[정보보안] 정보보호와 정보보안 거버넌스(governance)

정보보호와 정보보안 거버넌스(governance)

조직의 정보 보안은 정보 보안 거버넌스 수립으로 이루어진다. 즉, 정보 보안 정책이 정보 보호의 시작이다. 정보 보안 정책이란 거버넌스가 지향하는 것을 문서화 한 것을 의미한다.

정보보안

-목차-
1. 정보 보호 3요소
2. 위험, 위협,취약성 차이
3. 정보 보안 거버넌스 성과
4. 정보 보안 거버넌스 구성
5. 보안 통제 

 

---

 

1. 정보 보호 3요소

정보 보호의 3요소엔 기밀성, 무결성, 가용성이 있다.

 

기밀성 {↔ 폭로 (Disclosure)}

의도되었거나 또는 의도되지 않은 노출을 방지하는 것이나 인가되지 않은 사람이나 대상에게 노출되지 않는 것을 의미한다.

 

무결성 {↔ 변경(Altereation)}

인가되지 않은 주체에 의한 객체의 접근이나 변경을 통제 하거나, 인가된 주체의 불법적인 변경을 막는 것이다.
내외부의 일관성을 유지한다.

 

가용성 {↔ 파괴(Destruction) }

자원의 적시 접근성을 보장하고, 인가된 시간에 인가된 만큼 자원을 사용할 수 있도록 보장하는 것이다.

 

---

 

2. 위험, 위협, 취약성 차이

 

보이스피싱을 예로 들면 불법적인 계좌 이체가 위협이고, 실제 은행에서 이로 인한 사고로 고객의 돈이 불법 이체되는게 위험이고, 무한 재입력이 가능한 보안 카드 정책이 취약성이다. 

 

위험

어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성(ISO의 정의)을 말한
다. 위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도
에 의해서 비례적으로 결정된다.

 

위협

고의적이거나 우발적인 사건으로 발생시에 시스템의 손상을 일으켜 기밀성, 가용성, 무결성에 손상을
가져올 수 있다.

 

취약성

위협이 이용 가능한 시스템상의 약점을 의미한다.

---

 

3.정보 보안 거버넌스 성과

 

전략 연계

목표를 위해 사업 전략과 정보 보안은 연계되어야 한다.

- 보안 요건에 대한 기업의 요구사항
- 기업의 비즈니스 프로세스에 알맞은 보안 솔루션
- 위협, 취약점, 위험 프로파일에 기초한 보안 투자

 

 위험 관리 

위험의 완화와 잠재적 영향의 감소를 위해 적합한 측정이 필요

- 위협, 취약점, 위험에 대한 이해
- 위험 완화 : 수용 가능한 단계까지
- 위험의 잠재적 결과의 이해와 이에 기반한 위험의 수용

 

 가치 제공

비용 효과적인 보안 투자의 최적화

- 보안 실무 표준
- 보안 영역에 대한 우선순위 배정과 자원의 적절한 분배
- 조직의 전 부분에 기반한 솔루션 (상품화된 표준화 기반의 솔루션 포함)
- 일회성 이벤트가 아니라 지속적인 개선

 

자원관리

효율적인 인프라와 자원 관리 달성

- 보안 실무와 프로세스 문서화
- 인프라 자원의 효율적인 활용과 정의를 위한 보안 아키텍쳐 개발

 

성과 관리

목표 달성을 위해 정보 보안 프로세스를 평가하고 모니터링 하며보고되어야 한다.

- 이슈해결 과정에 대한 피드백과 결점을 식별하는 프로세스
- 외부 평가와 감사에 의해 제공되는 독립적인 보증

 

프로세스 통합

- 기업 내에 다른 여러 조직간에 보안 프로세스는 각 조직의 서로 다른 보고 및 모니터링 체제 내에서도
통합되도록 노력해야 하고 이를 통해 보안 프로세스의 효과성이나 효율성을 개선할 수 있다.

---

4. 정보 보안 거버넌스의 구성

 

정보 보안 거버넌스는 다음 다섯 가지로 구성된다.

• 사업 목적을 포함한 보안 전략
• 전략, 통제와 규정을 포함한 보안 정책
• 보안 정책을 위한 표준과 가이드라인
• 이해 당사자들간에 갈등이 없는 보안 조직
• 준거성 보장을 위한 모니터링 프로세스

---

5. 보안통제

 

보안통제 순서

보안 통제는 IS에 대한 내부 통제 중 하나로 모든 통제는 아래 5단계 과정이 순서에 따라 진행된다. 

1. 자산 식별
2. 위험 분석
3. 통제 개발
4. 통제 적용
5. 통제 평가

 

보안통제 한계

비용 효익을 초과 할 수 없는 통제의 한계가 존재하기 때문에 정량적인 위험 분석이 필수다.

 

보안통제 운영

보안 통제는 조직 내의 모든 수준에서 운영되기 때문에 하향식 통제 모델 개발이 필요하며, 모든 구성원이 해당 프로세스에 참여해야 한다. 또한, 책임은 이사회나 경영진이 진다.

 

 

---

 

궁금하신 점은 댓글 남겨주세요.