정보보호 정책

문제6) A 기업의 경영진은 임직원들의 증가로 인해 정보보안의 필요성을 인식하고 정보보안 부서의 신설과 정보보안체계를 수립하고자 한다. 다음을 설명하시오.

 

가. 정보보호 정책의 개념

나. 정보보호 시점 별 보안 활동(Security Action Cycle)

다. 정보보안 전문가의 역할과 역량

 

답)

 

 

1. 정보보호 방향 결정 위한 최상위 문서, 정보보호 정책의 개념

구분	설명
개념	정보보호 활동의 목적, 전략, 목표를 설정하고 책임과 권한을 부여하기 위한 최고 경영진의 의사표현 및 문서
개념도
정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향 제시

 

2. 정보호호 시점 별 보안 활동 (Security Action Cycle) 설명

가. 정보보호 시점 별 보안 활동

조직의 정보 보호 수준을 유지 및 향상하기 위해 조직, 인력, 프로세스, 기술을 통한 예방, 탐지, 저지, 교정 활동 수행

 

나. 정보보호 시점 별 보안 활동 상세절차

단계	통제 종류	설명
사전	예방통제	문제/사고 사전에 방지 예) 암호화, IAM, DRM, 보안 정책 수립, 출입통제 등
발생 중	탐지통제	위협 탐지 및 발생 보고 예) IDS, ESM, SIEM, 모니터링, 탐지 센서, 경보 등
	저지통제	문제/사고 발생 시 위협의 통제 조치 보완 및 문제점 제거 예) DLP, USB 보안, IPS, 필터링, 경보 시스템 등
사후	교정통제	위협 영향 최소화, 근본적 조치 및 원인 파악/정정 예) 백신, NAC, BCP 수립, 백업/복구, UPS, 전력 이중화 등
MECE 방식 이용 예방, 탐지, 저지, 교정, 기술, 관리 등 전체를 누락하지 않고 구분하여 정보보호 진행

 

3. 정보보안 전문가의 역할과 역량 설명

가. 정보보안 전문가의 역할 설명

구분	역할	설명
사전	정보보안 정책 및 절차 수립/시행	보안 정책 및 절차 개발
	정보보안 관련 법률 및 규정 준수/감사	법률에 따른 정책의 적용 범위 확인
발생	정보보안 사고 예방/대응/복구	피해 최소화 및 사건 발생 방지
	정보보안 위협 및 취약점 분석/평가	취약점 분석에 따른 신속 파악 및 대응
사후	정보보안 관련 교육 및 훈련 제공/지도	보안 사건 원인 조사 및 훈련 진행
	정보보안 관련 기술 및 도구 설치/운영	재발 방지 위한 조치 및 예방 조치의 수립
조직의 정보 자산을 보호기 위해 보안 대책 마련 및 지속적인 위협 대응 필요

 

나. 정보보안 전문가의 역량 설명

구분	역할	설명
기술	정보보호 지식과 기술능력	시스템 로그 분석 및 전문지식 필요
	분석적 사고 능력	사건 분석 및 원인 규명, 보안 정책 전문지식
	창의적 사고 능력	예방 조치의 효과적인 실행 위한 능력
	리더십 능력	사건 대응 비상 대응위한 경험 필요
학습	변화와 동향 지속적 파악	진화하는 해킹 동향에 따른 예방 능력
	새로운 정보보안 기술 및 도구 습득/적용	인공지능, 빅데이터 활용 예방/탐지/복구 수행
ISMS-P 활용 기업의 위험분석을 통한 정보보호 수준 결정 및 정보보호 정책 수립 고려

 

4. 기업의 정보보안체계 수립 방안

정보보호 조직 구성에 따른 정보보안 체계 수립 및 조직의 정보 자산을 효과적으로 보호

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥