[24]
  • 리스크를 일으키는 잠재적 요인을 '''리스크원'''이라고 칭하며[25], 전형적인 예로 위협과 취약성이 있다.[26]
  • '''위협''' (threat)은 "시스템 또는 조직에 손해를 입힐 가능성이 있는 바람직하지 않은 인시던트의 잠재적 원인"을 의미하며[27], 인적 위협과 환경적 위협으로, 인적 위협은 고의적 위협과 우발적 위협으로 각각 분류된다.[28]
  • '''취약성''' (vulnerability)은 하나 이상의 위협에 의해 악용될 수 있는 자산 또는 관리책의 약점을 의미한다.[29]
  • ISMS에서는 각 리스크의 규모를 '''리스크 레벨'''로 할당한다. 리스크 레벨은 리스크의 발생 가능성과 발생했을 경우의 결과로 결정된다.[73] 리스크 레벨 결정 방법으로, JIPDEC는 자산 가치, 위협, 취약성을 수치화하여, 리스크 레벨 = 자산 가치 × 위협 × 취약성으로 산출하는 방법을 예시로 제시하고 있다.
  • 경제적인 이유 등으로 인해, 알려진 모든 리스크를 제거하는 것이 현실적이지 않을 수도 있으므로, ISMS에서는 조직이 수용 가능한 리스크의 수준을 정하고, 리스크 보유하는 것을 허용하고 있다.[30][73][31]
  • '''정보보안 사고''' (information security event)는 정보보안 정책 위반, 관리상 문제 가능성, 또는 보안 관련 불확실한 상황을 나타내는 시스템, 서비스, 네트워크 상태와 관련된 사건을 말한다.[32]
  • '''정보보안 사고''' (information security incident)는 사업 운영이나 정보보안을 위협할 가능성이 높은, 원치 않거나 예상치 못한 정보보안 사건을 의미한다.[33]
  • '''정보보안 사고 관리''' (information security incident management)는 정보보안 사고를 탐지, 보고, 평가, 대응, 처리하고 교훈을 얻는 프로세스이다.[34]
  • '''정보보안 연속성''' (information security continuity)은 지속적인 정보보안 운영을 보장하기 위한 프로세스이다.[35]

3. 1. 리스크

'''리스크'''는 "목표에 대한 불확실성의 영향"[22]을 의미하며, '''정보 보안 리스크'''는 위협이 정보 자산의 취약성 또는 정보 자산 그룹의 취약성을 이용하여 조직에 손해를 입힐 가능성과 함께 발생한다.[23] ISMS에서는 정보 보안 리스크를 "정보 보안 목표에 대한 불확실성의 영향"으로 표현하기도 한다.[23]

'''정보 자산'''은 ISO 원문에서는 "자산"(asset)이지만, 오해를 일으키지 않도록 JIS에서는 "정보 자산"으로 표기하고 있다.[24]

리스크를 일으키는 잠재적 요인을 '''리스크원'''이라고 칭하며[25], 전형적인 예로 위협과 취약성이 있다.[26]

'''위협''' (threat)은 "시스템 또는 조직에 손해를 입힐 가능성이 있는 바람직하지 않은 인시던트의 잠재적 원인"을 의미하며[27], 위협은 '''인적 위협'''과 '''환경적 위협'''으로, 인적 위협은 '''고의적 위협''' (deliberate threat)과 '''우발적 위협''' (accidental threat)으로 각각 분류된다.[28]

'''취약성''' (vulnerability)은 하나 이상의 위협에 의해 악용될 수 있는 자산 또는 관리책(후술)의 약점을 의미한다.[29]

ISMS에서는 각 리스크의 규모를 '''리스크 레벨'''로 할당한다. 리스크 레벨은 리스크의 발생 가능성과 발생했을 경우의 결과로 결정된다.[73] 리스크 레벨 결정 방법으로, JIPDEC는 자산 가치, 위협, 취약성을 수치화하여, 리스크 레벨 = 자산 가치 × 위협 × 취약성으로 산출하는 방법을 예시로 제시하고 있다.

경제적인 이유 등으로 인해, 알려진 모든 리스크를 제거하는 것이 현실적이지 않을 수도 있으므로, ISMS에서는 조직이 '''수용 가능한 리스크'''의 수준을 정하고, '''리스크 보유'''하는 것을 허용하고 있다.[30][73][31]

3. 2. 정보보안 사고

'''정보보안 사고''' (information security event)는 정보보안 정책 위반, 관리상 문제 가능성, 또는 보안 관련 불확실한 상황을 나타내는 시스템, 서비스, 네트워크 상태와 관련된 사건을 말한다.[32]

'''정보보안 사고''' (information security incident)는 사업 운영이나 정보보안을 위협할 가능성이 높은, 원치 않거나 예상치 못한 정보보안 사건을 의미한다.[33]

'''정보보안 사고 관리''' (information security incident management)는 정보보안 사고를 탐지, 보고, 평가, 대응, 처리하고 교훈을 얻는 프로세스이다.[34]

'''정보보안 연속성''' (information security continuity)은 지속적인 정보보안 운영을 보장하기 위한 프로세스이다.[35]

4. ISMS 구축 및 운영

정보 보안 관리 시스템(ISMS)은 조직의 정보 보안을 보장하기 위해 정책, 절차, 목표를 만들고, 이를 실행, 전달, 평가하는 체계이다.[9] ISMS는 조직의 요구 사항, 목표, 보안 요구 사항, 규모 및 프로세스에 따라 달라지며, 위험 관리 및 완화 전략을 포함한다.[9] ISMS를 통해 조직은 정보 보안 위험을 체계적으로 관리하고 정보의 기밀성, 무결성, 가용성을 확보할 수 있다.[10] 또한, ISMS의 성공적인 구축과 운영을 위해서는 사용자 영역과 같은 인적 요소도 고려해야 한다.[8][11]

최고 경영진은 정보 보안 목표를 설정하고, ISMS를 조직 프로세스에 통합하며, 필요한 자원을 제공하는 역할을 한다.[48] 또한, ISMS의 중요성을 알리고, 성과 달성을 보장하며, 관련 지원을 수행한다.[48] 최고 경영진은 ISMS가 요구 사항에 맞는지 확인하고, 성과를 보고하는 책임과 권한을 할당해야 한다.[49]

조직 내에는 JIPDEC가 권장하는 정보 보안 위원회를 설치하여 ISMS 관련 중심 역할을 담당하게 할 수 있다.[50] 정보 보안 위원회는 위험 관리 환경 정비, ISMS 관련 문서 결정, 정책 검토 및 개정, 보안 문제 검토, ISMS 운영 평가 결과 기반 개선 등의 역할을 수행한다.[50] 정보 보안 위원회와 함께 정보 보안 책정·운용 팀, 전문가·외부 컨설턴트를 설치하여 실무 및 부서 간 조정을 담당하게 할 수 있다.[50]

최고 경영진은 정보보안 방침군을 정하여 자산의 정보 보안을 확보한다.[54] 정보보안 방침군은 조직 상황, 이해관계자 요구사항, 의존 관계 등을 고려하여 결정되며,[53] 정보보안 방침을 최상위로 하는 계층 구조를 가질 수 있다.[55][56] 정보보안 방침은 정보 보안의 정의, 목적, 원칙, 정보 보안 관리에 관한 책임, 일탈 및 예외 처리 프로세스 등을 포함하는 것이 좋다.[56] 정보보안 목적은 정보보안 방침과 일관성을 유지하고 측정 가능하며 실현 가능한 형태로 설정되어야 한다.[58]

4. 1. 실행 사항

정보 보안 관리 시스템(ISMS)을 수행하는 조직은 다음 사항을 준수해야 한다.[36][37][38][39][40][41]

  • ISMS 방침을 정하고, 요구 사항 충족 및 지속적인 개선을 약속한다.
  • ISMS 관련 계획(리스크 관리 등)을 수립한다.
  • 필요한 자원과 역량을 확보한다.
  • 수립된 계획을 운영한다.
  • ISMS 실행 성과 및 유효성을 평가한다.
  • 부적합 발생 시 시정 조치를 취하고, ISMS를 지속적으로 개선한다.


이러한 사항들을 수행하기 위해 ISMS에서는 '''프로세스 접근법'''을 사용한다.[42] 프로세스 접근법은 경영 활동을 입력(input)을 출력(output)으로 변환하는 '''프로세스'''로 간주하고, 이러한 프로세스를 체계적으로 조직에 적용·관리하는 방법이다.[42]

2005년 판 ISO/IEC 27001에서 강조되었던[43] '''PDCA 사이클'''은 2013년 판에서 크게 후퇴하여, ISMS 규격 본체인 ISO/IEC 27001:2013 (JIS Q 27001:2014)에는 PDCA 관련 기술이 없다.[46] ISO MSS 공통 기반을 제공하는 부속서 SL에서도 기존 매니지먼트 시스템 규격에서 다양한 모델이 채용되고 있다며, PDCA 사이클 등 하나의 모델 채용을 피하고 있다.[44]

부속서 SL은 PDCA 사이클 개념을 받아들이고 있으며[44][45], JIPDEC도 PDCA 사이클을 채택함으로써 ISMS 프로세스가 정리된다고 언급한다.[46]

4. 2. 조직 체계

'''최고 경영진'''은 최고위에서 조직을 지휘하고 관리하는 개인 또는 집단이다.[47] 최고 경영진은 정보 보안 목표 또는 그 틀을 제시하고, ISMS을 조직 프로세스에 통합하며 필요한 자원을 제공한다. 또한 ISMS와 관련하여 중요성을 전달하고, 성과 달성을 보증하며, 지휘 및 지원을 수행한다.[48]

최고 경영진은 ISMS가 JIS Q 27001:2014의 요구 사항에 적합함을 확인하고, ISMS의 성과를 최고 경영진에게 보고하는 책임 및 권한을 할당해야 한다.[49]

JIS Q 27001:2014는 책임과 권한을 보장하는 구체적인 조직 체제를 명시하지 않지만, JIPDEC는 ISMS와 관련하여 중심적인 역할을 담당하는 '''정보 보안 위원회'''를 조직 내에 설치할 것을 권장한다.[50] 정보 보안 위원회의 역할은 다음과 같다.[50]

  • 리스크 관리 환경 정비
  • ISMS 관련 문서 결정
  • 시책 검토와 개정
  • 발생한 보안 문제 검토
  • ISMS 운용 평가 결과에 기반한 개선 등


JIPDEC는 정보 보안 위원회에 위치하여 ISMS의 구축·운용 실무 및 부서 간의 조정을 담당하는 '''정보 보안 책정·운용 팀''', '''전문가·외부 컨설턴트'''의 설치를 권장하고 있다.[50]

4. 3. 정보보안 정책

정보보안 정책은 조직의 정보보안 목표와 원칙을 명시하고, 임직원이 준수해야 할 지침을 제공하는 문서이다.

최고 경영진은 자산의 정보 보안을 확보하기 위해 관리층의 승인 하에 '''정보보안 방침군'''을 정한다.[54] 정보보안 방침군은 조직의 상황, 이해관계자의 요구사항, 의존 관계 등을 고려하여 결정되며,[53] 정보보안 방침을 최상위 수준으로 하는 계층적 구조를 가질 수 있다.[55][56]

'''정보보안 방침'''은 정보보안 방침군의 최상위 문서로서, 다음 사항을 포함하는 것이 바람직하다.[56]

  • 정보 보안에 관한 모든 활동의 지침이 되는 정보 보안의 정의, 목적 및 원칙[56]
  • 정보 보안 관리에 관한 일반적인 책임 및 특정 책임을 정해진 역할에 할당[56]
  • 일탈 및 예외를 처리하는 프로세스[56]


JIS Q 27001:2006은 ISMS 기본 방침과 정보 보안 기본 방침이라는 상위 및 하위 개념이 있었지만, JIS Q 27001:2014에서는 이들을 정보 보안 방침으로 통합했다.[57]

'''정보보안 목적'''은 정보보안 방침과 일관성을 유지해야 하며, 측정 가능하고 실현 가능한 형태로 설정되어야 한다.[58] 조직은 관련 부문 및 계층에서 정보보안 목적을 확립해야 한다.[58]

4. 3. 1. 정보보안 정책 구성 (예시)

정보보안 정책은 조직의 특성과 필요에 따라 다양한 형태로 구성될 수 있다.

IPA에 따르면, 정보보안 정책은 일반적으로 다음 3단계의 계층 구조를 이루는 경우가 많다[59]:

단계명칭설명
1단계정보 보안 기본 방침"정보 보안의 목표와 그 목표를 달성하기 위해 기업이 취해야 할 행동을 사내외에 선언하는 것"[59]으로, "왜 보안이 필요한가", "무엇을 어디까지 지킬 것인가", "누가 책임자인가"를 명확히 한다[59].
2단계정보 보안 대책 기준기본 방침에 기재된 목적을 받아 "무엇을 실시해야 하는가"를 기술[59]하며, 정보 보안 대책을 실행하기 위한 규칙 모음[59]이다. 규정, 적용 범위, 대상자를 명확히 한다[59].
3단계정보 보안 실행 절차대책 기준으로 정한 규정을 어떻게 실시할 것인가를 기재[59]하며, 상세한 절차를 기록한 매뉴얼적인 성격을 지닌다[59].



위의 3가지 중 처음 2개, 혹은 3개 모두를 '''정보 보안 정책'''이라고 부른다.

JIPDEC[60]의 정보 보안 정책 샘플에서는 다음의 5단계 구성으로, 처음 3개를 정보 보안 정책이라고 부른다.

단계명칭설명
1단계정보 보안 기본 방침정보 보안에 대한 임하는 자세를 세상에 선언[60]
2단계정보 보안 방침ISMS의 방침을 기재한다. 체제, 역할, 책임 명기[60]
3단계정보 보안 대책 규정 (군)도입·준수해야 할 대책을 일상 수준까지 명기[60]
4단계정보 보안 대책 절차서 (군)날마다 실시해야 할 구체적인 행동을 명기[60]
5단계기록 (군)대책의 준수·운용에 따른 기록[60]


5. 위험 관리

정보 보안 관리는 자산에 대한 다양한 위협과 취약성을 관리하고 완화하며, 잠재적인 위협과 취약성에 투입되는 관리 노력을 균형 있게 유지하는 것을 의미한다.[1][5][6] 예를 들어 서버실에 운석이 충돌하는 것은 분명한 위협이지만, 정보 보안 책임자는 그러한 위협에 대비하는 데 노력을 거의 기울이지 않을 것이다. 이는 마치 사람들이 국제 종자 은행이 존재한다고 해서 세상의 종말에 대비할 필요가 없는 것과 같다.[7]

적절한 자산 식별 및 평가가 이루어진 후,[2] 이러한 자산에 대한 위험 관리 및 완화는 다음 사항을 포함한다.[5][6][8]


  • 위협: 정보 자산의 의도적이거나 우발적인 손실, 손상 또는 오용을 초래할 수 있는 원치 않는 사건
  • 취약점: 하나 이상의 위협에 의해 정보 자산 및 관련 통제가 악용될 가능성
  • 영향 및 발생 가능성: 위협 및 취약점으로 인한 정보 자산의 잠재적 손해 규모와 자산에 대한 위험의 심각성. 비용 편익 분석도 영향 평가의 일부이거나 이와 별개일 수 있음
  • 완화: 잠재적인 위협 및 취약성의 영향과 발생 가능성을 최소화하기 위한 제안된 방법


위협 또는 취약성이 식별되어 정보 자산에 충분한 영향 및 발생 가능성을 미치는 것으로 평가되면 완화 계획을 실행할 수 있다. 완화 방법은 해당 위협 또는 취약성이 위치한 7가지 정보 기술(IT) 도메인 중 무엇에 따라 크게 달라진다. 보안 정책에 대한 사용자 무관심(사용자 도메인)의 위협은 권한 없는 프로빙 및 네트워크 스캔(LAN-to-WAN 도메인)의 위협을 제한하는 데 사용되는 것과는 매우 다른 완화 계획이 필요하다.[8]

5. 1. 위험 관리의 프레임워크

위험 관리(risk management)는 위험에 대해 조직을 지휘 통제하기 위한 조정된 활동이며[62], 이를 다루는 '''위험 관리 프레임워크'''(risk management framework)는 조직 전체에 걸쳐 위험을 운영 관리하기 위한 방침, 목적, 지령, 커밋먼트 등의 기반 조직 내의 약정을 제공하는 구성 요소의 집합체를 가리킨다[63][64]. 위험 관리 프레임워크는 다음의 4단계를 순차적으로 수행한다.

  • 위험 관리 프레임워크의 설계
  • 위험 관리의 실천
  • 프레임워크의 모니터링 및 검토
  • 프레임워크의 지속적인 개선


위험 관리 프레임워크의 기반에는 위험을 운영 관리하기 위한 방침, 목적, 지령, 커밋먼트 등이 포함된다[63].

5. 2. 위험 관리 프로세스

정보 보안 관리는 자산에 대한 위협과 취약성을 관리하고, 발생 가능성을 측정하여 관리 노력을 균형 있게 유지하는 것이다.[1][5][6]

JIS Q 27001:2014에서 ISMS에서의 위험 관리는 JIS Q 31000:2010 (ISO 31000:2009) 및 JIS Q 0073:2010 (ISO Guide73:2009)과의 정합성이 도모되고 있다.[61]

'''위험 관리'''(risk management)는 위험에 대해 조직을 지휘 통제하기 위한 조정된 활동이며[62], '''위험 관리 프로세스'''는 다음의 과정을 반복하며 수행된다.

  • '''조직 상황의 확정''': 조직 안팎의 상황을 파악한다.[65]
  • '''위험 평가''': 위험을 평가한다.
  • '''위험 대응''': 위험을 수정한다.[66]
  • '''모니터링 및 검토''': 기대된 성과 수준과의 차이를 특정하고, 적절성, 타당성, 유효성을 검증한다.[67]


이 과정에서 관계자 간 필요한 '''위험 커뮤니케이션'''을 적시에 수행한다.[67]

'''위험 평가'''는 다음 3가지 작업으로 구성된다.[68]

  • '''위험 식별''': 위험의 발견, 인식, 기술[69]
  • '''위험 분석'''[70]: 위험의 특성을 이해하고, 위험 수준을 이해한다.
  • '''위험 평가''': 위험 분석의 결과를 위험 기준과 비교하여, 위험의 수용 또는 허용 가능 여부를 결정[72]

5. 3. 위험 평가

위험 평가는 다음 3가지 작업으로 구성된다.[68]

  • '''위험 식별''': 위험을 발견, 인식, 기술한다.[69]
  • '''위험 분석''':[70] 위험의 특성을 이해하고, 위험 수준을 이해한다.
  • '''위험 평가''': 위험 분석 결과를 위험 기준(위험의 중대성을 평가하기 위한 지표[71])과 비교하여, 위험이 수용 또는 허용 가능한지 여부를 결정한다.[72]

5. 4. 정보보안 위험 평가

ISMS에서는 특히 '''정보보안 위험 평가'''에 관한 지침을 정하고 있다. 정보보안 위험 평가는 다음 9가지 작업으로 분류할 수 있다.[73][74]

1. 위험 평가 방법 정의

2. 위험 식별

3. 위험 분석

4. 위험 평가

5. 위험 대응

6. 관리 대책 결정

7. 적용 선언서 작성

8. 정보 보안 위험 계획서 작성

9. 잔여 위험 승인

"위험 평가 방법 정의"에서는 '''위험 기준'''을 책정하고 정보 보안 위험 평가의 일관성, 타당성, 비교 가능성을 보장하기 위한 프로세스를 정하고 문서화한다.[73] 위험 기준은 다음 두 가지를 포함해야 한다.[73]

  • 조직이 허용하는 위험 수준인[75] '''위험 수용 기준'''
  • 정보 보안 평가 기준


"위험 식별"에서는 위험과 '''위험 소유자'''를 식별해야 한다.[73] 이를 위해 자산 목록을 작성하고[76] '''자산 목록'''을 만들어,[77] 각 자산의 관리 책임자를 특정하고,[77] 각 자산의 위협과 취약성을 명확히 하는 것이 바람직하다.[78]

"위험 분석"에서는 위험 발생 가능성과 발생 시 결과를 분석하고,[73] 이에 따라 위험 레벨을 결정한다.[73]

"위험 평가"에서는 위험 분석 결과와 위험 기준을 비교하여 위험 대응 우선순위를 정한다.[73] JIPDEC에서는 위험 레벨과 위험 수용 기준을 수치화하여 비교하는 방법을 제시한다.[79]

"위험 대응"에서는 위험 수용 기준을 충족하는 위험은 수용('''위험 수용''')[80] 후 '''위험 보유'''한다. 그 외 위험은 위험 대응 선택지를 선정한다.[73] JIPDEC은 위험 대응 선택지로 '''위험 감소''',[31] '''위험 회피''', '''위험 공유''', '''위험 테이킹'''을 제시하고, 위험 공유 방법으로 아웃소싱과 보험 등을 이용하는 '''위험 금융'''을 제시한다.[81]

"관리 대책 결정"에서는 위험 대응 선택지에 따라 위험을 수정하는[82] '''관리 대책'''('''(위험) 통제''')을 결정한다.[73] 관리 대책의 구체적인 방법은 JIS Q 27001:2014 부속서 A에 있지만, 다른 관리 대책을 선택해도 된다.[83]

"적용 선언서 작성"에서는 필요한 관리 대책과 이유를 기재한[73] '''적용 선언서'''를 작성한다.

"정보 보안 위험 계획서 작성"에서는 정보 보안 위험 계획을 세운다.[73] JIPDEC는 위험 감소와 관리 대책 실행 계획을 '''정보 보안 위험 계획서'''에 정리하는 것을 권장한다.[83]

"잔여 위험 승인"에서는 정보 보안 위험 대응 계획과 수용 위험에 관하여 위험 소유자의 승인을 얻는다.[73]

5. 5. 위험 분석 방법

정보 보안 위험 관리는 자산을 식별하고 평가한 후, 위협, 취약점, 영향 및 발생 가능성, 완화 방법을 분석하여 이루어진다.[2][5][6][8]

ISO/IEC TR 13335-3(JIS TR X 0036-3:2001에 대응. 유효 기간 만료)와 이를 계승한 ISO/IEC 27005(JIS Q 27005)에서는 다음과 같은 네 가지 위험 분석 방법을 정의한다.[84][85][86][87]

  • 베이스라인 접근법: 기존의 표준이나 기준을 기반으로 점검하는 방법이다.[85][86][87]
  • 비형식적 접근법: 숙련자의 지식이나 경험에 의존하는 접근법이다.[85][86][87]
  • 상세 위험 분석: 정보 자산별로 자산 가치, 위협, 보안 요건을 식별하여 평가하는 기법이다.[85][86][87]
  • 조합 접근법: 위에 언급된 방법들을 복합적으로 조합한 것이다.[85][86]

6. 정보보안 관리의 구현 및 교육 전략

효과적인 정보보안 관리를 위해서는 관리 전략이 필요하다.[12] 이를 위해 다음과 같은 사항들을 고려해야 한다.


  • 최고위 경영진은 정보 보안 담당자에게 완전하고 효과적인 교육 프로그램을 갖추고 정보 보안 관리 시스템을 지원하는 데 필요한 자원을 제공해야 한다.
  • 정보 보안 전략 및 교육은 모든 직원이 조직의 정보 보안 계획의 긍정적인 영향을 받을 수 있도록 부서 전략에 통합되어야 한다.
  • 개인 정보 교육 및 인식 위험 평가는 조직이 보안에 대한 이해 관계자의 지식과 태도에 있어 중요한 격차를 식별하는 데 도움이 될 수 있다.
  • 정책, 절차 및 교육 자료가 관련성을 유지하도록 교육 및 인식 프로그램의 전반적인 효과를 측정하기 위한 적절한 평가 방법을 사용해야 한다.
  • 적절하게 개발, 구현, 전달 및 시행된 정책과 절차는 위험을 완화하고 위험 감소뿐만 아니라 관련 법률, 규정, 표준 및 정책을 지속적으로 준수하도록 보장한다.
  • 정보 보안 관리의 모든 측면에 대한 마일스톤 및 타임라인은 미래의 성공을 보장하는 데 도움이 된다.


위의 모든 사항에 대한 충분한 예산 고려(표준 규제, IT, 개인 정보 보호 및 보안 문제에 할당된 예산 외)가 없으면 정보 보안 관리 계획/시스템은 완전히 성공할 수 없다.[12]

6. 1. 구현 전략

효과적인 정보 보안 관리를 구현하려면 다음과 같은 관리 전략이 필요하다.[12]

  • 최고 경영진은 정보 보안 담당자에게 "완전하고 효과적인 교육 프로그램을 갖추는 데 필요한 자원을 확보할" 기회를 제공하여 정보 보안 이니셔티브를 강력하게 지원하고, 정보 보안 관리 시스템을 지원해야 한다.
  • 모든 직원이 조직의 정보 보안 계획의 긍정적인 영향을 받을 수 있도록 정보 보안 전략 및 교육은 부서 전략에 통합되어 전달되어야 한다.
  • 개인 정보 교육 및 인식 "위험 평가"는 조직이 보안에 대한 이해 관계자의 지식과 태도에 있어 중요한 격차를 식별하는 데 도움을 줄 수 있다.
  • 정책, 절차 및 교육 자료가 관련성을 유지하도록 "교육 및 인식 프로그램의 전반적인 효과를 측정"하기 위한 적절한 평가 방법을 활용해야 한다.
  • 적절하게 개발, 구현, 전달 및 시행된 정책과 절차는 "위험을 완화하고 위험 감소뿐만 아니라 관련 법률, 규정, 표준 및 정책을 지속적으로 준수하도록 보장"한다.
  • 정보 보안 관리의 모든 측면에 대한 마일스톤 및 타임라인은 미래의 성공을 보장하는 데 도움이 된다.


위의 모든 사항에 대한 충분한 예산 고려 사항(표준 규제, IT, 개인 정보 보호 및 보안 문제에 할당된 예산 외)이 없으면 정보 보안 관리 계획/시스템은 완전히 성공할 수 없다.

6. 2. 교육 전략

최고위 경영진은 정보 보안 담당자에게 완전하고 효과적인 교육 프로그램을 갖추는 데 필요한 자원을 확보할 기회를 제공하여 정보 보안 이니셔티브를 강력하게 지원해야 한다.[12] 정보 보안 전략 및 교육은 모든 직원이 조직의 정보 보안 계획의 긍정적인 영향을 받을 수 있도록 부서 전략에 통합되어 전달되어야 한다.

개인 정보 교육 및 인식 위험 평가는 조직이 보안에 대한 이해 관계자의 지식과 태도에 있어 중요한 격차를 식별하는 데 도움이 될 수 있다.[12] 교육 및 인식 프로그램의 전반적인 효과를 측정하기 위한 적절한 평가 방법은 정책, 절차 및 교육 자료가 관련성을 유지하도록 한다.[12] 적절하게 개발, 구현, 전달 및 시행된 정책과 절차는 위험을 완화하고 위험 감소뿐만 아니라 관련 법률, 규정, 표준 및 정책을 지속적으로 준수하도록 보장한다.[12]

7. 한국 정보보안 환경 및 정책

이전 답변에서 원본 소스가 제공되지 않아 내용을 작성할 수 없다고 말씀드렸습니다. 따라서 현재 주어진 결과물은 없으며, 수정할 내용도 없습니다. 원본 소스를 제공해주시면 지시사항에 맞춰 위키텍스트를 작성하고, 필요한 경우 수정까지 완료하여 출력하겠습니다.

참조

[1] 서적 Practical Information Security Management: A Complete Guide to Planning and Implementation https://books.google[...] APress
[2] 서적 Information Security Management Handbook CRC Press
[3] 서적 Implementing the ISO/IEC 27001:2013 ISMS Standard Artech House
[4] 서적 Practical Information Security Management: A Complete Guide to Planning and Implementation https://books.google[...] APress
[5] 웹사이트 IT Security Vulnerability vs Threat vs Risk: What's the Difference? http://www.bmc.com/b[...] BMC Software, Inc 2018-06-16
[6] 서적 Practical Information Security Management: A Complete Guide to Planning and Implementation https://books.google[...] APress
[7] 간행물 Defining Information Security 2019
[8] 서적 Fundamentals of Information Systems Security Jones & Bartlett Learning
[9] 웹사이트 Information Security Management System (ISMS) Overview https://chapters.the[...] The Institute of Internal Auditors 2018-06-16
[10] 웹사이트 Need: The Need for ISMS https://www.enisa.eu[...] European Union Agency for Network and Information Security 2018-06-16
[11] 서적 Human Aspects of Information Security, Privacy, and Trust
[12] 서적 Information Security Management Handbook https://books.google[...] CRC Press
[13] 서적 Fundamentals of Information Systems Security https://books.google[...] Jones & Bartlett Learning
[14] 웹사이트 ISO 27001 vs. ITIL: Similarities and differences https://advisera.com[...] Advisera Expert Solutions Ltd 2018-06-16
[15] 웹사이트 What is COBIT? A framework for alignment and governance https://www.cio.com/[...] IDG Communications, Inc 2018-06-16
[16] 웹사이트 Open Information Security Management Maturity Model (O-ISM3), Version 2.0 https://publications[...] The Open Group 2018-06-16
[17] 문서 JIS Q 27000:2014 箇条 0.1。
[18] 문서 JIS Q 27002:2014 箇条 0.1。
[19] 문서 "[[#ISMSガイド13|ISMSガイド13]], p. 13。"
[20] 문서 "[[#ISMSガイド13|ISMSガイド13]], p. 3, 4, 10, 97。"
[21] 문서 "[[#MSS|MSS]]。"
[22] 문서 JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
[23] 문서 JIS Q 27000:2014 箇条 2.68。
[24] 문서 "[[#原田(2016)|原田(2016)]] p. 3。"
[25] 문서 JIS Q 0073:2010 箇条 3.5。
[26] 문서 "[[#ISMSガイド13|ISMSガイド13]], p. 51。"
[27] 문서 JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
[28] 문서 JIS Q 27005:2011、JIS Q 13335-1 箇条 3.3、[[#ISMSガイド13|ISMSガイド13]], p. 35。
[29] 문서 JIS Q 27000:2014 箇条 2.89。
[30] 문서 "[[#ISMSガイド13|ISMSガイド13]], p. 30。"
[31] 문서 JIS Q 27000:2014 箇条 2.79。
[32] 문서 JIS Q 27000:2014 箇条 2.35。
[33] 문서 JIS Q 27000:2014 箇条 2.36。
[34] 문서 JIS Q 27000:2014 箇条 2.37。
[35] 문서 JIS Q 27000:2014 箇条 2.34。
[36] 문서 JIS Q 27001:2014 箇条 5。
[37] 문서 JIS Q 27001:2014 箇条 6。
[38] 문서 JIS Q 27001:2014 箇条 7。
[39] 문서 JIS Q 27001:2014 箇条 8。
[40] 문서 JIS Q 27001:2014 箇条 9。
[41] 문서 JIS Q 27001:2014 箇条 10。
[42] 문서 JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、[[#ISMSガイド06|ISMSガイド06]], p. 9、[[#ISMSガイド13|ISMSガイド13]], p. 13。
[43] 문서 [[#ISMSガイド06|ISMSガイド06]], p. 7。
[44] 문서 [[#mss-faq|mss-faq]] 11. 「附属書 SL の構造において“プロセスモデル”又は“PDCA モデル”が使われていないのはなぜか」
[45] 문서 [[#MSS|MSS]] SL.5.2 注記1「有効なマネジメントシステムは、通常、意図した成果を達成するために"Plan-Do-Check-Act"のアプローチを用いた組織のプロセス管理を基盤とする」
[46] 문서 [[#ISMSガイド13|ISMSガイド13]], p. 14。
[47] 문서 JIS Q 27000:2014 箇条 2.84。
[48] 문서 JIS Q 27001:2014 箇条 5.1。
[49] 문서 JIS Q 27001:2014 箇条 5.3。
[50] 문서 [[#ISMSガイド13|ISMSガイド13]], pp. 43-44。
[51] 문서 JIS Q 27000:2014 箇条 4.1。
[52] 문서 JIS Q 27000:2014 箇条 4.2。
[53] 문서 JIS Q 27001:2014 箇条 4.2。
[54] 문서 JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。
[55] 문서 JIS Q 27001:2014 箇条 5.2。
[56] 문서 JIS Q 27002:2014 箇条 5.1。
[57] 문서 [[#ISMSガイド13|ISMSガイド13]], p. 40。
[58] 문서 JIS Q 27001:2014 箇条 6.2。
[59] 웹사이트 情報セキュリティマネジメントとPDCAサイクル「情報セキュリティポリシーの策定」 http://www.ipa.go.jp[...] IPA 2016-08-03
[60] 간행물 情報セキュリティポリシーサンプル改版(1.0版)概要 http://www.jnsa.org/[...] JIPDEC 2016-08-03
[61] 문서 [[#ISMSリスク編13|ISMSリスク編13]], p. 4。
[62] 문서 JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。
[63] 문서 JIS Q 31000:2010 箇条 2.3。
[64] 간행물 リスクマネジメント規格 http://www.ms-ins.co[...]
[65] 문서 JIS Q 31000:2010 箇条 5.3。
[66] 문서 JIS Q 31000:2010 箇条 2.25。
[67] 문서 JIS Q 31000:2010 箇条 2.28。
[68] 문서 JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。
[69] 문서 JIS Q 27000:2014 箇条 2.75。
[70] 문서 JIS Q 27000:2014 箇条 2.70。
[71] 간행물 JIS Q 27000:2014 箇条 2.73
[72] 간행물 JIS Q 27000:2014 箇条 2.74
[73] 간행물 JIS Q 27001:2014 箇条 6.1.2、6.1.3
[74] 문서 ISMSリスク編13
[75] 문서 ISMSリスク編13
[76] 문서 ISMSリスク編13
[77] 간행물 JIS Q 27002:2014 箇条 8.1.1
[78] 문서 ISMSリスク編13
[79] 문서 ISMSリスク編13
[80] 간행물 JIS Q 27000:2014 箇条 2.69
[81] 문서 ISMSリスク編13
[82] 간행물 JIS Q 27000:2014 箇条 2.16
[83] 문서 ISMSリスク編13
[84] 문서 ISMSガイド13
[85] 웹사이트 情報セキュリティマネジメントとPDCAサイクル「リスクアセスメント」 http://www.ipa.go.jp[...] IPA 2017-07-05
[86] 문서 ISMSリスク編13
[87] 웹사이트 プライバシー影響評価ガイドライン実践テキスト https://books.google[...] インプレスr&d 2017-07-05
[88] 서적 Practical Information Security Management: A Complete Guide to Planning and Implementation https://books.google[...] APress
[89] 서적 Information Security Management Handbook CRC Press
[90] 서적 Implementing the ISO/IEC 27001:2013 ISMS Standard https://books.google[...] Artech House
[91] 서적 Practical Information Security Management: A Complete Guide to Planning and Implementation https://books.google[...] APress


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com