블로그   태그   위치로그   이웃로그   방명록
          
 
 
SIS (Specialist for Information Security) 정보보호전문가 자격증을 위한 블로그입니다.
BLOG main image
Specialist for Inf.. (186)
공지사항 (3)
시험일정 (4)
WWW.SIS.OR.KR (69)
필기노트 (15)
실기노트 (0)
보안이론동강 (47)
TCP IP동강 (5)
보안&해킹관련정보 (2)
정보보호용어 (10)
자료실 (10)
즐겨찾기 (13)
질문&답변 (2)
MUSIC (0)
tistory (0)
관리자자료실 (0)
휴식공간 (0)
tistory초대 (0)
린동영상 (0)
 
 
     
 
  정보보호 법률 및 윤리  +   [필기노트/정보보호론]   |  2007. 11. 15. 20:12
1. 정보보호관리 개요

지금까지 대부분의 조직에서 정보보호를 위해서 침입차단,
침입탐지 또는 바이러스 방역 등의 개별적인 보안 정책이 이루어졌으나
최근에는 통합적인 정보보호관리 분야의 중요성이 강조되면서 ESM
(Enterprise Security Management)과 같은 통합 보안 관리시스템이
등장하고 있으며, 보안관리 컨설팅 산업에 대한 수요 증가와 함께 BS7799와
같은 정보보호관리체계에 대한 중요성이 확대되고 있다.
img10.JPG

2. 정보보호관리과정


가. 정보보호관리과정 정의

정보보호관리체계 인증심사기준(정보통신망이용촉진및정보보호등에관한법률) 
제 47조에 의거, 정보통신부 고시)에서 ‘정보보호관리과정’이란
정보보호관리체계를 수립·운영하기 위하여 유지·관리하여야 할 과정이라 
정의하였다. 



나. 정보보호관리과정 단계

정보보호관리과정은 크게 '정보보호정책 수립','정보보호관리체계 범위설정',
'위험관리', '구현' 그리고 '사후관리' 5 단계 활동으로 규정된다. 
정보보호관리과정은 정보보호정책 수립, 정보보호관리체계 범위설정, 위험관리, 
구현, 그리고 사후관리의 각 단계별 관리과정의 인증을 위한 요구사항이 
지정되어 있다.


img11.JPG
 

다. 위험관리 및 위험분석 


(1) 위험관리 및 위험분석 개요
조직 내 체계적인 IT 보안관리를 위해서 가장 기본적인 것은 정보시스템의 위험을 
평가하고 그에 따른 대책을 강구하는 것으로 크게 위험 평가와 위험 관리라는 
두 과정을 통해 이루어진다.

o 위험 평가(Risk Assessment)는 조직이 보호해야 할 자산과 함께 위협과 조직이 
가진 취약성을 분석하여 위협이 주는 위험 정도가 얼마인지를 평가하는 과정이다. 


o 위험 관리(Risk Management)는 측정 및 평가된 위험을 줄이거나 제거하기 위한 
과정으로 위험을 일정 수준까지 유지,관리하는 것으로써, 종종 위험 평가가 
위험 관리 개념 내에 포함되기도 한다(위험 관리 = 위험 평가 + 위험 완화).


o 위험 분석(Risk Analysis)이란 위험 관리 부분에서 가장 중요한 역할을 하는 
부분이다. 정보시스템과 그 자산의 기밀성, 무결성 그리고 가용성에 영향을 
미칠 수 있는 다양한 위협에 대해서 정보시스템의 취약성을 인식하고,
이로 인해서 인식할 수 있는 예상손실을 분석한다.




(2) 위험관리 및 위험분석 과정 
img12.JPG

(가) 위험분석 수준 및 방법론 결정
위험 분석 방법론이란 조직 내 IT 환경의 위험을 정량적/정성적으로 측정하고 
평가하기 위한 절차 및 기술을 의미한다. 이 단계에서는 현재 조직의 정보시스템에 
적합한 위험 분석 수준과 함께 방법론을 결정한다. 


(나) 위험 분석

o 자산 분석(평가) 

자산 분석은 보호해야 할 조직의 자산을 파악·식별하고 체계적으로 분류하
여, 소유하고 있는 자산들의 가치와 중요성을 평가하는 기본 단계이다. 
자산이란 조직에서 가치를 부여한 모든 것으로 하드웨어, 소프트웨어, 
데이터베이스, 사용자 및 전산요원, 시스템 관련문서그리고 통신망 및 
관련 장비 등의 유형 자산과 함께 기업의 이미지와 생산성과 같은 무형 자산을 
포함한다. 

- 자산 조사 : 조사할 IT 자산의 범위를 설정하고, IT 자산을 식별 및 분류하여 
자산 목록을 작성하는 단계

- 자산 가치 산정 : 해당 자산이 손상되었을 때 조직이 받을 수 있는 영향을 
측정하기 위해 IT 자산의 중요도 및 가치를 평가하는 단계


o 취약성 분석(평가) 

취약성 분석은 자산 분석의 결과를 바탕으로 하여 자산이 가진 근본적인 취약성을 
확인하고 해당 취약성이 미칠 수 있는 영향을 파악하는 단계이다. 여기에서 
취약성이란 정보시스템에 손해를 끼치는 원인이 될 수 있는 조직, 절차 및 행정, 
하드웨어와 소프트웨어의 약점 등을 의미한다. 

취약성 자체가 위험이 되지는 않으며, 위협에 의해 취약성이 이용됨으로써 
위험이 발생된다.


o 위협 분석(평가) 

위협 분석은 IT 자산에 영향을 끼칠 수 있는 잠재적인 위협을 파악·식별하고 
분류하여 발생 가능성과 손실 시 심각성을 분석하는 단계로써 자산과 취약성 관계를 
파악하는 단계이다. 여기에서 위협이란 항상 일어날 수 있는 사건이나 구성 등으로 
조직의 자산에 피해를 줄 수 있는 가능성 있는 잠재적인 요소를 말한다.

- 환경적 재해 위협 : 테러, 폭풍, 홍수 등
- 인적 재해 위협 : 의도적인 위협/비의도적 위협 등


o 대응책 분석(평가) 

대응책 분석은 자산과 취약성, 위협과의 관계 분석을 통한 대응책을 파악하는 
단계이다.


(다) 위험 산출 및 평가 

위험 분석 단계에서 얻은 정보를 바탕으로 위험을 산출, 평가하는 단계로써 위험 분
석의 최종단계이다. 분석된 결과를 바탕으로 한 가상 시나리오를 적용하여 적절한 
대응책을 도출하는 과정까지 포함된다.


(라) 보안 정책 수립 

위험 분석 결과를 바탕으로 하여 조직 내 정보시스템 보안 정책 및 부문별 상세 보
안 정책을 수립하는 단계이다.


(마) 대응책 구현

도출된 대응책을 보안 정책에 따라 구현·통제하는 단계이다.


(바) 결과 평가
결과를 평가한 후 재분석할 것인지 여부를 결정하는 단계이다.

  ※ 위험 분석 자동화 도구 : 
위험 분석 시 소요되는 시간 및 비용을 줄이기 위한 도구로써, 관리자가 위험 분석 
결과를 신뢰하기 위해서는 정확한 자료의 입력이 위험분석의 정확한 결과산출의 
요인이 된다.


 

3. 정보보호관리체계


가. 정보보호관리체계 개요
디지털 사회에 접어든 오늘날 정보 기술(IT, Information Technology)은 어느 산업이
든지 불문하고 기업 경영의 근간을 이루고 있다. 정보보호는 이제 더 이상 정부기관
이나 높은 수준의 보안을 요하는 한정된 분야의 업체에서만 관심을 가지는 문제가 
아니라 모든 기관과기업체에서 반드시 짚고 가야하는 문제로 인식되고 있다. 

조직 내에서 전체적인 정보보호는 개별적인 정보보호 제품의 구현만으로 달성될 수 
없으며 정보보호 기능을 제공하는 기술과 관리적인 보호대책이 조직 내에서 
적절히 융합되어야 한다. 정보보호관리체계(ISMS, Information Security Management 
System)는 조직 고유의 IT 환경과 정보보호 정책이 적절히 융합되어 구현·운영되고 
있는 시스템을 말한다. 

 

나. 정보보호관리체계 인증
정보보호관리체계 인증은 조직이 정보보호관리체계를 제대로 운영하고 있는지 
객관적으로 평가하고 인증하기 위한 표준화된 방법이다. 

여기에서는 대표적인 정보보호관리체계 인증 시스템인 BS7799와 KISA에서 정의한 인
증 심사 방법론에 대해서 다루고자 한다. 


(1) BS7799 

o BS 7799 정의
BS 7799(British Standard 7799)는 정보보호관리체계에 대한 표준
으로, 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건별로 
해석해 놓은 규격이다. BS7799는 정보보호에 대한 인증이 필요한 조직들의 요청에 의
해 지난 1995년에 영국의 정보보호관리체계 인증 규격으로 제정되어 1999년에 
개정되었으며, 영국 이외에 호주, 브라질, 네덜란드, 뉴질랜드 그리고 노르웨이 
등에서 사용되고 있다. 1999년 10월에 ISO 표준으로 제안되어 ISO/IEC DIS 17799-1
이 되었다. 영국 정부에서는 전자정부를 향한 노력을 뒷받침하기 위하여 2001년 
3월까지 대부분의 정보시스템에 대하여 BS7799 인증을 받도록 하여 국가 핵심 정보 
기반구조를 보호하기 위한 수단으로 활용하고 있다. 

산업계에서는 정보보안이 국제시장에서 경쟁 우위를 제공하는 경영전략이 될 수 
있다고 인식하고 있으며, 유럽, 북미, 환태평양권 등 전 세계적으로 BS7799에 대한 
높은 관심을 보이고 있다. 


o BS 7799 구성 

정보보호관리는 보안위험을 식별하고 이러한 위험을 효과적으로 관리할 수 있는 대책
을 다룬다. BS7799는 기업이 고객 정보의 기밀성, 무결성 및 가용성을 보장한다는 것
을 공개적으로 확인하는데 초점을 둔다. 

BS7799는 BT, HSBC, Marks and Spencer, Shell International, Unilever 등 주요 업
체와 더불어 영국의 상무성 주관으로 "정보보호관리 실무 규칙(A Code of Practice 
for Information Security Management)"이라는 제목 하에 조직의 정보보안을 
구현하고 유지하는 책임을 지는 관리자들이 참조할 수 있는 보편적인 문서로 사용하
도록 개발되었으며, 조직의 보안 표준의 기반이 되도록 고안되었다. 

기업들이 부딪치는 대부분의 상황에 필요한 통제를 식별하기 위한 단일한 참조점을 
제공하고 중소기업은 물론 대기업까지 광범위하게 적용될 수 있도록 하여 공통적인 
정보보안관리 문서를 참조함으로써 기업들 간의 네트워킹에 있어서 상호 신뢰가 
가능하도록 한다. 물론 이 표준에서 제시하고 있는 통제들 모두가 모든 상황에 적용
될 수 있는 것은 아니며, 개별적인 환경적 또는 기술적 제약조건을 고려하여 
선택하여야 할 것이다. 따라서 이 표준은 지침과 권고 안의 성격을 가지며, BS7799
는 크게 두 부분으로 구성된다. 


제1부는 정보보호관리에 대한 표준적인 실행 지침으로 종합적인 보안 통제 목
록을 제시하며, 관리 항목은 다음 [표 1-7]과 같이 10개의 세션으로 구성된다. 


제2부는 정보보호관리체계에 대한 표준적인 명세로 ISMS의 구축, 문서화 등
을 위한 요구사항을 정의한 것이다. 




 


o BS 7799 구축 및 인증 단계

다음 (그림 1-3)은 정보보호관리체계 구축 및 인증 단계에 대해 정리한 것이다.



 

o BS7799 인증 스킴

BS7799는 ISO9000과 유사하게 운영되는 "c:cure"라는 인증 스킴이 있다. 사실 
ISO9000과 BS7799사이에는 많은 유사성이 있는데, 예를 들어 ISO9000에서의 
품질 정책과 품질관리시스템 대신에 BS7799에는 정보보안 정책과 ISMS가 존재한다. 

BS7799는 영국표준협회(BSI/DISC)에서 관리되고 있으며 BS7799 인증을 받기 위해서 
해당 정보보호관리체계는 신뢰성 있는 제 삼자인 BS7799 평가자에 의한 감사를 
받아야 한다. 평가자는 엄밀한 규칙에 의해 자격이 부여되어야 하며 평가자가 
소속된 기관은 영국인증서비스(UK Accreditation Service)의 인가를 받아야 한다.




(2) 국내 정보보호관리체계 인증제도


o 정보보호관리체계 인증제도의 정의 

정보보호관리체계 인증제도란 기업(조직 또는 사업장의 일부 또는 전체)이 수립하여 
운영하고 있는 정보보호관리체계가 일정한 인증심사기준에 적합한지 여부를 제 3자
인 인증기관이 객관적이고 독립적으로 평가하여 기준에 대한 적합성 여부를 보증해주
는 제도를 말한다. 

 

o 정보보호관리체계 인증제도의 법적 근거 

정보통신망이용촉진및정보보호등에관한법률 제47조 규정(“정보보호관리체계의 인
증”)과 시행 규칙에 의거한 것이다.

- 정보통신망이용촉진및정보보호등에관한법률 제47조 규정
·제47조 (정보보호관리체계의 인증) 
① 정보통신서비스제공자 및 정보통신서비스를 제공하기 위한 물리적 시설을 제공하
는 자는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위하여 수립·운영하고 
있는 기술적·물리적 보호조치를 포함한 종합적 관리체계(이하 〃정보보호관리체계〃
라 한다)가 당해 서비스에 적합한 지에 관하여 제52조의 규정에 의한 
한국정보보호진흥원으로부터 인증을 받을 수 있다.


- 정보통신망이용촉진및정보보호등에관한법률 시행 규칙

·제6조(정보보호관리체계의 인증) 

① 법 제47조 제1항의 규정에 의한 정보보호관리체계의 인증을 받고자 하는 자
는 별지 제2호 서식의 정보보호관리체계인증신청서에 다음 각 호의 서류를 첨부하여 
법 제52조의 규정에 의한 한국정보보호진흥원(이하 〃보호진흥원〃이라 한다)에 
제출하여야 한다. 


·제7조(인증업무지침 등) 

① 보호진흥원은 법 제47조제1항의 규정에 의한 인증업무를 공정하고 객관적으
로 수행하여야 한다. 
② 보호진흥원의 장은 정보통신부장관의 승인을 얻어 정보보호관리체계 인증업무
의 시행에 필요한 지침(이하 〃인증업무지침〃이라 한다)을 정하고 이를 공표하여야 
한다. 


·제8조(인증의 사후관리) 

보호진흥원은 정보보호관리체계의 인증을 받은 자에 대하여 인증업무지침에 따
라 재심사 그 밖의 사후관리를 실시하여야 한다.
 
·제9조(수수료) 

법 제47조제1항의 규정에 의한 정보보호관리체계의 인증의 수수료는 인증업무지
침으로 정하되, 다음 각 호의 요소를 고려하여 산정하여야 한다. 
     1.정보보호관리체계에 포함되는 종업원의 수 
     2. 정보보호관리체계에 포함되는 주요정보통신설비의 규모 
     3. 인증심사를 수행하는 직원의 자질과 수 
     4. 인증심사기간 


·제10조(인증표시 및 홍보) 

① 법 제47조제3항의 규정에 의한 인증을 나타내는 표시는 보호진흥원의 장이 정
하되, 다음 각 호의 사항이 포함되어야 한다. 
     1. 인증번호 
     2. 인증기관명 
② 정보보호관리체계의 인증을 받은 자는 법 제47조제3항의 규정에 의하여 문서
·송장·광고 등에 인증받은 내용을 홍보하는 경우에는 인증의 범위와 유효기간이 
분명하게 나타나도록 하여야 한다.

 
 

o정보보호관리체계 인증 심사 절차

다음 (그림 1-5)는 정보보호관리체계 인증업무지침에 따른 인증 심사 절차이다.

img13.JPG


다음 [표 1-8]은 각 인증 심사 절차에 대한 주요 수행 내용이다. 



 

o 정보보호관리체계 인증 심사 기준

국내 정보보호관리체계 인증 심사 기준은 한국인정원(KAB), 한국정보보호진흥원
(KISA)에서 정의한 심사 규격이 있으며 그 중 한국정보보호진흥원에서 정의한 인증 
심사 기준은 정보통신망이용촉진및정보보호등에 대한법률 제47조 규정에 의거한 
것으로 [표 1-6]의 인증 심사 요소를 참고한다.

 
  
 
   

Jun-Young's Blog is powered by Daum & tistory
 

티스토리툴바