정보보안 업무에 대한 생각

일을 왜 해야되는지 ,, 명분, 배경이 필요. (법 > 시행령 > 조례) / 가이드 < 매뉴얼 <지침 < 정책 < 규정)
명분,배경(법, 규정) ISMS는 법과 규정 사이라고 보면 된다.
사고사례도 명분이 되고 법에는 저촉되지 않을 지언정 회사에 피해를 끼칠 수 있다는 명분
명분, 배경 -> 정책 -> 지침 -> 절차 -> 매뉴얼/가이드
누가 어떤 솔루션을 한다라는 거는 절차
매뉴얼가이드는 어떻게 운영을 하는지
이런 매뉴얼 가이드는 상위단계를 지지하기 위해 존재.

정보보안 대외활동 꾸준히 할것 (나를 알리는 활동)
1. 준거성검토(연초) : 매년 정책/지침/절차/매뉴얼이 바뀐 시대의 법과 기술을 따라가고 있는지
-> 문제 발견 -> 정보보호위원회 승인(경영진 승인) -> 정책/지침/절차 수정 -> 배포 -> 교육 -> 교육 평가서
* 절차라는 것은 일, 업무의 패턴이 생겼다는 것을 의미한다.
자산식별 -> 자산현실화 -> 위험평가 (자산이 보유한 사람이 평가), CIA/업무영향도 -> BIA (주요자산, 복구, 사람) , 사람같은 경우 부서별로 리스트화하여 주요도 평가하여 업무에 문제가 있을, 비즈니스에 영향이 있을 경우 비상대응계획을 수립), 비상계획수립을 실제 시스템으로 예를 드는 경우가 재해복구이다.
주요자산(시스템)에 대한 보호계획 수립하고 대응하기 위한 것이 보안솔루션이라고 보면되고, 이 보안솔루션을 운영하는 것이 사내규정/정책/지침에 대해 준수하는 것이다.
이런것들이 연초 연간계획서에 포함이 되어야 한다. 그리고 이런 job들을 하나하나 수행하는 것이 정보보안 업무라고 보면 된다.
?
5.업무추진계획
DR 구축이 되지 않으면 ISMS 인증 불가
IT내부감사(외부업체): ISMS 체계 내부감사, ISMS 인증심사 전 진행, 업체 선정 및 진행 주체는 어느부서?
IT내부통제 모니터링 강화 : 시나리오 수립 및 절차 , 실제 구현 (DBsafer 등) 실제 전산원장 작업이 절차에 맞게 이루어지고 있는지, 알람 등
콜드월렛 보안강화 : 렛져
시큐어코딩 : 리더가 결과 취합하여 취약점 조치 , 보안 수준을 낮춘 상태로 평가하고 있지는 않은지에 대한 모니터링 검토(기준은 정보보안팀에서 정하고 공표)
진행-변환-조치-사후-확인(x)이 없다. (디테일)
정기점검 항목 재검검
일일/주간/월간 : 표를 만들어서 벽에 걸어놓고 체크 하던지, 매일 출력해서 보고
각 보안솔루션에서 이상행위를 탐지하는 시각을 키우고 연동(로그)
자료유출 시나리오(서버로 업로드 되는 파일들 통제 - DLP)
I
운영망/개발망 분리
개발망에서 제한적인터넷이 되기 떄문에 보안위협
?
계약일자 - 발주일
유지보수

* 검수
- 6개월정도걸릴예정
- 그룹사 전체 같이.
- 길어질 경우 기술지원협약서 등의 방법도 있음

 

 

 

정보보안 규정/지침/절차 변경 시 결재 및 승인
1. 규정 - 대표이사
2. 지침 - CISO
3. 가이드,매뉴얼 - 팀장


* 신/구 대조표 작성 (규정 변경에 대한 품의시 첨부)