FISMA 구현 프로젝트의 일환으로 새로운 '조직, 과업 및 정보시스템 관점의 정보보호 위험관리' 표준 발표

링 크 : http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
Posted by 김주일
Posted by 김주일
보안관리체계2011. 3. 8. 09:06
ISMS == PDCA's Cycle
조직의 정보자산을 보호하기 위해서는 수많은 정보보호활동을 정의하고 운영, 관리하여야 합니다. 이를 위해 계획(Plan), 이행(Do), 점검(Check), 보완(Act)의 지속적인 사이클 순환을 통해 정보보안 활동을 이행할 수 있습니다. 정보시스템관리 중에 일어날 수 있는 한 예를 들어 보겠습니다.

너야근과장과 오늘도대리의 정보보호 조직이 있으며, 오늘도대리는 메일정보시스템 운영 중 용량과 성능문제로 인해 신규 시스템을 도입하고자 합니다. 이에 따라 오늘도대리는 정보시스템의 용량과 성능뿐 아니라 운영체제는 무엇으로 할 것이며, 관련 취약점에 대한 패치는 어떻게 할 것인지 등 고려하여 계획을 수립할 것입니다.(Plan)
이후 계획에 준하여 오늘도대리는 시스템의 운영체제를 설치와 관련 응용프로그램들을 설치도중 일부항목을 누락하고 구축 완료를 너야근과장에게 보고하게 됩니다.(Do)
하지만 너야근과장의 꼼꼼한 눈썰미에 누락된 항목들을 발견하게 됩니다.(Check) 그리고 너야근과장 왈 

“오늘도대리, 오늘도 야간작업해서 누락된 항목 설치 완료하세요.”

결국 오늘도대리는 야근을 통해 누락된 항목들을 설치하고 너야근과장에게 보고, 과장의 재확인 후에 신규 시스템 도입을 완료하게 됩니다.(Act)

여기서 중요한 것은 너야근과장의 눈설미도 오늘도대리의 꼼꼼하지 못함도 아닙니다. PDCA 활동을 통해 취약점으로 인한 위협요소를 사전에 제거했다는 것입니다.

이런 활동은 우리 인간의 삶과 유사하다고 볼 수 있습니다. 부모님의 계획(Plan)하에  태어나 유아기, 청년시절을 거쳐 사회로 나아가 다양한 활동(Do)들을 하게 됩니다. 이후 불혹의 나이쯤 도달하였을 때 달려온 길을 한번쯤 뒤돌아보며(Check) 남은 삶을 재정립(Act)하는 것처럼 말이죠. (저희도 늦지 않았으니 남은 삶을 알차게 살아 봅시다. )



< 계획, 이행, 확인, 개선의 지속적인 순환>


앞서 살펴본 바와 같이 하나의 생명주기를 갖는 ISMS는 실질적인 이행에 앞서 계획과 계획수정을 통해 이행단계에서 발생할 수 있는 정보자산의 위협 요소를 미연에 방지하고 이행과 이행 후 이행여부를 확인 및 개선함으로써 위협요소를 효과적으로 제거, 경감할 수 있습니다.

이런 ISMS와 관련된 국내·외 관련 제도를 살펴보도록 하겠으며 아래의 문서를 참고하여 작성하였습니다.

  • 전자정부 정보보호관리체계(G-ISMS) 인증 안내서
  • 정보보호관리체계(ISMS) 인증제도 소개


Posted by 김주일
보안관리체계/뉴스2011. 3. 6. 22:22
 
웹하드나 웹메일(https)에 대한 통제도 필요할듯합니다.

참고 : http://moriper.egloos.com/3695653
Posted by 김주일
보안경영관리체계의 국제표준인 ISO/IEC 27001 부록A의 39개 통제영역과 133개의 통제 항목에 대한 세부 보안통제 실행 지침서




Posted by 김주일
보안관리체계/감사2011. 2. 24. 16:56
감사란 기본적으로 주인(principle)-대리인(agent)간 정보의 비대칭성을 최소화하기 위한 독립적인  제3자의  비판적인  검증활동을  뜻하며  도덕적  해이(moral  hazard)를  줄이기 위해 회계검사와 같은 재무적 사항뿐만 아니라 직무감찰과 같은 비재무적 사항에 대한 검증활동을 포괄한다.
즉, 감사란  “중립적 위치에 있는 제3자가 어떤 조직이나 개인이 수행하고 있거나 수행한 업무를 조사·판단하여 그 업무가 올바른 방향으로 수행되도록 통제·조정하는 일, 또는 특정  경제실체의  회계활동  및  결과에  대한  피감사인의  주장과  미리  설정된  일정기준과의 일치정도를 확인하기 위하여 이들 주장에 관한 증거를 객관적으로 수립하고 평가
하며, 그 결과를 이해관계자인 이용자에게 전달하는 체계적인 과정이다.
이러한  감사의  목적은  사후  비위적발에  중점을  두고  행하는  기능보다는  행정관리의 일환으로 행해지는 사전 지도적 기능 내지 비판적 기능에 더 많은 비중을 두고 있다.

   과거의 감사제도를 보면 우리나라에 있어서도 넓은 의미에 있어서의 감사라 부를 수 있는 제도는 오래 전부터 있었으며 그 내용은 다음과 같다(윤영일,  2003,  pp.56-57). 옛 문헌에 의하면  7세기  중엽  신라의  중앙기관의  하나로  사정부가  설치되어  백관의  불법을  규찰하는 임무를 수행했던 것이 처음 등장하는 감사제도이다. 당시 사정부에는  17인의 관원을 두었으며,
3국을 통일한 이후에는 전국  124개 주, 군에 외사정이란 감찰관과 중앙에 내사정전을 설치하였다.  고구려와  백제는  정확한  기록을  찾을  수  없으며  발해에는  중정대라는  감사기관이 있었다고 전한다.

   고려시대에는  사헌부, 사헌대라는 감찰기관을 두었고  문하부에 낭사가  있어서 국왕의 잘못을 간쟁하기도 하였다.

   조선시대에는 고려시대의 감사제도인 사헌부를 계승 발전시켜 관료의 부정, 부패를 규찰, 탄핵하여 권력남용을 막았으며 풍속과 원앙을 씻어주며 남용을 금지하는 등의 임무를 수행하였다. 또한 문하부의 낭사가 사간원으로 독립되어 국왕의 잘못을 간쟁하는 사무를 관장하였다. 사헌부와 사간원은 각각 대사헌과 대간이 있어 국왕과 관료의 잘못에 사정업무를 수행하였으며 이를 양사라 하였다. 또한 중종 때부터 왕이 수시로 밀지를 주어 암행어사를 지방에 파견하여 지방행정과 민심의 동태 등을 파악하였고 지방관의 잘잘못을 규찰하여 포상을 건의하거나  부정과 횡포를  탄핵하였다.  구한말에는  1894년  갑오경장  때  의정부의  관제를 대폭
개혁하여 사헌부를 도찰원으로 개편하였다가 다음 해에 폐지하였다. 호조를 비롯한 여러 기관에서  수행하던  회계업무는  1894년  탁지부로  일원화하여  회계심사국에서  회계감독  기능을 담당하게 하였다. 그 후  1910년 경술국치로 감사권이 정지되었다가  1919년 임시정부에 회계검사원이 설치되었고 광복 이후 이를 계승하였다.

   해방 이후 정부수립 시까지 미군정에서는 미군정장관 밑의 재무부에 회계검사국을 설치하여 회계검사 업무를 담당하도록 하였고,  1948년  7.17정부수립 후에는 국가의 감사를 회계검사와 직무감찰로 구분하여 회계검사는 심계원이 직무감찰은 감찰위원회에서 담당하도록 하였다.

   그  뒤  감찰위원회는  사정위원회로  변경되었다가  1962년  다시  감찰위원회로  변경된  후 1963년에 심계원과 감찰위원회를 통합하여 감사원을 설립하였다.

   다음으로 현재의 감사 제도를 보면 현재 우리나라의 감사제도는 최고 감사기구인 감사원과 행정부처  및  감사원의  감사를  받는  기관,  단체에  속해  있는  자체감사기구들로  구성되어 있다.

   감사란 위에서 살펴본 바와 같이 일반적으로  “중립적 위치에 있는 제3자가 어떤 조직이나 개인이 수행하고 있거나 수행한 업무를 조사·판단하여 그 업무가 올바른 방향으로 수행되도록 통제·조정하는 일, 또는 특정 경제실체의 회계활동 및 결과에 대한 피감사인의 주장과 미리 설정된 일정기준과의 일치정도를 확인하기 위하여 이들 주장에 관한 증거를 객관적으로 수립
하고 평가하며, 그 결과를 이해관계자인 이용자에게 전달하는 체계적인 과정”이라고 정의하고 있다(감사원,  2001). 또한 감사란 법령이나 계약 등에 의거 임명된 감사인이 어떤 조직체의 운영·활동이나 회계  등  부여된  감사범위에서 설정된  판단기준 하에  독립적으로  제반  정보·자료·기록 등을 수집·평가·확인·분석하고, 증거에 의거 입증된 조사결과를 보고, 처리하는 체계적인 처리과정이라고 정의하기도 한다.



출 처 : 2009년 사립대학 감사백서
Posted by 김주일
보안관리체계2011. 2. 23. 14:22

본 내용은  정보보호관리체계(ISMS:Information Security Management System)에 대한 내용으로 개인적인 의견을 정리한 사항임을 밝혀 드립니다.
- 콩나물 -

ISMS == Art of Security Management
 한국인터넷 진흥원에서 발간한 「KISA-G-ISMS 안내서」에서는 다음과 같이  ISMS를 정의하고 있습니다.

“조직의 정보 자산을 체계적으로 보호하고 사이버침해 위협으로부터 조직이 유기적으로 대응하기 위한 종합적인 관리체계를 의미”

 위의 정의를 해석하여 보면 조직은 정보 자산을 보호하기 위해 보안인식 교육, 위험관리, 업무연속성 계획, 컴플라이언스 등의 다양한 정보보호 활동 수행하며, 외부 온라인을 포함한 오프라인의 위협요소로 인한 만일의 사태 발생에 대응하기 위한 종합적인 관리체계를 말합니다.

 혹자는 이를 가리켜 침입차단시스템이나 백신소프트웨어 설치해서 자산을 보호할 수 있다면 이 또한 관리체계가 아니냐라는 반문을 할 수 있습니다. 하지만 조직의 중요한 정보자산을 보호하기 위해 중요한 요소로 침입차단시스템이나 백신소프트웨어와 같은 보안 제품 도입이나 정보보호 전담조직의 구축등의 활동이 포함될 수 있으나 근본적으로는 조직이 보호해야 하는 것은 중요한 자산과 보호하고자 하는 목표는 무엇이며, 이를 위해 어떻게, 어느 정도 수준에서 보호해야 하는지, 마지막으로 수립한 목표에 대한 도달 정도를 확인할 수 있는 관리체계수립이 핵심입니다. 이런 체계를 일컬어 정보보호관리체계(Information Security Management System)라 정의할 수 있습니다.

또한 보안 업무 단위별 측면에서는 부분적 일시적으로 수행하는 정보보호 관련 업무들을 정리하여 이행하기 위한 기반 마련이라 할 수 있습니다. 예를 들어 정보시스템담당자의 입장에서는 외부 위협으로부터 중요 자산인 정보시스템의 계정을 보호하기 인증을 통해 접근제어를 실시하고 있다고 가정하여 봅시다. 하지만 정보시스템의 패스워드 변경주기와 패스워드 문자열의 길이의 내부 기준이 없어 정보시스템담당자의 입장에서 관리가 용이하도록 변경주기와 기억하기 쉽고 짧은 문자열을 통해 패스워드를 설정할 수 있을 것입니다.
 이는 운영관리의 한 측면에서만 예를 든 것이며, 조직의 비즈니스 환경에 따라 다양한 보안활동들이 필요할 것입니다. 이를 위해 앞서 정의한 목표를 수립하여 보안활동을 위한 기준을 마련하고 잘 이행되고 있는지 확인하고 이행되지 않을 시 해당 문제를 파악하여 대책을 수립하는 PDCA(Plan-Do-Check-Act)의 프로세스 접근법에 준한 활동이라고 정의할 수 있습니다.

정리하자면 ISMS를 모든 정보보호활동들이 조직의 중요한 자산을 보호하기 위한 일련의 행위들이며, 이를 조직적인 체계를 수립하여 계획과 검토 하에 운영하는 것이라고 재 정의할 수 있습니다.



















Posted by 김주일

개인정보 영향평가란, 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 동 시스템의 구축·운영·변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사·예측·검토하여 개선 방안을 도출하는 체계적인 절차를 말하며, 시스템의 구축∙변경등을 완료하기 이전에 사전적평가수행을 통해 동사업의 시행이국민의 프라이버시에 미치는 중대한 영향을 사전에 파악하고 그 영향을 줄이거나 없앨 수 있는 방안을 모색하는 것이다.

- 본문 발췌 -


출 처 : 행정안전부
Posted by 김주일
개인정보보호/뉴스2011. 2. 17. 11:29
병원 개인정보 가이드라인 무시 … 개인정보보호법 발효 시급

관련 가이드 : http://ju12.tistory.com/241
링 크 : http://www.boan.com/news/articleView.html?idxno=4068

"일선 병원에서 가이드라인은 그저 개인정보보호 잘해야 한다는 내용으로만 받아들여지고 있다” -- 병원측 담당자 왈....
Posted by 김주일
BS 10012: 2009 Data Protection - Specification for a personal information management system

- 2009년 5월에 개인정보관리체계를 수립
Posted by 김주일