내부

외부

코드 서명

전략, 표준, 조치 및 지침 개발

위기 관리

인사 안전

보안 인식 교육

논리적 액세스 제어 메커니즘 구현 및 유지 관리

비밀번호 및 리소스 관리

식별 및 인증 방법

안전 장비

시설 및 부서별 개별 출입통제 조치(출입통제, 보안, 잠금장치)

보호 경계(울타리, 벽, 조명)

침입의 물리적 탐지

환경 제어

예방(억제), 탐지, 수정/복구(백업, BCP, DRP) 보상(제어)

제어 환경

위험 평가

통제 활동

정보통신

감시 장치

서비스 전략

서비스 디자인

서비스 전환

서비스 운영

지속적인 서비스 개선

초기, 반복 가능, 정의, 관리, 최적화

초기, 관리, 정의, 정량적 관리, 최적화

위험 평가 결과, 법률 및 규제 요구 사항, 조직 비즈니스를 기반으로 운영 요구 사항에 따라 제어 목표 및 제어 조치를 결정합니다.

선택된 보안 제어를 구현합니다.

정책, 절차, 표준, 법률 및 규정에 따라 안전 조치 이행에 대한 준수 점검 수행

점검 결과에 따른 대책을 강구하여 안전상태 개선

정보 보안에 관한 가장 일반적인 진술

정보 보안에 대한 책임을 다하겠다는 최고 경영진의 약속

보호해야 할 대상과 목표를 설명합니다.

정책 이행을 위한 집행 메커니즘 확립

표준과 유사하게 시스템 보안을 강화하는 방법이 권장됩니다.

정책에서 요구하는 최소 수준의 보안 요구 사항을 충족합니다.

특정 작업을 수행하기 위한 세부 단계(구체적)

절차는 보호 작업을 수행하는 특정 단계에 대한 자세한 설명(방법)입니다.

정보보호 활동 예산

개발 전략, 절차, 기준선, 표준 및 지침 개발

보안 인식 프로그램 개발

경영진 회의에 참여

내부 및 외부 감사 지원

조직의 허용 가능한 위험 수준 정의

보안 목표 및 전략 결정

비즈니스 요구사항을 해결하면 보안 활동의 우선순위가 결정됩니다.

위험 평가 및 감사 보고서 검토

보안 위험이 비즈니스에 미치는 영향 모니터링

중대한 안전위반을 수반한 원자력사고 검토

보안 정책 및 계획에 대한 중요한 변경 사항을 승인합니다.

회사 재무제표 및 재무정보의 무결성

회사의 내부 통제 시스템

독립감사인의 채용 및 성과

내부 감사 기능의 수행

윤리와 관련된 법적 요구사항 및 회사 정책을 준수합니다.

장기 계획(예: 5년)

, 상대적으로 안정적이며 조직의 목표와 임무를 정의합니다.

중기 계획(예: 1년)

전략 계획에서 수립한 목표 달성을 위한 과제 및 진행 상황에 대한 자세한 설명, 고용계획, 예산계획 등

단기적이고 매우 상세한 계획, 자주 업데이트됨

교육 계획, 시스템 배포 계획 등 월별 또는 분기별 업데이트

특정 사업부서를 관리하고 특정 정보의 보호 및 활용을 담당합니다.

“적절한 주의”의 의무가 있습니다

책임

기술적인 역할보다는 비즈니스적인 역할

IT 또는 보안 부서의 역할

책임

각각 다른 데이터 소유자가 소유한 데이터를 보유하고 처리할 수 있는 하나 이상의 시스템을 담당합니다.

애플리케이션과 시스템에 보안 요소를 통합하는 일을 담당합니다.

시스템 시스템 취약점을 평가했는지 확인하세요.

시스템 보안을 보장하기 위해 적절한 보안 조치를 채택하십시오.

보안 규정 및 정책을 구현, 모니터링 및 시행하는 일을 담당합니다.

보안위원회 및 정보보호책임자에게 보고

시스템을 점검하여 보안 요구 사항이 충족되는지, 보안 통제가 효과적인지 확인하세요.

보안대상 관리에 대한 독립적인 보증 제공

정책, 표준 및 지침 개발을 지원하고 벤치마크 설정

주로 구현 수준이 아닌 설계 수준에서

애플리케이션 보안 인식을 갖고, 보안 정책을 준수하고, 시스템을 적절하게 사용하고, 보안 사고를 보고합니다.

위험 감소, 채용 비용 감소, 직원 이직률 감소

민감한 회사 정보를 보호하세요

어느 누구도 민감하거나 가치 있거나 중요한 작업을 처음부터 끝까지 완전히 제어할 수 없습니다.

목적: 사기나 오류가 발생할 가능성이 적습니다.

예:

책임을 할당하는 데 필요한 최소 권한

개인이 너무 많은 통제권을 얻는 것을 피하기 위해 한 사람이 너무 오랫동안 고정된 위치를 유지하도록 허용하지 마십시오.

교차 교육을 촉진하고 사기를 감지하기 위해 인력 백업을 설정합니다.

민감한 부서 직원에게 휴가를 강요하면 사기, 데이터 수정, 자원 남용 등을 효과적으로 탐지할 수 있습니다.

제3자 조직 및 개인과 기밀 유지 계약을 체결해야 합니다.

제3자의 모든 업무 활동을 모니터링합니다.

접근 시 제3자 직원의 신원이 확인되는지 확인하세요.

위 조치를 토대로 추가 인원 신원조사를 실시합니다.

제3자 직원이 사이트를 떠나 관련 권한을 되찾아야 함

안전 전문가에게 작업에 필요한 전문 기술을 제공합니다.

방법:

보안 통찰력

"왜"

주로 정보시스템 관리 및 유지보수 담당자를 대상으로 보안 관련 업무 기술을 교육합니다.

방법:

지식을 얻다

"수행하는 방법"

보안과 통제의 중요성에 대한 조직 직원들의 일반적인 집단적 인식

방법:

문자 보내

"이게 뭐야?"

위협 모델링 (보폭)

위험 식별

위험 분석

위험 평가

IT 리스크에 초점을 맞춘 정성적 RA 접근 방식

1. 시스템 분류 2. 약점 식별 3. 위협 식별 4. 대책의 확인 5. 가능성평가 6. 영향평가 7. 위험성 평가 8. 새로운 대책 권고 9. 문서 보고

정보 자산 위험을 기반으로 한 자율적인 정보 보안 위험 평가 사양, 자산 중심(Asset-Driven)을 강조하며 3단계, 8개 프로세스로 구성됩니다.

OCTAVE 접근 방식은 조직 전체에 위험 관리 프로그램을 배포하고 보안 계획과 통합합니다.

기본 프로세스: 자산 식별 및 평가, 대응책 선택 및 권장 사항

비용과 시간을 줄이기 위해 실제로 평가가 필요한 시스템에만 집중하도록 사전 선별되었습니다.

제한된 예산 상황

시스템이 직면할 수 있는 모든 위협의 트리를 만듭니다. 분기는 사이버 위협과 같은 것을 나타낼 수 있습니다. 물리적 위협 및 구성 요소 오류와 같은 범주에서는 RA를 수행할 때 사용하지 않는 분기를 정리해야 합니다.

하드웨어 분석에서 파생되었습니다. 각 구성 요소 또는 모듈의 잠재적인 오류를 조사하고 오류가 미치는 영향을 조사합니다.

안전을 위해 특별히 사용되지 않는 호주 위험 평가 방법

각 자산의 소유자, 관리인 및 사용자를 식별합니다.

자산 목록을 구축하고 비즈니스 프로세스를 기반으로 정보 자산을 식별합니다.

정보자산이 존재하는 형태

평가요소

중요성(영향 또는 결과)을 기준으로 자산을 분류하고, 또한 기밀성, 무결성 및 가용성이 손상될 경우 발생할 수 있는 결과도 고려하십시오.

자산은 여러 위협에 직면할 수 있으며 위협은 여러 자산에 영향을 미칠 수 있습니다.

위협 소스 식별

위협 가능성을 평가할 때는 위협 소스의 동기와 능력을 고려합니다.

각 자산에 대해 악용 가능한 취약점

식별 경로

위험 처리 방법

위험 통제 조치 선택 전략

보안 통제를 구현한 후에도 남아 있거나 남아 있는 위험

자산에 가치 할당

각 위협에 대한 잠재적 손실 예측

위협 분석 수행

각 자산 및 위협에 대해 계산됨 단일 손실 기대(SLE)

각 위협에 대한 잠재적인 연간 손실을 계산합니다.

판단, 모범 사례, 직관 및 경험

그룹 의사결정 방법, 델파이

설문조사 질문

조사하다

회견

범죄 수행을 지원하기 위한 도구로 컴퓨터를 사용하는 행위, 컴퓨터는 범죄에 꼭 필요한 요소는 아니지만, 범죄를 돕는 도구 역할을 합니다.

컴퓨터, 네트워크 및 이러한 시스템에 저장된 정보에 대한 범죄

컴퓨터가 반드시 공격자이거나 피해자일 필요는 없습니다. 그 공격이 일어났을 때 우연히 그 공격에 연루됐을 뿐입니다.

민법

형법

행정법

회사의 경쟁 또는 마케팅 능력이 중요합니다.

잘 알려지지 않았지만 회사는 개발을 위해 관련 자원과 노력을 투자했습니다.

공개 또는 무단 사용을 방지하기 위해 회사로부터 적절한 보호를 받습니다.

예:

대부분의 저작물을 공개적으로 출판, 복사, 전시 및 수정할 수 있는 법적으로 보호되는 권리

작품의 창의성을 보호하는 것이 아니라 창의성의 표현을 보호하는 것입니다.

예:

회사의 이미지를 나타내는 단어, 이름, 기호, 도형, 소리, 색상을 보호합니다.

상표는 일반적으로 상표등록기관에 등록됩니다.

상표는 회사가 시장 운영에서 확립한 품질과 신뢰성의 표시입니다.

특허 등록자 또는 회사의 특허 소유권을 법적으로 인정하고 타인이나 회사의 무단 사용을 금지합니다.

특허는 20년 동안 유효합니다.

예:

혼자 남을 권리

개인에 대한 부당한 권리로부터의 보호

어떤 개인정보를 누구에게 공개할지 결정할 권리

불합리한 침해를 방지하기 위해서는 사전 동의와 적절한 보호 조치가 가장 중요합니다.

적절한 방법의 부족을 방지하기 위해 "공정성과 정의"를 기본으로 하며 오류 수정 메커니즘이 있습니다.

개인정보 수집에는 정보주체의 동의와 목적 고지가 필요합니다.

목적 및 이용과 관련된 정보만을 수집하고, 해당 목적에 필요한 기간 동안만 보관합니다.

데이터 수집 방법 데이터 수집 방법

개인정보가 악의적으로 침해되지 않도록 합리적인 조치와 기술적, 관리적, 운영적 대책을 강구하며, 데이터의 무결성과 기밀성을 보장하고, 오래된 데이터를 삭제하여 관련 업무를 수행할 필요가 없는 사람의 접근을 방지합니다.

수집된 정보를 검토하고 오류를 수정합니다.

지진, 홍수, 자연 화재, 화산 폭발, 극심한 대류 기후 등의 자연 재해

하드웨어, 소프트웨어 중단, 시스템/프로그래밍 오류 등 시스템/기술적 문제

공급 시스템, 통신 중단, 배전 시스템 장애, 파이프 파열

인공, 폭발, 화재, 기물 파손, 화학 오염, 유해 코드

정치, 테러 활동, 폭동, 파업

조직의 경우 중요한 비즈니스 기능을 수행하는 모든 것은 일정 기간 내에 수행할 수 없는 이벤트는 재해로 간주됩니다.

특징:

두 가지 요소

재해 또는 비즈니스 중단의 영향을 줄입니다.

자원, 인력, 비즈니스 프로세스가 최대한 빨리 복구되도록 필요한 조치를 취합니다.

다양한 상황에도 불구하고 조직이 비즈니스 운영을 유지할 수 있는지 확인

장기적인 생산 중단 및 재난 상황에 대한 방법과 조치를 주로 제공하는 등 장기적인 관점에서 문제를 해결합니다.

긴급 상황 발생 시 시기적절하고 적절한 대응 제공

생명을 보호하고 안전을 보장합니다

비즈니스에 미치는 영향 감소

중요한 비즈니스 기능 복원

재해 발생 시 혼란 감소

비즈니스 생존 가능성 보장

재해 발생 후 신속하게 "작동"

연속성 계획 전략(정책) 개발

비즈니스 영향 분석(BIA) 수행

예방적 관리 방법 결정

복구 전략 개발

BCP 개발

BCP 테스트

비즈니스 연속성 계획 유지

프로그램 개발팀과 경영진 간의 의사소통 및 연락

계획에 관련된 모든 사람과 직접 연락하고 의사소통할 권리

업무 중단이 조직의 비즈니스에 미치는 영향을 완전히 이해합니다.

조직의 요구와 운영을 숙지하고 조직 내 관련 부서의 다양한 요구를 균형 있게 조정할 수 있는 능력

고위 경영진에 대한 간편한 액세스

조직의 사업 방향과 고위 경영진의 의도를 이해합니다.

고위 경영진의 결정에 영향을 미치는 능력

목표, 범위, 필요

기본 원칙 및 지침

의무와 책임

키 링크의 기본 요구 사항

심각도 측면에서 재해 또는 중단 이벤트의 영향을 확인하기 위한 정성적 분석

재해 또는 중단 사건의 영향을 금전적 측면에서 정량적으로 분석합니다.

가동 중단의 영향 분석

각 비즈니스 기능에 대한 복구 기간 결정

문제

응답 제안

정성적 및 정량적 자동화 도구 정보 통합 및 분석 지원

사업대표는 정보분석 결과를 확인 및 확인합니다.

업무복구시간은 상대적으로 고정되어 있음

시스템 가용성이 조직에 심각한 영향을 미치기 전에 소비가 허용되는 최대 시간

처리를 계속하기 위해 데이터를 복구해야 하는 지점입니다. 즉, 허용되는 최대 데이터 손실량