기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
IBM InfoSphere Guardium provides the simplest, most robust solution for assuring the privacy and integrity of trusted information in your data center (SAP, PeopleSoft, Cognos, Siebel, etc.) and reducing costs by automating the entire compliance auditing process in heterogeneous environments.
Sqrrl and IBM: Threat Hunting for QRadar UsersSqrrl
This joint webinar, in collaboration with IBM, offers a look at the industry leading Threat Hunting App for IBM QRadar. By combining the threat detection capabilities of QRadar and Sqrrl, security analysts are armed with advanced analytics and visualization to hunt for unknown threats and more efficiently investigate known incidents.
Watch the training with audio here: http://info.sqrrl.com/sqrrl-ibm-threat-hunting-for-qradar-users
The latest Cybsersecurity Framework (Version 1) has been released by NIST(USA) and I have taken the key features of this critical Framework on Cybersecurity and converted into Mindmap for ease of readers.Please share your comments at my Email Id: Wajahat_Iqbal@Yahoo.com.Thank You
Note: The Source of Information are the Internet repositories and the Author does not take any responsibility for any Errors
Classify information and supporting assets (e.g., sensitivity, criticality), Determine and maintain ownership (e.g., data owners, system owners, business/mission
owners), Protect privacy, Ensure appropriate retention (e.g., media, hardware, personnel), Determine data security controls (e.g., data at rest, data in transit), Establish handling requirements (markings, labels, storage, destruction of sensitive
information)
The New Pentest? Rise of the Compromise AssessmentInfocyte
If an attacker had a foothold in your network today, would you know it?
If they made it past your real-time defense measures (EDR, EPP, AV, UEBA, firewalls, etc.) or an analyst misinterpreted a critical alert, chances are they've entrenched themselves for the long haul. Skilled and organized attackers know long-term persistence in your network is the most critical component to meeting their goal of stealing information, causing damage, or pivoting attacks on other organizations.
Threat hunting is the proactive practice of finding attackers in your environment before they can cause damage (or at least stop the bleeding from continued exposure). Unfortunately, effective threat hunting practices remain out-of-reach for most organizations due to lack of security infrastructure and qualified people to manage advanced endpoint security solutions.
One solution to this problem is to hire a third party to conduct a periodic assessment geared toward discovery of unauthorized access and compromised systems. This is called a "compromise assessment" and just recently compromise assessments have become one of the most requested services from top security service providers.
Customers don’t want to just know if they can be hacked (a good penetration tester will generally conclude “yes”) they want to know if they ARE hacked—right now—and if so, what endpoints/hosts/servers on their network are compromised.
In this presentation, which was originally prepared for Black Hat 2018, Chris Gerritz outlines the growing practice of compromise assessments and the best practices being utilized by some of the largest and most sophisticated managed security service providers (MSSPs) with this offering.
What approaches are most effective?
What data is being utilized?
What are some of the top challenges?
To request a free 100-node compromise assessment or to learn more about Infocyte HUNT — our comprehensive threat hunting platform — and start a free trial, please visit https://try.infocyte.com.
In software development, many security designs are needed to fulfill both functional and non-functional requirement. However, it is hard to design some specific security requirements properly because some security domains are not easy to understand. Using security patterns can reduce the complexity of the designs especially the widely used patterns.
This presentation will talk about what are security patterns, their values and how they have been used in software development with some examples in two security domains. One domain is cryptography and another is access control domain.
The Windows Logging Cheat Sheet is the definitive guide on learning where to start with Windows Logging. How to Enable, Configure, Gather and Harvest events so you can catch a hacker in the act.
One of the most critical aspects of safeguarding the IT assets of any corporation is dealing with the Insider's Threat. With so many diversified IT components, it is a real challenge to design an effective IT security strategy. It is critical to recognize this particular threat and take countermeasures to protect your assets. So, this webinar covers: Insider threats, how to mitigate insider threats, how to design an effective IT security strategy, and how to protect your assets.
Main points covered:
• Insider threats
• How to design an effective IT security strategy
• How to protect your assets
Presenter:
The webinar was hosted by Demetris Kachulis. Mr. Kachulis is an expert in the field of Information Security. With over 20 years of Wall Street consulting experience, he has worked with many Fortune 500 companies. He is currently the director of Eldion Consulting, a company offering Security, Trainings and Business solutions.
Link of the recorded session published on YouTube: https://youtu.be/hXe5HHjnBeU
IBM InfoSphere Guardium provides the simplest, most robust solution for assuring the privacy and integrity of trusted information in your data center (SAP, PeopleSoft, Cognos, Siebel, etc.) and reducing costs by automating the entire compliance auditing process in heterogeneous environments.
Sqrrl and IBM: Threat Hunting for QRadar UsersSqrrl
This joint webinar, in collaboration with IBM, offers a look at the industry leading Threat Hunting App for IBM QRadar. By combining the threat detection capabilities of QRadar and Sqrrl, security analysts are armed with advanced analytics and visualization to hunt for unknown threats and more efficiently investigate known incidents.
Watch the training with audio here: http://info.sqrrl.com/sqrrl-ibm-threat-hunting-for-qradar-users
The latest Cybsersecurity Framework (Version 1) has been released by NIST(USA) and I have taken the key features of this critical Framework on Cybersecurity and converted into Mindmap for ease of readers.Please share your comments at my Email Id: Wajahat_Iqbal@Yahoo.com.Thank You
Note: The Source of Information are the Internet repositories and the Author does not take any responsibility for any Errors
Classify information and supporting assets (e.g., sensitivity, criticality), Determine and maintain ownership (e.g., data owners, system owners, business/mission
owners), Protect privacy, Ensure appropriate retention (e.g., media, hardware, personnel), Determine data security controls (e.g., data at rest, data in transit), Establish handling requirements (markings, labels, storage, destruction of sensitive
information)
The New Pentest? Rise of the Compromise AssessmentInfocyte
If an attacker had a foothold in your network today, would you know it?
If they made it past your real-time defense measures (EDR, EPP, AV, UEBA, firewalls, etc.) or an analyst misinterpreted a critical alert, chances are they've entrenched themselves for the long haul. Skilled and organized attackers know long-term persistence in your network is the most critical component to meeting their goal of stealing information, causing damage, or pivoting attacks on other organizations.
Threat hunting is the proactive practice of finding attackers in your environment before they can cause damage (or at least stop the bleeding from continued exposure). Unfortunately, effective threat hunting practices remain out-of-reach for most organizations due to lack of security infrastructure and qualified people to manage advanced endpoint security solutions.
One solution to this problem is to hire a third party to conduct a periodic assessment geared toward discovery of unauthorized access and compromised systems. This is called a "compromise assessment" and just recently compromise assessments have become one of the most requested services from top security service providers.
Customers don’t want to just know if they can be hacked (a good penetration tester will generally conclude “yes”) they want to know if they ARE hacked—right now—and if so, what endpoints/hosts/servers on their network are compromised.
In this presentation, which was originally prepared for Black Hat 2018, Chris Gerritz outlines the growing practice of compromise assessments and the best practices being utilized by some of the largest and most sophisticated managed security service providers (MSSPs) with this offering.
What approaches are most effective?
What data is being utilized?
What are some of the top challenges?
To request a free 100-node compromise assessment or to learn more about Infocyte HUNT — our comprehensive threat hunting platform — and start a free trial, please visit https://try.infocyte.com.
In software development, many security designs are needed to fulfill both functional and non-functional requirement. However, it is hard to design some specific security requirements properly because some security domains are not easy to understand. Using security patterns can reduce the complexity of the designs especially the widely used patterns.
This presentation will talk about what are security patterns, their values and how they have been used in software development with some examples in two security domains. One domain is cryptography and another is access control domain.
The Windows Logging Cheat Sheet is the definitive guide on learning where to start with Windows Logging. How to Enable, Configure, Gather and Harvest events so you can catch a hacker in the act.
One of the most critical aspects of safeguarding the IT assets of any corporation is dealing with the Insider's Threat. With so many diversified IT components, it is a real challenge to design an effective IT security strategy. It is critical to recognize this particular threat and take countermeasures to protect your assets. So, this webinar covers: Insider threats, how to mitigate insider threats, how to design an effective IT security strategy, and how to protect your assets.
Main points covered:
• Insider threats
• How to design an effective IT security strategy
• How to protect your assets
Presenter:
The webinar was hosted by Demetris Kachulis. Mr. Kachulis is an expert in the field of Information Security. With over 20 years of Wall Street consulting experience, he has worked with many Fortune 500 companies. He is currently the director of Eldion Consulting, a company offering Security, Trainings and Business solutions.
Link of the recorded session published on YouTube: https://youtu.be/hXe5HHjnBeU
개인PC에 업무자료 저장을 금지시켜 내부자료 유출을 원천 차단하고 모든 자료는 중앙 파일서버에만 통합 저장하여 관리하는 전사적 파일보안 솔루션
사용자PC에 자료가 존재하지 않는 문서중앙화 환경을 제공하여 내부자료유출이 원천적으로 차단됩니다.
동일 파일을 여러 사람이 수정하는 경우 자동 이력관리로 시점 별 파일 복원 및 사용자의 실수 또는 고의로 삭제된 문서의 복원으로 체계적 문서 중앙 관리가 가능합니다.
개인PC 리소스를 활용하여 성능저하가 없고 초기 구축비용이 현저하게 절감됩니다.
Safe Box solution for data protecting
You can also check it in Sales Sharing Site "www.lunchntouch.com"
If you want a brochure in your language,
send E-mail below E-mail address unquestioningly!
(English, Chinese, Japanese, french, Portuguese, Spanish, etc)
Import & Export discussion Welcome, too!
Thank you for your touch!
E-mail address : yun@lunchntouch.com
"We can Make happy place for small business! Let's do it!!"
= Lunch N Touch =
조직내 권한 계정에 대한 탐색-온보딩-접근제어-감사-기록
접근제어 및 인증 관리
-통합 인증
(Single Sign-On)
- 비밀번호 사용 없는
MFA적용
- 엔드포인트 접속
-Identity 보안
권한 제어
- 자격증명 정보 관리
-공용 계정 및 접속 계정에
대한 세션 관리
- 적절한 권한으로 적절한 시간에 사용 제어
자격관리(Entitlements)
- 프로비저지닝/디프로비저닝 관리
- 사용 권한에 대한 모니터링 및
관리
"Secret Asset"은 일반적으로 보안 및 비밀 유지를 위해 조직이나 개인이 보유하고 있는 중요한 자산을 지칭하는 용어로 보안 과 관련된 다양한 정보, 자료, 자원, 시스템, 서비스 등으로 암호화키, 패스워드, API 토큰, 인증서, 민감한 데이터, 기밀 문서, 저 작권 소유권 등의 무형 자산과 그 자산을 관리하는 시스템, 서버, 서비스, 소프트웨어 등 유형 자산을 포함합니다. CSAM은 클라우드 환경에서의 이러한 다양한 비밀자산을 관리하는 솔루션입니다.
자산관리 대상에 대한 명확한 기준 정보 관리, 운영관리, 비용관리, 인프라 구축, 초기 데이터 이행, 통계정보 및 사용자 관리의 전 영역을 포함하는
IT통합 자산DB로 구성되어 있으며 Life Cycle 관리를 통하여 불필요한 비용을 절감하고 일원화된 관리 시스템으로 담당자의 업무 부담 감소와 효율성을 향상 시킬 수 있습니다
ESM solution
엔드 포인트 보안관리 솔루션 End-point Security Management
핵심 All In One [정보유출방지,개인정보보호, 화면워터마킹, 매체통제, 온라인보안, 문서관리, 출력물보안, 물리보안]
All In One 통합 보안관리
물리보안, 출력물, 네트워크, 문서 및 개인정보, 보안 검사까지 전반적인 전산 보안 구축 및 운영 시 필요한 모든 기능을 하나의 시스템으로 구현하여 운영 관리의 효율성 극대
K-Defense R8(vKeypad)는 가상 보안키패드로서, 키보드를 사용하지 않고 입력단 정보를 보호는 기능을 제공 합니다. 가상 보안키패드와 키보드보안 솔루션을 병행 운영하여 이용자 환경과 선택에 따라 사용 할 수 있으며, 이는 보다 높은 안정성과 보안성을 제공 됩니다.
키보드 입력 값에 대한 탈취는 정통적이고 지속적으로 발생되는 해킹 기법 중에 하나 하며, 점점 지능화 고도화 되고 있습니다. 그에 대응하여 키보드보안솔루션 영역이 확대되었고, 그 연장선에서 종단간암복화(End-To-End) 기능은 키보드 입력부터 암호화하여 WAS 서버에서 복호화를 수행하는데 패스워드 형태 값은 기밀성, 텍스트 행태 값은 무결성을 보장하게 하여 메모리 참조 및 변조 취약점에 대응하는 보안성 높은 구조를 제공 합니다.
ActiveX 형태에서 제공 되던 인터페이스 함수를 똑 같이 non-ActiveX에서도 지원하여 실 작업자 분들에게 편의성과 호환성을 제공하고 사후 관리에서도 도움 됩니다.
4. 2. 보안의 중요성
보안의 중요성을 이해하고 있는가?
컴퓨터 보안사고 유형별 피해규모
$170,827,000
(약 1,700억원)
$115,753,000 (약 1,150억원)
$50,099,000 (약 500억원)
$49,979,000 (약 500억원)
$18,370,500 (약 180억원)
$15,134,000 (약 150억원)
$13,055,000 (약 130억원)
$11,766,500 (118억원)
$6,015,000 (약 60억원)
$4,503,000 (약 45억원)
0 20M$
기밀 정보 유출
금융
사기
내부 네트워크 남용
바이러스
서비스 거부
시스템 파괴
시스템 침투
노트북 절도
전화 사기
비인가자 불법 접근
40M$ 60M$ 100M$ 160M$
4
5. 보안의 중요성을 이해하고 있는가?
정보유출 피해 건수
신분별분야별
건
수
방법별구
분
출처 : 국가정보원 (2006년 산업보안 관련 분석보고)
5
2. 보안의 중요성
6. 정보보호의 방법 및 절차를 이해하고 있는가?
기업과 구성원 간 정보인정
=> 기업은 모든 구성원이 회사의 자산이며, 직원은 내가 취급하는 정보는 회사의 자산이며, 이에
따른 기업의 보호행위를 인정 : 관련규정 제정 및 손질 => 주기적인 교육/감사 강화, 적절한 상/벌
제도 운영
서로를 인정하며,
공동운명체 의식 함양
외부로부터의 유혹에
기업방어 자부심 형성
기업 정보보호 행위에
대한 내부 공감대 형성
내부공감대,제도적
기반형성
•보안 및 사용자 교육 • 기술적 보완요소 결정
안정적 정책운영
• 취약성, 위험요소 파악
• 근거마련 및 합의 도출
• 미비점 보안
• 적용 정책 파악
정책적용 기반형성
6
절차
2. 보안의 중요성
7. 구축 전/후 보안효과 분석
7
번호 기능 보안시스템 구축 전 보안시스템 구축 후
1 이동저장장치
● 자유롭게 사용
● 내부유통 시 평문 상태로 자유롭게 이용
● 로그관리 부족
● 사용여부 및 복호화(반출) 통제
● 저장시점 자동 암호화
- 내부공유 시 암호상태 유통 유도
● 로그관리 강화
- 사용자, 일시, 파일명, 사유, 파일원본
2 CD-RW ● 자유롭게 사용 ● 사용여부 및 반출 통제
3 내부 네트워크 공유 ● 자유롭게 허용 ● 보안그룹별 통제 (보안그룹 외 차단)
4 FTP 파일 업로드 ● 자유롭게 이용 ● 파일 업로드 통제 (등록된 FTP 서버)
5 포트 사용
● 네트워크 방화벽에서 차단되지 않은
포트사용 가능
● 네트워크 방화벽에서 허용된 포트 제어
6 프린터 제어 ● 자유롭게 사용
● 사용여부 통제 및 문서실명제 유도
● 로그관리 가능 (파일명, 인쇄내용)
7 SMTP 메일
● 자유롭게 사용
● 스팸메일서버를 통한 로그관리
● 파일첨부 통제 (차단/허용)
● 로그관리 강화 (반출사유, 파일원본)
8 Web 메일 ● 자유롭게 사용
● 파일첨부 통제 (차단/허용/파일 암호화)
● 로그관리 강화 (반출사유, 파일원본)
9 보안화면 ● 사용자 설정으로 강제적용 곤란 ● 관리자에 의해 강제 적용
10 노트북 통제 ● 외부 사용 시 위험 노출 ● 보안시스템 출장모드 정책 수행
11 인터넷 제어 ● IE 환경에서 자유롭게 사용 ● 사이트 / 메신저 / P2P 차단 가능
12 개인 폴더암호화 ● 개인별 프로그램 구입에 따른 사용 ● 보안정책에 의거 일괄제공
종합
본인의
정보유출 억제력
● 본인의 심리적 동기변화에 민감 ● 1년 365일 높은 보안의식 유지
2. 보안의 중요성
8. 보안 ROI (Return On Investment)를 이해하고 있는가?
8
2. 보안의 중요성
보호하고자 하는 정보자산에 관한 철저한 위험성 평가(Risk Assessment)
RISK = 취약성(Vulnerability) * 위협(Threat) * 자산 (Asset)
정보절취 또는 분실에 따른 손실(5%)
정보누설에 따른 손실(15%)
프린터 또는 복사장치를 이용한 불법 정보유출 손실(20%)
Off-Line에 의한 이동저장매체를 이용한 불법 정보유출 손실(30%)
On-Line에 의한 메일이나 유/무선 통신을 이용한 불법 정보유출 손실(30%)
정보를 취급하고 있는 구성원의 수
고객이 평가한 정보의 자산 가치(금액)
취약성 위험
자산
RISK 종합(1,000만원 가치의 정보를 취급하는 구성원이 10명이라고 가정)
1. 정보절취 또는 분실에 따른 RISK = 0.05*10*1000 = 500 만원
2. 정보누설에 따른 RISK = 0.15*10*1000 = 1500 만원
3. 프린터 또는 복사장치를 이용한 불법 정보유출 RISK = 0.2*10*1000 = 2000 만원
4. Off-Line에 의한 이동저장매체를 이용한 불법 정보유출 RISK = 0.3*10*1000 = 3000 만원
5. On-Line에 의한 메일이나 유/무선 통신을 이용한 불법 정보유출 RISK = 0.3*10*1000 = 3000 만원
1억원
+
α
핵심 위협만을 고려하더라도 전체 RISK 120명일 시 정보자산 약12억 + α
9. 보안의 중요성을 이해하고 있는가?
전산환경 개선 및 비용절감 효과 (300명 기준)
9
2. 보안의 중요성
항목 구축 전 구축 후 효과 비고
네트워크 트래픽 평균 80~90% 이상 평균 60% 수준 유지 약 30% 향상
업무 외적 웹서핑 자제,
불필요한 파일공유 근절
사무용품
구매
프린터 토너, 카트리지 교체 주기 평균 2개월 평균 3개월 약 50% 절감
불필요한 출력(인쇄) 근절
프린터 인쇄용지 1개월 소모량 평균 6~7 Box 평균 4~5 Box 약 35% 절감
11. 3. 직원과 회사를 보호하는 방법
지켜야 할 것
11
○ 빈손으로 출근, 빈손으로 퇴근한다.
○ 불요불급하지 않는 문서는 복사하지 않는다.
○ 비밀이 포함된 문서나 자료 또는 폐지, 휴지는 반드시 폐기하며 단 한 장이라도
함부로 버리지 않는다.
○ 입 조심하기를 마치 병마개 같이 하여 “말로만의 보안”을 강조하거나,
“너만 알고 있어”라며 비밀을 흘리지 않는다.
○ 작은 정보라도 경쟁사에 큰 도움이 될 수 있다는 것을 명심한다.
○ 업무수행관련 지식이나 노하우는 문서화하여 지적 자산으로 등록 후 활용한다.
○ 통제구역도 알 필요도 없고 갈 필요도 없으며 무단출입하지 않는다.
○ 3내(작업시 視內, 결재시 手內, 보관시 函內)의 원칙을 항상 지키며 비밀자료가
보관된 문서함은 반드시 잠근다.
○ 비밀유출의 주된 경로는 항상 내부에 있음을 명심하자.
12. 3. 직원과 회사를 보호하는 방법
○ 퇴근 때나 자리를 잠시 비울 때에는 방치되는 자료가 없도록 항상 정리
정돈한다.
○ 전출 또는 퇴직 시 보유하고 있는 모든 비밀문서는 반납한다.
○ 사내 상주 외부인(외국기술고문 및 고용인, 컨설턴트, A/S 업체)에 대한
내부정보 제공은 정보유출의 경로가 됨을 명심하자.
○ 내 주변에 누군가가 기밀을 탐지하고자 기도하고 있을 가능성을 항상 명심하여
보안상의 허점은 없는지 살펴보고 점검한다.
○ 보안의 취약부분은 항상 보안담당자에게 통보하고 조치하며, 보안사고 발생시
은폐하지 말고 보안관리자에게 즉시 보고하여 대처한다.
○ 내방객의 사무실 출입을 최대한 억제한다.
○ 문서류, 디스켓, CD를 승인 없이 무단 반출하지 않는다.
○ 모든 PC는 반드시 부팅 패스워드를 적용하며, 화면보호기 기능과 암호를
설정한다.
12
지켜야 할 것
13. 13
3. 직원과 회사를 보호하는 방법
○ 공유 폴더를 사용하는 경우에는 반드시 암호를 설정한다.
○ 바이러스 검색 및 예방 소프트웨어를 설치하고 초기 동작 시에 작동토록
하며 항상 최신 버전을 유지하도록 자동 업데이트한다.
○ 시스템을 사용하지 않을 때나 자리를 비울 때는 반드시 로그아웃 한다.
○ 인터넷 브라우저 보안레벨은 사용업무에 따라 적정한 레벨로 조정
사용한다.
○ 외부로 메시지(e-mail, FTP 등)를 전송할 때는 반드시 회사에서 지급한
계정만을 사용한다.
지켜야 할 것
14. 14
3. 직원과 회사를 보호하는 방법
버려야 할 것
○ 업무편의를 이유로 의도적으로 비밀등급을 하향 조정한다.
○ 직위 등을 내세워 절차나 규정을 무시한다.
○ 우리 부서에는 비밀이 될 만한 문서가 없다고 생각한다.
○ 비밀자료를 사유화 또는 사장화한다.
○ 문서를 필요이상으로 복사, 이면지로 사용하거나 함부로 휴지통에 버린다.
○ 기업비밀․영업자료 등이 포함된 중요문서를 충분한 보안성 검토 없이
무단 폐기, 폐지 등으로 외부 반출되도록 한다.
○ 퇴근시 자료 및 서류를 책상 위에 그대로 방치한다.
○ 여행시․술집 등에서 접촉하는 상대방에게 신원 확인 없이 자신이 알고 있는
회사비밀을 과시하고 자랑하거나 업무내용을 알려준다
○ 퇴직한 옛 동료나 혈연, 지연, 학연 등으로부터 요청을 받고 대외보안이
요구되는 회사 비밀자료를 제공한다.
15. 15
3. 직원과 회사를 보호하는 방법
○ 내방객을 불필요하게 사무실로 안내한다.
○“규정은 규정이고 현실은 현실이다”, “보안수칙은 업무를 저해하는 번거로운
것이다”라고 생각, 보안수칙 및 절차를 무시한다.
○ 동료의 보안위반 사실을 공공연히 눈감아 준다.
○ 네트워크 공유 사유가 소멸되었는데도 공유해제를 소홀히 한다.
○ 인가된 전문가 아닌 아무에게나 장비를 점검 보수한다.
○ 불법 소프트웨어, 비인가 소프트웨어 등을 업무용으로 사용한다.
○ e-mail을 통해 허가되지 않은 자료 및 중요 데이터를 유출한다.
○ 전산 출력물을 규정에 따라 처리하지 않는다.
○ 공통 ID나 부서관리자 ID를 개인용도로 사용하며, 사용자 ID를 타인에게
대여하거나 패스워드를 알려준다.
버려야 할 것
16. 16
3. 직원과 회사를 보호하는 방법
스스로 지켜야 할 것
○ 비밀유출의 주된 경로는 항상 내부에 있음을 명심한다.
○ 퇴근 때나 자리를 잠시 비울 때에는 방치되는 자료가 없도록 항상 정리 정돈한다.
○ 사내 상주 외부인(외국기술고문 및 고용인, 컨설턴트, A/S업체)에 대한 내부정보 제공은
정보유출의 경로가 됨을 명심한다.
○ 내 주변에 누군가가 기밀을 탐지하고자 기도하고 있을 가능성을 항상 명심하여 보안상의
허점은 없는지 살펴보고 점검한다.
○ 문서류, 디스켓, CD등은 보안담당자 승인 없이 무단 반출하지 않는다.
○ 모든 PC는 반드시 부팅 패스워드를 적용하며, 화면보호기 기능과 암호를 설정한다.
○ 시스템을 사용하지 않을 때나 자리를 비울 때는 반드시 로그아웃 한다.
○ 외부로 메시지(e-mail, FTP 등)를 전송할 때는 반드시 회사에서 지급한 계정만을 사용
17. 17
3. 직원과 회사를 보호하는 방법
○ 직위 등을 내세워 절차나 규정 무시
○ 우리 부서에는 비밀이 될 만한 문서가 없다는 생각
○ 기업비밀․연구자료 등을 보안성 검토 없이 무단폐기, 외부 반출
○ 퇴근시 자료 및 서류를 책상 위에 방치
○ 외부에서 접촉하는 상대방에게 신원 확인 없이 자신이 알고 있는 회사비밀 과시
○ 퇴직한 옛 동료나 지인에게 회사 비밀자료 제공
○ ″규정은 규정이고 현실은 현실이다″, ″보안수칙은 업무를 저해하는 번거로운
것이다″라는 생각
○ e-mail을 통해 허가되지 않은 자료 및 중요 데이터를 외부로 유출
○ 사용자 ID를 타인에게 대여하거나 패스워드를 알려 주는 행위
스스로 버려야 할 것