"관리적 보안"의 두 판 사이의 차이

2021년 2월 1일 (월) 10:54 판

관리적 보안이란 회사의 정보보호 및 운영에 대해 기본정책을 수립해 임직원(협력사 포함) 및 기업이 대내외적 경영활동을 할 때 회사의 핵심 자산을 관리하고 기업 정보를 체계적으로 보호하기 위한 구성 단계 중 하나를 말한다.

개요

보안 솔루션을 필요에 따라 도입함으로 인해, 각각의 시스템에 대한 별도의 관리 전문가가 필요하다. 시스템이 각각 운영됨에 있어 전사적인 일관된 보안 정책의 수립이 어렵고, 침입 사고의 급증과 공격 패턴의 다양화로 인한 단위 보안 제품 위주의 보안 솔루션 한계에 대응하기 위하여 단위 보안 시스템 이벤트 연관관계 파악의 필요성이 증대하다.^[1]

특징

보안 활동

그로비스인포텍이 내놓은 기업 보안 솔루션 '지-포스트'는 최근 보안 업계에서 다양한 기업용 보안 교육 솔루션을 출시하면서 등장한 대표적인 보안 관리 솔루션이다. '지-포스트'는 '기술적·물리적 보안'에 대응되는 '관리적 보안'의 맥락에서 조직의 보안 의식을 향상시키는 데 초점을 둔 전사적 보안 관리 시스템이다. 보안 훈련, 보안 교육, 보안 시험, 조직 보안 수준 관리, 개인 보안 수준 관리에 이르기까지 직원의 보안의식 함양에 필요한 다양한 모듈로 구성되어 있다. 개별 모듈로 구성되어 있어 불필요한 모듈은 빼고 필요한 모듈만 골라 맞춤형 보안 솔루션으로 구성할 수 있어 효율적이다. 또한, 추후에 새로운 모듈이 추가되면 간단하게 추가할 수 있는 확장성이 장점이다.^[2] 관리적 보안은 인적 자산에 대한 보안으로 관리적 보안 대책은 각종 관리 절차 및 규정을 의미한다. 조직 내부의 정보 보호 체계를 정립하고, 인원을 관리하고, 정보 시스템의 이용 및 관리에 대한 절차를 수립하고, 비상사태 발생을 대비하여 계획을 수립하는 등의 대책을 포함한다. 대표적인 사례로는 보안정책/절차 관리, 보안 조직 구성 및 운영, 인력 보안 관리, 보안 감사, 보안 사고 조사가 있다. 또한, 관리적 보안을 구축할 때 주의해야 할 사항이 몇 가지 있다. 첫째, 체계적인 정보보호 정책 및 지침을 확립해야 한다. 둘째, 종사자들의 정보보호 인식이 제고되어야 하며, 마지막으로 감독 규정 준거성을 확보해야 한다는 고려 사항이 있다.^[1]

기술요소^[1]

기술요소	설명
ISO 17799	영국 표준협회(BSI) 주관으로 1993년부터 산업계의 보안 관련 표준을 수렴하여 1998년까지 제정한 정보보호관리체계 인증 규격 및 정보 보안 관리 시스템을 시작, 이행 또는 유지하는 책임자에게 정보 보안 관리에 있어 Best Practice를 제공한다.
ISO 27001	정보 보안경영 시스템에 대한 규격 제시를 통해 기업의 정보 보안경영 시스템 평가 인증한다.
보안 정책 설정/매뉴얼 작성	보안을 위한 자원 사용, 통신 등에 대한 사용자의 로그 정보를 수집 및 감시 정책 설정 및 문서화
CC (Common Criteria)	국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 제정된 정보보호시스템 공통평가 국제 기준이다.
PMI	사용자 권한, 지위, 임무 등에 관한 사용자의 속성을 정의하고 관리하기 위한 권한 인증 체계와 권한 관련 자원과 이의 소유자 간의 관계를 신뢰 기관이 보증하고 유지하는 구조를 가지고 있다.
SRM (Security Risk Management)	조직의 자산을 보호하기 위하여 자산에 대한 보안상의 위험 분석을 통하여 비용 효과적인 측면에서 적절한 보호 대책을 수립하여 이를 수행하는 보안 위험 관리 프로세스 및 총칭

기업에서 지켜야할 관리적·물리적 보안 7계명

개인 정보 및 기술 유출 예방을 위한 핵심은 결국 사람 관리, 그 가운데서도 내부자 관리라고 할 수 있다. 이를 위해서는 기술적 보안은 물론 관리적·물리적 보안이 많이 요구된다. 기술유출 사건을 경험한 중소기업의 경우 관리적 보안에 소홀한 경우가 대부분인다. 따라서 기업 및 일반인이 지켜야 할 관리적·물리적 보안 7계명이 존재한다. 첫째, 출입 허가된 사람이나 허가받지 않는 사람의 동선을 고려하여 물리적 보안을 설계해야 한다. 둘째, 보안 요구 사항에 따라 출입통제 시스템과 프로세스에 대한 설계를 고려해야 한다. 셋째, 출입통제에 대한 모니터링 및 감사 방안을 강구해야 한다. 넷째, 퇴근 시 신건 장치 및 클린 데스크를 철저히 준수해야 한다. 다섯째, 출력물에 대해 입력, 출력, 보관, 복사, 반출 등 프로세스를 고려하여 중요(기밀) 문서에 대한 보호 대책을 강구해야 하며, 여섯째, 분실 및 물리적 보안 사고 발생 시 신고할 수 있는 프로세스와 담당자 등을 확실히 해야 한다. 마지막으로 사용자에 대한 보안 교육 내에 물리적 보안 부분도 포함해야 한다.^[3]

일반인이 지켜야할 관리적·물리적 보안 7계명

첫째, 외부 컴퓨터 기기 방치 시 반드시 보안 케이블 잠금(Security Cable Lock)을 활용한다. 둘째, 퇴근 시 클린 데스크를 준수하고 업무 책상의 시건장치를 모두 잠가야 한다. 셋째, 보안상 중요 업무를 다룬다면 모니터 보안 필름 사용을 고려해야 하며, 넷째, 중요(기밀) 문서 출력 시 바로 회수하고, 페기 시에는 적법 절차를 따라야 한다. 마지막으로는 출입카드나 업무용 디바이스 분실 시, 혹은 보안 사고 의심 시 신고절차에 따라 보고해야 한다.^[3]

각주

↑ ^1.0 ^1.1 ^1.2 〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》
↑ 〈“보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST〉, 《그로비스인포텍》
↑ ^3.0 ^3.1 이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13

참고자료

〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》
〈“보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST〉, 《그로비스인포텍
이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13

같이 보기

이 관리적 보안 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[.EC.A7.80.EB.8D.A4-1] 1.0 ^1.1 ^1.2 〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》

[2] 〈“보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST〉, 《그로비스인포텍》

[.EA.B8.B0.EC.82.AC-3] 3.0 ^3.1 이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13

[1]

[2]

[3]

@@ 2번째 줄: / 2번째 줄: @@
 == 개요 ==
-[[보안 솔루션]]을 필요에 따라 도입함으로 인해, 각각의 시스템에 대한 별도의 관리 전문가가 필요하다. 시스템이 각각 운영됨에 있어 전사적인 일관된 보안 정책의 수립이 어렵고, 침입 사고의 급증과 공격 패턴의 다양화로 인한 단위 보안 제품 위주의 보안 솔루션 한계에 대응하기 위하여 단위 보안 시스템 이벤트 연관관계 파악의 필요성이 증대하다.<ref name="지덤">〈[http://jidum.com/jidums/view.do?jidumId=589 관리적보안, 물리적보안, 기술적보안]〉, 《지-덤》</ref>
+보안 솔루션을 필요에 따라 도입함으로 인해, 각각의 시스템에 대한 별도의 관리 전문가가 필요하다. 시스템이 각각 운영됨에 있어 전사적인 일관된 보안 정책의 수립이 어렵고, 침입 사고의 급증과 공격 패턴의 다양화로 인한 단위 보안 제품 위주의 보안 솔루션 한계에 대응하기 위하여 단위 보안 시스템 이벤트 연관관계 파악의 필요성이 증대하다.<ref name="지덤">〈[http://jidum.com/jidums/view.do?jidumId=589 관리적보안, 물리적보안, 기술적보안]〉, 《지-덤》</ref>
 == 특징 ==
@@ 8번째 줄: / 8번째 줄: @@
 [[파일:관리적보안.png|가운데|700픽셀|'''관리적 보안'''활동]]
-[[그로비스인포텍]]이 내놓은 기업 보안 솔루션 '지-포스트'는 최근 보안 업계에서 다양한 기업용 [[보안 교육]] 솔루션을 출시하면서 등장한 대표적인 보안 관리 솔루션이다. '지-포스트'는 '기술적·물리적 보안'에 대응되는 '관리적 보안'의 맥락에서 조직의 보안 의식을 향상시키는 데 초점을 둔 전사적 보안 관리 시스템이다. 보안 훈련, 보안 교육, 보안 시험, 조직 보안 수준 관리, 개인 보안 수준 관리에 이르기까지 직원의 보안의식 함양에 필요한 다양한 모듈로 구성되어 있다. 개별 모듈로 구성되어 있어 불필요한 모듈은 빼고 필요한 모듈만 골라 맞춤형 보안 솔루션으로 구성할 수 있어 효율적이다. 또한, 추후에 새로운 모듈이 추가되면 간단하게 추가할 수 있는 확장성이 장점이다.<ref>〈[http://www.globisit.com/wordpress/?p=476 “보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST]〉, 《그로비스인포텍》</ref>
+[[그로비스인포텍]]이 내놓은 기업 보안 솔루션 '지-포스트'는 최근 보안 업계에서 다양한 기업용 [[보안 교육]] 솔루션을 출시하면서 등장한 대표적인 보안 관리 솔루션이다. '지-포스트'는 '기술적·물리적 보안'에 대응되는 '관리적 보안'의 맥락에서 조직의 보안 의식을 향상시키는 데 초점을 둔 전사적 보안 관리 시스템이다. 보안 훈련, 보안 교육, 보안 시험, 조직 보안 수준 관리, 개인 보안 수준 관리에 이르기까지 직원의 보안의식 함양에 필요한 다양한 모듈로 구성되어 있다. 개별 모듈로 구성되어 있어 불필요한 모듈은 빼고 필요한 모듈만 골라 맞춤형 보안 솔루션으로 구성할 수 있어 효율적이다. 또한, 추후에 새로운 모듈이 추가되면 간단하게 추가할 수 있는 확장성이 장점이다.<ref>〈[http://www.globisit.com/wordpress/?p=476 “보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST]〉, 《그로비스인포텍》</ref> 관리적 보안은 인적 자산에 대한 보안으로 관리적 보안 대책은 각종 관리 절차 및 규정을 의미한다. 조직 내부의 정보 보호 체계를 정립하고, 인원을 관리하고, 정보 시스템의 이용 및 관리에 대한 절차를 수립하고, 비상사태 발생을 대비하여 계획을 수립하는 등의 대책을 포함한다. 대표적인 사례로는 보안정책/절차 관리, 보안 조직 구성 및 운영, 인력 보안 관리, 보안 감사, 보안 사고 조사가 있다. 또한, 관리적 보안을 구축할 때 주의해야 할 사항이 몇 가지 있다. 첫째, 체계적인 정보보호 정책 및 지침을 확립해야 한다. 둘째, 종사자들의 정보보호 인식이 제고되어야 하며, 마지막으로 감독 규정 준거성을 확보해야 한다는 고려 사항이 있다.<ref name="지덤"/>
-;구성요소
-관리적 보안은 인적 자산에 대한 보안으로 관리적 보안 대책은 각종 관리 절차 및 규정을 의미한다. 조직 내부의 정보 보호 체계를 정립하고, 인원을 관리하고, 정보 시스템의 이용 및 관리에 대한 절차를 수립하고, 비상사태 발생을 대비하여 계획을 수립하는 등의 대책을 포함한다. 대표적인 사례로는 보안정책/절차 관리, 보안 조직 구성 및 운영, 인력 보안 관리, 보안 감사, 보안 사고 조사가 있다.<ref name="지덤"/>
-;고려사항
-관리적 보안을 구축할 때 주의해야 할 사항이 몇 가지 있다. 첫째, 체계적인 정보보호 정책 및 지침을 확립해야 한다. 둘째, 종사자들의 정보보호 인식이 제고되어야 하며, 마지막으로 감독 규정 준거성을 확보해야 한다는 고려 사항이 있다.<ref name="지덤"/>
 ;기술요소<ref name="지덤"/>
@@ 30번째 줄: / 24번째 줄: @@
 |align=left|보안을 위한 자원 사용, 통신 등에 대한 사용자의 로그 정보를 수집 및 감시 정책 설정 및 문서화
 |-
-|align=center|CC(Common Criteria)
+|align=center|CC<br>(Common Criteria)
 |align=left|국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 제정된 정보보호시스템 공통평가 국제 기준이다.
 |-
@@ 36번째 줄: / 30번째 줄: @@
 |align=left|사용자 권한, 지위, 임무 등에 관한 사용자의 속성을 정의하고 관리하기 위한 권한 인증 체계와 권한 관련 자원과 이의 소유자 간의 관계를 신뢰 기관이 보증하고 유지하는 구조를 가지고 있다.
 |-
-|align=center|SRM(Security Risk Management)
+|align=center|SRM<br>(Security Risk Management)
 |align=left|조직의 자산을 보호하기 위하여 자산에 대한 보안상의 위험 분석을 통하여 비용 효과적인 측면에서 적절한 보호 대책을 수립하여 이를 수행하는 보안 위험 관리 프로세스 및 총칭
 |}

코인위키

이름공간

변수

보기

더 보기

검색

"관리적 보안"의 두 판 사이의 차이

2021년 2월 1일 (월) 10:54 판

목차

개요

특징

각주

참고자료

같이 보기