SlideShare a Scribd company logo

Sua 강의자료 2주차_관리체계(2014.03.18)_최종

Lee Chanwoo
Lee Chanwoo

2주차 강의

Engineering
1 of 51
Download to read offline
보안읽어주는남자 ISMS, PIMS, ISO 27001
2013년1200 억(원)규모였던 국내보안컨설팅시장은 정보통신기반시설이늘어나고, ISMS 의무인증이시행됨에따라20% 이상성장할것. 미래부는지난해12월보안업체12개, 시스템통합(SI)·감리업체가8개로부터신규지정신청을받고심사에착수 관련법령 정보통신산업진흥법제33조(지식정보보안컨설팅전문업체의지정) 정보통신산업진흥법시행규칙제7조~ 제17조 지식정보보안컨설팅전문업체의지정등에관한고시(지경부고시제2009-174호)
지식정보보안컨설팅전문업체운영목적은? 기반시설관리기관이전자적침해행위에효과적으로대응할수있도록전문업체를적극활용하여주요정보통신기반시설의취약점분석·평가업무및보호대책수립업무를지원하기위함
정보보호관리체계를사용하는이유는? 관리체계를도입하여실제사이클대로움직여본다면 전체적인맥락에서우리기업에서정보를보호해야할자산을식별할수있고, 위험도를산정하여중요도를체크해서관리할수있다. 이를통해갑작스러운사고나장애에대비하여즉각적대응이가능하다.
정보보호관리체계를3가지측면에서살펴보겠습니다. 비교를통해공통점과차이점을살펴보도록하겠습니다.
SUA ISMS ISMS + ISO27001 + PIMS Structure Cycle Category Content 관리과정과 보호대책으로구성 PIMS는생명주기추가→ Plan→Do→See 통제분야: 15개(평균) 통제항목: 122개(평균) 전문적인용어 중복되는내용
SUA ISMS 1. 정책관리 2. 조직관리 3. 인적보안관리 4. 자산관리 5. 교육관리 6. 물리적보안관리 7. 개발보안관리 8. 운영관리 9. 네트워크보안관리 10. 서버보안관리 11. 응용프로그램보안관리 12. 전자거래보안관리 13. 데이터베이스보안관리 14. 침해사고관리 15. 매체관리 16. 보안감사
16가지통제항목에대해자세히살펴보겠습니다. PDS 개념을활용해볼까요?
Plan See Do Check Act Plan DoSUA ISMS
1 정책관리
SUA ISMS No 통제내용 템플릿 References P.1.1 경영층은정보보호에대한의지가있다. ISO/IEC 27001 A.6.1.1 정보보안에대한경영층의의지 P.1.2 정보보호정책이수립되어있다. 정보보호정책 ISMS 1.2.2 정책시행문서수립ISMS 10.1.1 접근통제정책수립ISMS 9.1.1 암호정책수립ISMS 9.2.1 암호키생성및이용ISMS 11.3.2 정보전송정책수립및협약체결ISMS 1.1.1 정책의승인PIMS 1.2.1 지침, 절차및표준수립PIMS 7.1.1 접근통제정책수립PIMS 7.2.1 암호정책PIMS 7.2.3 키관리PIMS 1.1.1 정책의승인ISO/IEC 27001 A.5.1.1 정보보안정책문서ISO/IEC 27001 A.11.1.1 접근통제정책ISO/IEC 27001 A.12.3.1 암호기법사용의정책ISO/IEC 27001 A.12.3.2 Key 관리ISO/IEC 27001 A.10.8.1 정보교환정책및절차ISO/IEC 27001 A.10.8.2 교환협정ISO/IEC 27001 A.10.8.4 전자메세지ISO/IEC 27001 A.10.8.5 업무정보시스템 P.1.3 정보보호세부지침이수립되어있다. 정보보호세부지침(조직관리지침, 인적보안지침, 자산관리지침, 교육관리지침, 물리적보안관리지침, 개발보안관리지침, 운영관리지침, 네트워크보안관리지침, 서버보안관리지침, 어플리케이션보안관리지침, 전자거래보안관리지침, DB 보안관리지침, 침해사고관리지침, 정보유출관리지침, 감사지침)
SUA ISMS No 통제내용 템플릿 References P.1.4 정보보호정책이일관성이유지되고있다. (예. 정보보호정책과세부지침, 절차, 계획의내용이동일함) 정보보호정책 PIMS 1.2.2 정책간의일관성 P.1.5 정보보호정책이법적요구사항이반영되고있다. (예. 개인정보보호법, 정보통신망법등이반영됨) 정보보호정책 ISMS 1.2.1 상위정책과의연계성PIMS 9.1.1 법적요구사항명시ISO/IEC 27001 A.6.1.6 상급기관과의연락 D.1.1 정보보호정책이공표되었다. (예. 그룹웨어, 이메일등을통해정보보호정책이공지됨) 정보보호정책 ISMS 1.1.2 정책의공표PIMS 1.1.2 정책의공표 S.1.1 정보보호정책이주기적으로검토되어개선되고있다. (예. 정보보호정책이1년에1회이상검토됨) 정보보호정책 ISMS 1.3.1 정책의검토ISMS 1.3.2 정책문서관리PIMS 1.3.1 정책의주기적검토PIMS 1.3.2 정책문서관리ISO/IEC 27001 A.5.1.2 정보보안정책의검토
2 조직관리
SUA ISMS No 통제내용 템플릿 References P.2.1 정보보호조직이정의되어있다. (예. 직무기술서또는인사관련문서에조직도, 역할및책임이기술되어있음) 직무기술서인사관련문서 ISMS 2.1.1 정보보호최고책임자지정ISMS 2.2.1 역할및책임ISMS 6.1.2 직무분리PIMS 2.1.2 개인정보관리책임자(CPO) 지정PIMS 2.2.1 역할및책임PIMS 2.1.3 개인정보취급부서별책임자및담당자지정PIMS 7.1.6 개인정보취급자의책임PIMS 7.3.2 직무분리ISO/IEC 27001 A.6.1.2 정보보안역할조정ISO/IEC 27001 A.6.1.3 정보보안책임의배정ISO/IEC 27001 A.8.1.1 역할및책임ISO/IEC 27001 A.10.1.3 책임의구분 P.2.2 정보보호조직의의사소통체계가수립되어있다. 비상연락망 PIMS 2.2.2 보고및의사소통체계 D.2.1 정보보호조직이운영되고있다. 직무기술서인사관련문서 ISMS 2.1.2 실무조직구성PIMS 2.1.1 개인정보보호조직체계구성 S.2.1 정보보호관련사항에대한검토및의사결정이되고있다. 정보보호위원회회의록 ISMS 2.1.3 정보보호위원회ISO/IEC 27001 A.6.1.8 정보보안에대한독립적인검토ISO/IEC 27001 A.6.1.7 전문가이해집단과의연락
3 인적보안관리
SUA ISMS No 통제내용 템플릿 References P.3.1 임직원및외부자에대한정보보호통제절차및계획이수립되어있다. 출입통제절차서출입관리대장 ISMS 6.1.1 주요직무자지정및감독PIMS 5.1.1 개인정보취급자감독ISO/IEC 27001 A.8.2.1 관리자책임사항 P.3.2 외부자계약시보안요구사항이명시되어있다. (예. 계약서에보안관련패널티조항이있음) 외부자계약서 ISMS 3.1.1 외부자계약시보안요구사항ISO/IEC 27001 A.6.2.1 외부업체와관련된위험식별 D.3.1 임직원으로부터비밀유지서약서를받고있다. 개인정보보호서약서비밀유지서약서 ISMS 6.1.3 비밀유지서약서PIMS 5.2.1 개인정보보호서약ISO/IEC 27001 A.6.1.5 기밀유지서약서ISO/IEC 27001 A.8.1.3 고용조건과약정사항 D.3.2 퇴직및직무변경시자산반납및접근권한이변경된다. 퇴직자확인서 ISMS 6.2.1 퇴직및직무변경관리ISO/IEC 27001 A.10.3.3 접근권한의제거ISO/IEC 27001 A.10.3.2 자산의반납ISO/IEC 27001 A.10.3.1 퇴직시책임사항 D.3.3 임직원의정보보호활동에따른상벌규정이있다. 인사규정 ISMS 6.2.2 상벌규정PIMS 5.1.2 인사규정ISO/IEC 27001 A.8.2.3 징계 D.3.4 외부자에대한보안요구사항이이행되고있다. 외부자보안점검대장 ISMS 3.2.1 외부자보안이행관리ISO/IEC 27001 A.10.2.1 서비스제공 D.3.5 외부자계약만료시보안절차가수행되고있다. 외부자자산반납확인서 ISMS 3.2.2 외부자계약말료시보안ISO/IEC 27001 A.10.2.3 제3자서비스의변경관리 S.3.1 외부자에대한보안요구사항의이행이주기적으로점검되고있다. 외부자보안점검대장 ISO/IEC 27001 A.10.2.2 제3자서비스의모니터링검토
4 자산관리
SUA ISMS No 통제내용 템플릿 References P.4.1 정보자산관리절차및계획이수립되어있다. 자산관리절차서 ISMS 4.1.1 정보자산식별ISMS 4.1.2 정보자산별책임할당ISMS 4.2.1 보안등급과취급ISMS 11.1.2 변경관리PIMS 3.1.1 개인정보조사PIMS 3.1.2 개인정보및개인정보관리자산별책임할당PIMS 3.2.2 개인정보및개인정보자산보안등급과취급PIMS 7.3.1 정보관련자산의변경관리PIMS 7.4.6 변경관리절차ISO/IEC 27001 A.7.1.1 자산목록ISO/IEC 27001 A.7.1.3 자산의허가된사용방법ISO/IEC 27001 A.7.1.2 자산소유권ISO/IEC 27001 A.7.2.2 정보자산라벨링및취급ISO/IEC 27001 A.7.2.1 분류지침ISO/IEC 27001 A.8.1.2 선별심사ISO/IEC27001 A.10.1.2 변경관리ISO/IEC27001 A.12.5.1 변경관리절차 D.4.1 정보자산이식별, 분류, 폐기되고있다. 자산관리대장 S.4.1 정보자산의변경관리가주기적으로점검되고있다.. 자산관리대장
5 교육관리
SUA ISMS No 통제내용 템플릿 References P.5.1 교육절차및계획이수립되어있다. 교육절차서교육계획서 ISMS 5.1.1 교육계획ISMS 5.1.2 교육대상ISMS 5.1.3 교육내용및방법PIMS 4.1.1 교육및훈련대상PIMS 4.1.2 교육및훈련내용ISO/IEC 27001 A.8.2.2 정보보안인식, 교육및훈련 D.5.1 교육이정기적으로실시되고있다. (예. 개인정보보호, 모의훈련등연1회이상교육이력이있음) 교육참석자명단교육결과보고서교육이력관리대장 ISMS 5.2.1 교육시행및평가PIMS 4.1.2 교육및훈련내용ISMS 12.2.1 침해사고훈련ISMS 13.2.2 시험및유지관리PIMS 6.2.1 침해사고대응교육및훈련 S.5.1 교육에대한평가가이루어지고있다. 교육결과보고서교육이력관리대장 PIMS 4.2.2 교육및훈련평가
6 물리적보안관리
SUA ISMS No 통제내용 템플릿 References P.6.1 보호구역이지정되었으며보호대책이수립되어있다. 물리적보안관리절차서 ISMS 7.1.1 보호구역지정PIMS 8.1.1 물리적보호구역ISO/IEC 27001 A.9.1.1 물리적보안구역 P.6.2 시스템이특성에맞게배치되고관리될수있는체계가수립되어있다. ISMS 7.2.2 시스템배치및관리ISO/IEC 27001 A.9.2.1 설비위치및보호 P.6.3 정보처리설비를위한허가절차가정의되어있다. ISO/IEC 27001 A.6.1.4 정보처리설비에대한인가절차 D.6.1 비인가자로부터의사무실및개인업무환경에대한보호대책이이행되고있다. 출입관리대장 ISMS 7.3.1 개인업무환경보안ISMS 7.3.2 공용업무환경보안PIMS 8.3.1 사무실보호 D.6.2 각보호구역마다중요도및특성에따른설비가운영되고있다. 자산관리대장 ISMS 7.1.2 보호설비ISO/IEC 27001 A.9.1.3 사무실, 룸, 설비에대한보안
SUA ISMS No 통제내용 템플릿 References D.6.3 출력, 복사시용도에따라출력항목이최소화되고있다. 출력물관리대장 PIMS 7.5.1 출력, 복사시용도특정 D.6.4 전력및통신케이블이방해또는손상되지않도록보호되고있다. 자산관리대장 ISMS 7.2.1 케이블보안PIMS 8.2.1 케이블보호ISO/IEC 27001 A.9.2.3 케이블보안 D.6.5 보호구역내∙외의작업은절차에의해보호되고있다. 방문신청서출입관리대장 ISMS 7.1.3 보호구역내작업ISO/IEC 27001 A.9.1.5 보안지역에서의작업ISO/IEC 27001 A.9.1.4 보안구역의보호ISO/IEC 27001 A.9.2.5 외부설비보안ISO/IEC 27001 A.10.7.4 시스템문서보안ISO/IEC 27001 A.11.3.3 책상정리및화면정리정책 S.6.1 비인가자에대한출입통제가이루어지며관리대장이주기적으로검토되고있다. 출입관리대장 ISMS 7.1.4 출입통제PIMS 8.1.2 물리적접근통제ISO/IEC 27001 A.9.1.6 외부접근, 운송및적하지역ISO/IEC 27001 A.9.1.2 물리적인출입통제
Coffee Break!
7 개발보안관리
SUA ISMS No 통제내용 템플릿 References P.7.1 신규정보시스템개발및기존정보시스템변경시, 정보보호기본요소가고려된보안요구사항이정의되어있다. 요구사항정의서 ISMS 8.1.1 보안요구사항정의PIMS 7.4.1 분석및설계보안관리PIMS 3.2.1 개인정보흐름분석ISO/IEC 27001 A.12.1.1 보안요구사항분석및명세화ISO/IEC 27001 A.6.2.2 고객대응시보안언급ISO/IEC 27001 A.6.2.3 제3자합의에서의보안언급 P.7.2 정보시스템외주개발시, 보안준수사항이계약서에명시되어있다. 외부자계약서 D.7.1 정보시스템설계및개발시, 법적요구사항이반영된보안요구사항이반영되고있다. 요구사항정의서 ISMS 8.1.2 인증및암호화기능ISMS 8.1.3 보안로그기능 D.7.2 정보시스템설계및개발시, 업무의목적및중요도에따라접근권한이부여되어있다. 요구사항정의서 ISMS 8.1.4 접근권한기능 D.7.3 보안요구사항이반영된정보시스템기능이테스트되고있다. 테스트결과서 ISMS 8.2.1 구현및시험PIMS 7.4.2 구현및시험 D.7.4 정보시스템테스트시운영데이터가보호되고있다. 로그관리대장 ISMS 8.2.4 시험데이터보안PIMS 7.4.4 테스트데이터의보안ISO/IEC 27001 A.12.4.3 프로그램소스코드에대한접근통제
SUA ISMS No 통제내용 템플릿 References D.7.5 소스프로그램이접근통제절차에따라보호되고있다. 로그관리대장 ISMS 8.2.5 소스프로그램보안PIMS 7.4.5 소스프로그램접근보안ISO/IEC 27001 A.12.5.5 외주소프트웨어개발ISO/IEC 27001 A.10.4.2 모바일코드에대한통제 D.7.6 개발및테스트환경과운영환경은분리되어있다. 로그관리대장 ISMS 8.2.2 개발과운영환경분리PIMS 7.3.3 개발과운영환경의분리ISO/IEC 27001 A.10.1.4 개발, 테스트및운영시설의분리 D.7.7 이관절차에따라운영환경으로이관되고있다. 이관절차서 ISMS 8.2.3 운영환경이관PIMS 7.4.3 운영환경이행보안ISO/IEC 27001 A.8.4.2 시스템테스트데이터의보호 D.7.8 정보시스템외주개발시, 보안준수사항에따라관리되고있다. 외부자계약서 ISMS 8.3.1 외주개발보안 D.7.9 신규정보시스템개발및기존정보시스템변경시, 보안요구사항이인수계획서에따라인수되고있다. 인수계획서 ISMS 11.2.1 정보시스템인수ISO/IEC 27001 A.10.3.2 시스템승인 S.7.1 신규정보시스템개발및기존정보시스템변경시, 정의된보안요구사항이반영되었는지주기적으로검토되고있다. 요구사항정의서
8 운영관리
SUA ISMS No 통제내용 템플릿 References P.8.1 정보시스템운영을위한절차및계획이수립되어있다. 예) 성능관리, 로그관리, 계정관리, 패치관리, 백업관리, 장애관리 성능관리계획서로그관리계획서계정관리계획서패치관리계획서백업관리계획서장애관리계획서 ISMS 11.1.1 운영절차수립ISMS 11.2.2 보안시스템운영ISMS 11.2.4 장애관리ISO/IEC 27001 A.10.1.1 문서화된운영절차ISO/IEC 27001 A.10.10.5 결함로깅 D.8.1 정보시스템기록이표준시각에따라저장되고, 정보시스템의저장된기록은법적요구사항에따라보존되고있다. 로그관리대장 ISMS 11.6.2 로그기록및보존ISMS 11.6.1 시각동기화PIMS 9.3.2 개인정보열람기록검토및오남용방지PIMS 9.3.3 개인정보처리기록검토및위변조방지PIMS 9.3.4 시각동기화ISO/IEC 27001 A.10.10.3 로그정보의보호ISO/IEC 27001 A.10.10.4 관리자및운영자로그ISO/IEC 27001 A.10.10.1 감사로깅ISO/IEC 27001 A.10.10.2 모니터링시스템의사용ISO/IEC 27001 A.10.10.6 시간동기화 D.8.2 정보시스템접근통제를위한접근권한이승인되고있다. 권한관리대장 ISMS 10.2.1 사용자등록및권한부여ISMS 10.2.2 관리자및특수권한관리ISMS 10.3.2 사용자식별PIMS 7.1.2 개인정보취급자등록PIMS 7.1.3 개인정보취급자권한관리ISO/IEC 27001 A.11.2.1 사용자등록ISO/IEC 27001 A.11.2.2 권한관리
SUA ISMS No 통제내용 템플릿 References D.8.3 정보시스템접근통제가수행되고있다. 예) 사용자인증, 로그인횟수제한, 불법로그인시도경고등 로그관리대장 ISMS 10.3.1 사용자인증ISO/IEC 27001 A.7.5.2 사용자식별및인증 D.8.4 사용자패스워드가관리되고있다. 예) 내부임직원 계정관리계획서 ISMS 10.3.3 사용자패스워드관리ISO/IEC 27001 A.11.3.1 패스워드사용ISO/IEC 27001 A.11.2.3 사용자패스워드관리ISO/IEC 27001 A.11.5.3 패스워드관리시스템 D.8.5 외부이용자패스워드가관리되고있다. 예) 고객, 회원등 계정관리계획서 ISMS 10.3.4 이용자패스워드관리PIMS 7.1.4 이용자패스워드관리PIMS 7.2.2 암호사용 D.8.6 정보시스템이주기적으로백업되고있다. 백업관리계획서 ISMS 11.2.9 백업관리ISO/IEC 27001 A.10.5.1 정보백업 D.8.7 정보시스템에패치가적용되고, 적용후영향이분석되고있다. 패치관리계획서 ISMS 11.5.2 패치관리 S.8.1 정보시스템에대한접근통제가주기적으로점검되고있다. 권한관리대장 ISMS 10.2.3 접근권한검토ISMS 11.6.3 접근및사용모니터링PIMS 7.1.5 개인정보취급자의접근권한검토PIMS 9.3.2 개인정보처리활동모니터링ISO/IEC 27001 A.11.2.4 사용자접근권한에대한검토 S.8.2 정보시스템의저장된기록은주기적으로검토되고있다. 예) 사용자인증, 로그인횟수제한, 불법로그인시도경고등 로그관리대장 S.8.3 정보자산의가용성보장을위해지속적인모니터링이되고있다. 성능관리계획서백업관리계획서장애관리계획서 ISMS 11.2.3 성능및용량관리ISO/IEC 27001 A.10.3.1 용량관리ISO/IEC 27001 A.9.2.4 설비유지보수
9 네트워크보안관리
SUA ISMS No 통제내용 템플릿 References P.9.1 네트워크보안을위한비인가접근통제, 원격접속설비관리, 네트워크분리등을포함한관리절차가수립되어있다. 네트워크보안관리절차서 PIMS 7.3.4 네트워크운영대책ISO/IEC 27001 A.11.4.1 네트워크서비스사용에대한정책 D.9.1 서비스의특성에따라네트워크가분리되어있다. 네트워크구성도 ISO/IEC 27001 A.11.4.5 네트워크의분리ISO/IEC 27001 A.11.6.2 민감한시스템의격리 D.9.2 네트워크상의장비가식별되고있다. 자산관리대장 ISO/IEC 27001 A.11.4.3 네트워크상의장비식별 D.9.3 외부네트워크에서의접근통제가되고있다. (예. 비인가자의접근통제, 인증, 원격진단및포트에대한접근통제, 라우팅통제, 스마트워크보안) 권한관리대장로그관리대장 ISMS 11.2.5 원격운영관리ISMS 11.2.6 스마트워크보안ISMS 10.4.1 네트워크접근PIMS 7.3.6 원격운영관리PIMS 7.3.11 원격작업PIMS 7.1.7 네트워크접근ISO/IEC 27001 A.11.4.7 네트워크라우팅통제ISO/IEC 27001 A.11.4.2 외부접속에대한사용자인증ISO/IEC 27001 A.11.4.4 원격진단및구성포트의보호ISO/IEC 27001 A.11.7.2 텔레워킹ISO/IEC 27001 A.10.6.1 네트워크통제ISO/IEC 27001 A.11.4.6 네트워크접근통제ISO/IEC 27001 A.10.6.2 네트워크서비스의보안 D.9.4 외부네트워크로의접근통제가되고있다. (예. 인터넷접속제한) 권한관리대장로그관리대장 ISMS 10.4.6 인터넷접속PIMS 7.3.5 인터넷접속관리 D.9.5 무선네트워크에대한보호대책이이행되고있다. (예. 무선랜, 모바일기기) 무선랜관리대장무선랜사용신청서 ISMS 11.2.7 무선네트워크보안ISMS 10.4.5 모바일기기접근ISO/IEC 27001 A.11.7.1 모바일컴퓨팅및통신
10 서버보안관리
SUA ISMS No 통제내용 템플릿 References P.10.1 서버및공개서버에대한보호대책이수립되어있다. 서버보안관리절차서 ISMS 10.4.2 서버접근ISMS 11.2.8 공개서버보안PIMS 7.1.8 운영체제접근PIMS 7.3.12 공개서버보안관리PIMS 7.4.7 운영체제변경시의검토ISO/IEC 27001 A.10.9.3 공공이사용가능한시스템 D.10.1 서버에대한접근허가자, 접근수단등을정의및적용되어있다. 권한관리대장 S.10.1 서버변경시보안에미치는영향이분석, 검토되고있다. 서버보안관리절차서
11 응용프로그램보안관리
SUA ISMS No 통제내용 템플릿 References P.11.1 응용프로그램에대한보호대책이수립되어있다. 응용프로그램보안관리절차서 D.11.1 응용프로그램에대한접근통제가수행되고있다. 예) 로그온, 터미널타임아웃, 접속시간등 권한관리대장로그관리대장 ISMS 10.4.3 응용프로그램접근PIMS 7.1.9 응용프로그램접근ISO/IEC 27001 A.12.5.2 운영시스템변경의기술적검토ISO/IEC 27001 A.12.4.1 운영소프트웨어의통제ISO/IEC 27001 A.11.5.1 안전한로그온절차ISO/IEC 27001 A.11.5.5 터미널타임아웃ISO/IEC 27001 A.11.5.6 접속시간의제한ISO/IEC 27001 A.11.6.1 정보접근제한 D.11.2 응용프로그램에대한변경이통제되고있다. 응용프로그램보안관리절차서 PIMS 7.4.8 소프트웨어패키지변경ISO/IEC 27001 A.12.5.3 소프트웨어패키지에대한변경의제약조건 D.11.3 응용프로그램에서의데이터가적절히검증되고있다. (예. 입,출력데이터검증) 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.2.1 입력데이터검증ISO/IEC 27001 A.12.2.4 출력데이터검증 D.11.4 응용프로그램오류로인해정보변조가되지않도록개발되어있다. (예. 응용프로그램의데이터가변조없이내부처리됨) 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.2.2 내부프로세싱의통제 D.11.5 응용프로그램의메시지무결성이보장되어있다. (예. 송신데이터가변조없이수신됨) 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.2.3 메시지무결성 D.11.6 응용프로그램의정보누출이예방되고있다. 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.5.4 정보의누출
12 전자거래보안관리
SUA ISMS No 통제내용 템플릿 References P.12.1 전자거래시, 정보유출방지대책이수립되어있다. 전자거래보안관리절차서 ISMS 11.3.1 전자거래보안ISO/IEC 27001 A.10.9.2 온라인거래ISO/IEC 27001 A.10.9.1 전자상거래 D.12.1 전자거래시보안이유지되고있다. (예. 부정행위, 허가받지않는유출및수정으로부터보호됨) 전자거래보안관리절차서
13 데이터베이스보안관리
SUA ISMS No 통제내용 템플릿 References P.13.1 데이터베이스접근에대한응용프로그램및직무별접근통제정책이수립되어있다. 데이터베이스보안관리절차서 ISMS 10.4.4 데이터베이스접근PIMS 7.1.10 데이터베이스접근PIMS 7.6.1 개인정보마스킹 D.13.1 데이터사전및데이터베이스유틸리티에대한접근통제, 중요정보의암호화등을통해데이터베이스내의정보가보호되고있다. 권한관리대장로그관리대장 S.13.1 사용자접근내역을기록하고접근의타당성이정기적으로검토되고있다. 권한관리대장로그관리대장
14 침해사고관리
SUA ISMS No 통제내용 템플릿 References P.14.1 침해사고에대한대응절차가수립되어있다. (예. 침해시도의사전탐지를위한모니터링체계, 침해사고유형별대응, 복구절차, 외부기관및전문가들의협조체계) 침해사고관리절차서비상연락망 ISMS 11.6.4 침해시도모니터링ISMS 12.1.2 침해사고대응절차수립ISMS 12.1.2 침해사고대응체계구축PIMS 6.1.1 침해사고대응계획수립PIMS 6.1.2 침해사고대응체계구축ISO/IEC 27001 A.13.2.1 책임및절차ISMS 11.5.1 악성코드통제PIMS 7.3.9 악성프로그램통제ISO/IEC 27001 A.10.4.1 악성코드에대한통제 P.14.2 재해를대비한복구체계및계획이수립되어있다. 재해복구계획서 ISMS 13.1.1 IT 재해복구체계구축ISO/IEC 27001 A.14.1.3 정보보안을포함한연속성계획의개발및전개ISO/IEC 27001 A.9.2.2 지원시설ISMS 13.2.1 영향분석에따른복구대책수립 D.14.1 정보시스템의기술적취약점점검이주기적으로이루어지고, 발견한취약점들은필요한조치가취해지고있다. (예. 허가되지않은어플리케이션의사용) 취약점분석보고서 ISMS 11.2.10 취약점점검PIMS 9.2.2 기술적점검ISO/IEC 27001 A.13.1.2 보안취약점보고ISO/IEC 27001 A.12.6.1 기술적취약점의통제ISO/IEC 27001 A.11.5.4 시스템장비에대한사용
SUA ISMS No 통제내용 템플릿 References D.14.2 침해사고발생징후인지시에는보고절차에따라신속히보고되고있다. 침해사고관리절차서비상연락망침해사고보고서 ISMS 12.2.2 침해사고보고PIMS 6.2.2 침해사고보고ISO/IEC 27001 A.13.1.1 정보보안이벤트보고 D.14.3 침해사고발생시대응및복구절차에따라서신속히수행되고있다. 침해사고관리절차서 ISMS 12.2.3 침해사고처리및복구PIMS 6.2.3 침해사고처리및복구 S.14.1 침해사고종결후침해사고내용이분석되고있다. 침해사고분석서 ISO/IEC 27001 A.13.2.3 증거수집ISO/IEC 27001 A.14.1.1 사업연속성관리프로세스내에정보보안포함ISO/IEC 27001 A.14.1.2 사업연속성및위험평가ISO/IEC 27001 A.14.1.4 사업연속성관리프레임워크 S.14.2 분석된침해사고내용의후속조치가수행되고있다. (예. 관련조직및임직원들에게공유, 재발방지대책수립및침해사고관리절차서변경) 침해사고관리절차서 ISMS 12.3.1 침해사고분석및공유PIMS 6.3.1 침해사고분석및정보공유ISMS 12.3.2 재발방지PIMS 6.3.2 침해사고재발방지ISO/IEC 27001 A.13.2.2 정보보안사고로부터의교훈ISO/IEC 27001 A.14.1.5 사업연속성계획의테스트유지보수및재평가
15 매체관리
SUA ISMS No 통제내용 템플릿 References P.15.1 매체의취급에대한절차가수립되어있다. (예. 사용, 기록, 보관, 폐기) 매체관리절차서 ISMS 11.4.1 정보시스템저장매체관리ISMS 11.4.2 휴대용저장매체관리ISMS 7.1.5 모바일기기반출입PIMS 7.3.7 매체취급및보관PIMS 7.3.8 매체의폐기PIMS 7.3.10 이동컴퓨팅PIMS 7.5.2 출력,복사시기록및승인PIMS 8.2.2 장비의안전한폐기및재사용ISO/IEC 27001 A.10.7.2 미디어폐기ISO/IEC 27001 A.9.2.6 폐기(처분) 또는장비재사용에대한보안ISO/IEC 27001 A.9.2.7 자산의이동ISO/IEC 27001 A.10.7.1 탈착형컴퓨터미디어의관리ISO/IEC 27001 A.10.7.3 정보취급절차ISO/IEC 27001 A.11.2.3 방치한사용자장비ISO/IEC 27001 A.10.8.3 운송중인미디어보안 D.15.1 매체의취급절차에따라서통제되고있다. (예. 사용, 기록, 보관, 폐기) 매체관리대장 S.15.1 매체의취급절차가주기적으로검토되고있다. 매체관리대장
16 보안감사
SUA ISMS No 통제내용 템플릿 References P.16.1 보안감사절차및계획이수립되어있다. 보안감사계획서 PIMS 9.2.1 정책의준수검토PIMS 9.4.1 보안감사계획및이행PIMS 9.4.2 감사결과및사후관리 D.16.1 보안감사절차및계획에따라서감사가시행되고있다. 보안감사결과서 D.16.2 보안감사결과가책임자에게보고되고있다. 보안감사결과서 S.16.1 보안감사결과는사후관리를통해개선되고있다. 보안감사결과서
관리체계의큰그림이그려지시나요? SUA ISMS 요점만간단히다시한번살펴보도록하겠습니다.
SUA ISMSSUA ISMS 1. 정책관리(7) 2. 조직관리(4) 3. 인적보안관리(8) 4. 자산관리(3) 5. 교육관리(3) 6. 물리적보안관리(9) 7. 개발보안관리(12) 8. 운영관리(11) 9. 네트워크보안관리(6) 10. 서버보안관리(3) 11. 응용프로그램보안관리(7) 12. 전자거래보안관리(2) 13. 데이터베이스보안관리(3) 14. 침해사고관리(7) 15. 매체관리(3) 16. 보안감사(4) 92개통제항목
What’s Next? SUA ISMS
THANK YOU SUAISMS

Recommended

정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
시온시큐리티
 
141224 정보보호 summit 키노트 v1.03 발표
141224 정보보호 summit 키노트 v1.03 발표141224 정보보호 summit 키노트 v1.03 발표
141224 정보보호 summit 키노트 v1.03 발표
Eunseong Kang
 
2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안
시온시큐리티
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
시온시큐리티
 
2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함 2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함
시온시큐리티
 
04.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언104.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언1
시온시큐리티
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
시온시큐리티
 
2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온
시온시큐리티
 

Recommended

정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
시온시큐리티
 
141224 정보보호 summit 키노트 v1.03 발표
141224 정보보호 summit 키노트 v1.03 발표141224 정보보호 summit 키노트 v1.03 발표
141224 정보보호 summit 키노트 v1.03 발표
Eunseong Kang
 
2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안
시온시큐리티
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
시온시큐리티
 
2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함 2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함
시온시큐리티
 
04.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언104.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언1
시온시큐리티
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
시온시큐리티
 
2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온
시온시큐리티
 
02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입
InGuen Hwang
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
eungjin cho
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년
시온시큐리티
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
시온시큐리티
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
시온시큐리티
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
시온시큐리티
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리
시온시큐리티
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
시온시큐리티
 
내부자에 의한 정보유출 차단
내부자에 의한 정보유출 차단내부자에 의한 정보유출 차단
내부자에 의한 정보유출 차단
Eugene Chung
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
eungjin cho
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료silverfox2580
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처
InGuen Hwang
 
보안교육자료
보안교육자료보안교육자료
보안교육자료
YoungJin Shin
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
시온시큐리티
 
시큐어디스크 ECM
시큐어디스크 ECM시큐어디스크 ECM
시큐어디스크 ECM
시온시큐리티
 
Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503silverfox2580
 
2014 ns 제안서__시온
2014 ns 제안서__시온2014 ns 제안서__시온
2014 ns 제안서__시온
시온시큐리티
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
시온시큐리티
 
01.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.2501.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.25
InGuen Hwang
 
2016 sua 발표스터디 이찬우
2016 sua 발표스터디 이찬우2016 sua 발표스터디 이찬우
2016 sua 발표스터디 이찬우
Lee Chanwoo
 
Sua 정보보호관리체계 최종_강의교안
Sua 정보보호관리체계 최종_강의교안Sua 정보보호관리체계 최종_강의교안
Sua 정보보호관리체계 최종_강의교안
Lee Chanwoo
 

More Related Content

What's hot

02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입
InGuen Hwang
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
eungjin cho
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년
시온시큐리티
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
시온시큐리티
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
시온시큐리티
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
시온시큐리티
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리
시온시큐리티
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
시온시큐리티
 
내부자에 의한 정보유출 차단
내부자에 의한 정보유출 차단내부자에 의한 정보유출 차단
내부자에 의한 정보유출 차단
Eugene Chung
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
eungjin cho
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료silverfox2580
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처
InGuen Hwang
 
보안교육자료
보안교육자료보안교육자료
보안교육자료
YoungJin Shin
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
시온시큐리티
 
시큐어디스크 ECM
시큐어디스크 ECM시큐어디스크 ECM
시큐어디스크 ECM
시온시큐리티
 
Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503silverfox2580
 
2014 ns 제안서__시온
2014 ns 제안서__시온2014 ns 제안서__시온
2014 ns 제안서__시온
시온시큐리티
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
시온시큐리티
 
01.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.2501.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.25
InGuen Hwang
 

What's hot (20)

02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
 
내부자에 의한 정보유출 차단
내부자에 의한 정보유출 차단내부자에 의한 정보유출 차단
내부자에 의한 정보유출 차단
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처
 
보안교육자료
보안교육자료보안교육자료
보안교육자료
 
security framework2.20
security framework2.20security framework2.20
security framework2.20
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
 
시큐어디스크 ECM
시큐어디스크 ECM시큐어디스크 ECM
시큐어디스크 ECM
 
Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503
 
2014 ns 제안서__시온
2014 ns 제안서__시온2014 ns 제안서__시온
2014 ns 제안서__시온
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
01.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.2501.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.25
 

Viewers also liked

2016 sua 발표스터디 이찬우
2016 sua 발표스터디 이찬우2016 sua 발표스터디 이찬우
2016 sua 발표스터디 이찬우
Lee Chanwoo
 
Sua 정보보호관리체계 최종_강의교안
Sua 정보보호관리체계 최종_강의교안Sua 정보보호관리체계 최종_강의교안
Sua 정보보호관리체계 최종_강의교안
Lee Chanwoo
 
중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음
중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음
중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음
진종 최
 
Sua 강의자료 1주차_ot(2014.03.14)_최종
Sua 강의자료 1주차_ot(2014.03.14)_최종Sua 강의자료 1주차_ot(2014.03.14)_최종
Sua 강의자료 1주차_ot(2014.03.14)_최종
Lee Chanwoo
 
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
james yoo
 
금뽀 송예림 발표자료(최종)
금뽀 송예림 발표자료(최종)금뽀 송예림 발표자료(최종)
금뽀 송예림 발표자료(최종)
Lee Chanwoo
 
We make standard 최종 발표(20131218)
We make standard 최종 발표(20131218)We make standard 최종 발표(20131218)
We make standard 최종 발표(20131218)
Lee Chanwoo
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
Lee Chanwoo
 
금뽀 장웅태 발표자료(최종)
금뽀 장웅태 발표자료(최종)금뽀 장웅태 발표자료(최종)
금뽀 장웅태 발표자료(최종)
Lee Chanwoo
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
Lee Chanwoo
 
2016 레몬세미나 발표자료 이찬우 final
2016 레몬세미나 발표자료 이찬우 final2016 레몬세미나 발표자료 이찬우 final
2016 레몬세미나 발표자료 이찬우 final
Lee Chanwoo
 
Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본
Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본
Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본
Lee Chanwoo
 
최종 Sua 레몬세미나_발표자료(2014.10.26)
최종 Sua 레몬세미나_발표자료(2014.10.26)최종 Sua 레몬세미나_발표자료(2014.10.26)
최종 Sua 레몬세미나_발표자료(2014.10.26)
Lee Chanwoo
 
Security plus 강남대_발표자료(2015.7.18)
Security plus 강남대_발표자료(2015.7.18)Security plus 강남대_발표자료(2015.7.18)
Security plus 강남대_발표자료(2015.7.18)
Lee Chanwoo
 
2013 산업보안 공모전_대학(원)생부_sua_최종
2013 산업보안 공모전_대학(원)생부_sua_최종2013 산업보안 공모전_대학(원)생부_sua_최종
2013 산업보안 공모전_대학(원)생부_sua_최종
Lee Chanwoo
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z
시온시큐리티
 
2016 산업보안 공모전 일반부 장려상
2016 산업보안 공모전 일반부 장려상2016 산업보안 공모전 일반부 장려상
2016 산업보안 공모전 일반부 장려상
Lee Chanwoo
 
Sua 정보보호관리체계 cissp_암호학_강의교안
Sua 정보보호관리체계 cissp_암호학_강의교안Sua 정보보호관리체계 cissp_암호학_강의교안
Sua 정보보호관리체계 cissp_암호학_강의교안
Lee Chanwoo
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
Lee Chanwoo
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
Lee Chanwoo
 

Viewers also liked (20)

2016 sua 발표스터디 이찬우
2016 sua 발표스터디 이찬우2016 sua 발표스터디 이찬우
2016 sua 발표스터디 이찬우
 
Sua 정보보호관리체계 최종_강의교안
Sua 정보보호관리체계 최종_강의교안Sua 정보보호관리체계 최종_강의교안
Sua 정보보호관리체계 최종_강의교안
 
중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음
중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음
중소기업 ISMS수립 지원을 위한 정보보호지침서 및 서식 모음
 
Sua 강의자료 1주차_ot(2014.03.14)_최종
Sua 강의자료 1주차_ot(2014.03.14)_최종Sua 강의자료 1주차_ot(2014.03.14)_최종
Sua 강의자료 1주차_ot(2014.03.14)_최종
 
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
 
금뽀 송예림 발표자료(최종)
금뽀 송예림 발표자료(최종)금뽀 송예림 발표자료(최종)
금뽀 송예림 발표자료(최종)
 
We make standard 최종 발표(20131218)
We make standard 최종 발표(20131218)We make standard 최종 발표(20131218)
We make standard 최종 발표(20131218)
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_발표용_final
 
금뽀 장웅태 발표자료(최종)
금뽀 장웅태 발표자료(최종)금뽀 장웅태 발표자료(최종)
금뽀 장웅태 발표자료(최종)
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
 
2016 레몬세미나 발표자료 이찬우 final
2016 레몬세미나 발표자료 이찬우 final2016 레몬세미나 발표자료 이찬우 final
2016 레몬세미나 발표자료 이찬우 final
 
Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본
Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본
Sua 그린나래컨퍼런스 발표자료(2015.3.28)_최종본
 
최종 Sua 레몬세미나_발표자료(2014.10.26)
최종 Sua 레몬세미나_발표자료(2014.10.26)최종 Sua 레몬세미나_발표자료(2014.10.26)
최종 Sua 레몬세미나_발표자료(2014.10.26)
 
Security plus 강남대_발표자료(2015.7.18)
Security plus 강남대_발표자료(2015.7.18)Security plus 강남대_발표자료(2015.7.18)
Security plus 강남대_발표자료(2015.7.18)
 
2013 산업보안 공모전_대학(원)생부_sua_최종
2013 산업보안 공모전_대학(원)생부_sua_최종2013 산업보안 공모전_대학(원)생부_sua_최종
2013 산업보안 공모전_대학(원)생부_sua_최종
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z
 
2016 산업보안 공모전 일반부 장려상
2016 산업보안 공모전 일반부 장려상2016 산업보안 공모전 일반부 장려상
2016 산업보안 공모전 일반부 장려상
 
Sua 정보보호관리체계 cissp_암호학_강의교안
Sua 정보보호관리체계 cissp_암호학_강의교안Sua 정보보호관리체계 cissp_암호학_강의교안
Sua 정보보호관리체계 cissp_암호학_강의교안
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
 

Similar to Sua 강의자료 2주차_관리체계(2014.03.18)_최종

(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료훈 박
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
시온시큐리티
 
2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용 2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용
시온시큐리티
 
리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보
시온시큐리티
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
Lee Chanwoo
 
Guardium 데이터 보안
Guardium 데이터 보안Guardium 데이터 보안
Guardium 데이터 보안
유 김
 
개인정보마스킹솔루션안내문
개인정보마스킹솔루션안내문 개인정보마스킹솔루션안내문
개인정보마스킹솔루션안내문
시온시큐리티
 
개인정보마스킹솔루션안내문 Z
개인정보마스킹솔루션안내문 Z개인정보마스킹솔루션안내문 Z
개인정보마스킹솔루션안내문 Z
시온시큐리티
 
ITOM (IT operations management)
ITOM (IT operations management)ITOM (IT operations management)
ITOM (IT operations management)
에스티이지 (STEG)
 
IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개 IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개
유 김
 
디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안
SP-ACE
 
Online-Game by BMIS
Online-Game by BMISOnline-Game by BMIS
Online-Game by BMIS
rainfk@naver.com Shine
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
은옥 조
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
유 김
 
인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf
인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf
인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf
정환 이
 
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
은옥 조
 
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향Donghan Kim
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
Youngjun Chang
 
Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
lunchNtouch
 
201412 i sign_plus_sso_감사_시온
201412 i sign_plus_sso_감사_시온201412 i sign_plus_sso_감사_시온
201412 i sign_plus_sso_감사_시온
시온시큐리티
 

Similar to Sua 강의자료 2주차_관리체계(2014.03.18)_최종 (20)

(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용 2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용
 
리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
 
Guardium 데이터 보안
Guardium 데이터 보안Guardium 데이터 보안
Guardium 데이터 보안
 
개인정보마스킹솔루션안내문
개인정보마스킹솔루션안내문 개인정보마스킹솔루션안내문
개인정보마스킹솔루션안내문
 
개인정보마스킹솔루션안내문 Z
개인정보마스킹솔루션안내문 Z개인정보마스킹솔루션안내문 Z
개인정보마스킹솔루션안내문 Z
 
ITOM (IT operations management)
ITOM (IT operations management)ITOM (IT operations management)
ITOM (IT operations management)
 
IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개 IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개
 
디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안
 
Online-Game by BMIS
Online-Game by BMISOnline-Game by BMIS
Online-Game by BMIS
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
 
인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf
인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf
인스피언_통합로그관시스템(Anymon Plus)_제품 소개서_2020.pdf
 
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
 
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보&이벤트 관리 동향
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
 
Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
 
201412 i sign_plus_sso_감사_시온
201412 i sign_plus_sso_감사_시온201412 i sign_plus_sso_감사_시온
201412 i sign_plus_sso_감사_시온
 

More from Lee Chanwoo

AI_introduction and requirements(2024.05.12).pdf
AI_introduction and requirements(2024.05.12).pdfAI_introduction and requirements(2024.05.12).pdf
AI_introduction and requirements(2024.05.12).pdf
Lee Chanwoo
 
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
Lee Chanwoo
 
[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04
Lee Chanwoo
 
[이찬우 강사] Information security and digital sex crime_lecture(2020.09)
[이찬우 강사] Information security and digital sex crime_lecture(2020.09)[이찬우 강사] Information security and digital sex crime_lecture(2020.09)
[이찬우 강사] Information security and digital sex crime_lecture(2020.09)
Lee Chanwoo
 
[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)
[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)
[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)
Lee Chanwoo
 
[이찬우 강사] Persons with disabilities education(2020.02.05)
[이찬우 강사] Persons with disabilities education(2020.02.05)[이찬우 강사] Persons with disabilities education(2020.02.05)
[이찬우 강사] Persons with disabilities education(2020.02.05)
Lee Chanwoo
 
[이찬우 강사] Osstem implant information security education_final version(20181011)
[이찬우 강사] Osstem implant information security education_final version(20181011)[이찬우 강사] Osstem implant information security education_final version(20181011)
[이찬우 강사] Osstem implant information security education_final version(20181011)
Lee Chanwoo
 
[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)
[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)
[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)
Lee Chanwoo
 
[이찬우 강사] Korea it information security academy public seminar presentation_st...
[이찬우 강사] Korea it information security academy public seminar presentation_st...[이찬우 강사] Korea it information security academy public seminar presentation_st...
[이찬우 강사] Korea it information security academy public seminar presentation_st...
Lee Chanwoo
 
[이찬우 강사] Korea it information security academy dongyang mirae university job ...
[이찬우 강사] Korea it information security academy dongyang mirae university job ...[이찬우 강사] Korea it information security academy dongyang mirae university job ...
[이찬우 강사] Korea it information security academy dongyang mirae university job ...
Lee Chanwoo
 
[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)
[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)
[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)
Lee Chanwoo
 
[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714
[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714
[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714
Lee Chanwoo
 
[이찬우 강사] Ing life information security education 20180625 final version
[이찬우 강사] Ing life information security education 20180625 final version[이찬우 강사] Ing life information security education 20180625 final version
[이찬우 강사] Ing life information security education 20180625 final version
Lee Chanwoo
 
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
Lee Chanwoo
 
Cyber resilience 201705
Cyber resilience 201705Cyber resilience 201705
Cyber resilience 201705
Lee Chanwoo
 
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
Lee Chanwoo
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)
Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)
Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)
Lee Chanwoo
 

More from Lee Chanwoo (18)

AI_introduction and requirements(2024.05.12).pdf
AI_introduction and requirements(2024.05.12).pdfAI_introduction and requirements(2024.05.12).pdf
AI_introduction and requirements(2024.05.12).pdf
 
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
 
[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04[이찬우 강사] Security plus saas security assessment_2021.04
[이찬우 강사] Security plus saas security assessment_2021.04
 
[이찬우 강사] Information security and digital sex crime_lecture(2020.09)
[이찬우 강사] Information security and digital sex crime_lecture(2020.09)[이찬우 강사] Information security and digital sex crime_lecture(2020.09)
[이찬우 강사] Information security and digital sex crime_lecture(2020.09)
 
[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)
[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)
[이찬우 강사] Hyundai hcn busan_4th_indusry(2020.02.13)
 
[이찬우 강사] Persons with disabilities education(2020.02.05)
[이찬우 강사] Persons with disabilities education(2020.02.05)[이찬우 강사] Persons with disabilities education(2020.02.05)
[이찬우 강사] Persons with disabilities education(2020.02.05)
 
[이찬우 강사] Osstem implant information security education_final version(20181011)
[이찬우 강사] Osstem implant information security education_final version(20181011)[이찬우 강사] Osstem implant information security education_final version(20181011)
[이찬우 강사] Osstem implant information security education_final version(20181011)
 
[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)
[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)
[이찬우 강사] Sua_mentoring_career war vs employment battle_final_version(20180901)
 
[이찬우 강사] Korea it information security academy public seminar presentation_st...
[이찬우 강사] Korea it information security academy public seminar presentation_st...[이찬우 강사] Korea it information security academy public seminar presentation_st...
[이찬우 강사] Korea it information security academy public seminar presentation_st...
 
[이찬우 강사] Korea it information security academy dongyang mirae university job ...
[이찬우 강사] Korea it information security academy dongyang mirae university job ...[이찬우 강사] Korea it information security academy dongyang mirae university job ...
[이찬우 강사] Korea it information security academy dongyang mirae university job ...
 
[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)
[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)
[이찬우 강사] Hsp 4th industry innovation and financial security fn(20180721)
 
[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714
[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714
[이찬우 강사] Global convergence forum security of crypto currency exchange 20180714
 
[이찬우 강사] Ing life information security education 20180625 final version
[이찬우 강사] Ing life information security education 20180625 final version[이찬우 강사] Ing life information security education 20180625 final version
[이찬우 강사] Ing life information security education 20180625 final version
 
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
 
Cyber resilience 201705
Cyber resilience 201705Cyber resilience 201705
Cyber resilience 201705
 
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
 
Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)
Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)
Polaris 공개세미나 발표자료_기존 보안교육을 통해 살펴보는 평생학습과제_최종(2015.12.06)
 

Sua 강의자료 2주차_관리체계(2014.03.18)_최종

  • 2. 2013년1200 억(원)규모였던 국내보안컨설팅시장은 정보통신기반시설이늘어나고, ISMS 의무인증이시행됨에따라20% 이상성장할것. 미래부는지난해12월보안업체12개, 시스템통합(SI)·감리업체가8개로부터신규지정신청을받고심사에착수 관련법령 정보통신산업진흥법제33조(지식정보보안컨설팅전문업체의지정) 정보통신산업진흥법시행규칙제7조~ 제17조 지식정보보안컨설팅전문업체의지정등에관한고시(지경부고시제2009-174호)
  • 4. 정보보호관리체계를사용하는이유는? 관리체계를도입하여실제사이클대로움직여본다면 전체적인맥락에서우리기업에서정보를보호해야할자산을식별할수있고, 위험도를산정하여중요도를체크해서관리할수있다. 이를통해갑작스러운사고나장애에대비하여즉각적대응이가능하다.
  • 6. SUA ISMS ISMS + ISO27001 + PIMS Structure Cycle Category Content 관리과정과 보호대책으로구성 PIMS는생명주기추가→ Plan→Do→See 통제분야: 15개(평균) 통제항목: 122개(평균) 전문적인용어 중복되는내용
  • 7. SUA ISMS 1. 정책관리 2. 조직관리 3. 인적보안관리 4. 자산관리 5. 교육관리 6. 물리적보안관리 7. 개발보안관리 8. 운영관리 9. 네트워크보안관리 10. 서버보안관리 11. 응용프로그램보안관리 12. 전자거래보안관리 13. 데이터베이스보안관리 14. 침해사고관리 15. 매체관리 16. 보안감사
  • 9. Plan See Do Check Act Plan DoSUA ISMS
  • 11. SUA ISMS No 통제내용 템플릿 References P.1.1 경영층은정보보호에대한의지가있다. ISO/IEC 27001 A.6.1.1 정보보안에대한경영층의의지 P.1.2 정보보호정책이수립되어있다. 정보보호정책 ISMS 1.2.2 정책시행문서수립ISMS 10.1.1 접근통제정책수립ISMS 9.1.1 암호정책수립ISMS 9.2.1 암호키생성및이용ISMS 11.3.2 정보전송정책수립및협약체결ISMS 1.1.1 정책의승인PIMS 1.2.1 지침, 절차및표준수립PIMS 7.1.1 접근통제정책수립PIMS 7.2.1 암호정책PIMS 7.2.3 키관리PIMS 1.1.1 정책의승인ISO/IEC 27001 A.5.1.1 정보보안정책문서ISO/IEC 27001 A.11.1.1 접근통제정책ISO/IEC 27001 A.12.3.1 암호기법사용의정책ISO/IEC 27001 A.12.3.2 Key 관리ISO/IEC 27001 A.10.8.1 정보교환정책및절차ISO/IEC 27001 A.10.8.2 교환협정ISO/IEC 27001 A.10.8.4 전자메세지ISO/IEC 27001 A.10.8.5 업무정보시스템 P.1.3 정보보호세부지침이수립되어있다. 정보보호세부지침(조직관리지침, 인적보안지침, 자산관리지침, 교육관리지침, 물리적보안관리지침, 개발보안관리지침, 운영관리지침, 네트워크보안관리지침, 서버보안관리지침, 어플리케이션보안관리지침, 전자거래보안관리지침, DB 보안관리지침, 침해사고관리지침, 정보유출관리지침, 감사지침)
  • 12. SUA ISMS No 통제내용 템플릿 References P.1.4 정보보호정책이일관성이유지되고있다. (예. 정보보호정책과세부지침, 절차, 계획의내용이동일함) 정보보호정책 PIMS 1.2.2 정책간의일관성 P.1.5 정보보호정책이법적요구사항이반영되고있다. (예. 개인정보보호법, 정보통신망법등이반영됨) 정보보호정책 ISMS 1.2.1 상위정책과의연계성PIMS 9.1.1 법적요구사항명시ISO/IEC 27001 A.6.1.6 상급기관과의연락 D.1.1 정보보호정책이공표되었다. (예. 그룹웨어, 이메일등을통해정보보호정책이공지됨) 정보보호정책 ISMS 1.1.2 정책의공표PIMS 1.1.2 정책의공표 S.1.1 정보보호정책이주기적으로검토되어개선되고있다. (예. 정보보호정책이1년에1회이상검토됨) 정보보호정책 ISMS 1.3.1 정책의검토ISMS 1.3.2 정책문서관리PIMS 1.3.1 정책의주기적검토PIMS 1.3.2 정책문서관리ISO/IEC 27001 A.5.1.2 정보보안정책의검토
  • 14. SUA ISMS No 통제내용 템플릿 References P.2.1 정보보호조직이정의되어있다. (예. 직무기술서또는인사관련문서에조직도, 역할및책임이기술되어있음) 직무기술서인사관련문서 ISMS 2.1.1 정보보호최고책임자지정ISMS 2.2.1 역할및책임ISMS 6.1.2 직무분리PIMS 2.1.2 개인정보관리책임자(CPO) 지정PIMS 2.2.1 역할및책임PIMS 2.1.3 개인정보취급부서별책임자및담당자지정PIMS 7.1.6 개인정보취급자의책임PIMS 7.3.2 직무분리ISO/IEC 27001 A.6.1.2 정보보안역할조정ISO/IEC 27001 A.6.1.3 정보보안책임의배정ISO/IEC 27001 A.8.1.1 역할및책임ISO/IEC 27001 A.10.1.3 책임의구분 P.2.2 정보보호조직의의사소통체계가수립되어있다. 비상연락망 PIMS 2.2.2 보고및의사소통체계 D.2.1 정보보호조직이운영되고있다. 직무기술서인사관련문서 ISMS 2.1.2 실무조직구성PIMS 2.1.1 개인정보보호조직체계구성 S.2.1 정보보호관련사항에대한검토및의사결정이되고있다. 정보보호위원회회의록 ISMS 2.1.3 정보보호위원회ISO/IEC 27001 A.6.1.8 정보보안에대한독립적인검토ISO/IEC 27001 A.6.1.7 전문가이해집단과의연락
  • 16. SUA ISMS No 통제내용 템플릿 References P.3.1 임직원및외부자에대한정보보호통제절차및계획이수립되어있다. 출입통제절차서출입관리대장 ISMS 6.1.1 주요직무자지정및감독PIMS 5.1.1 개인정보취급자감독ISO/IEC 27001 A.8.2.1 관리자책임사항 P.3.2 외부자계약시보안요구사항이명시되어있다. (예. 계약서에보안관련패널티조항이있음) 외부자계약서 ISMS 3.1.1 외부자계약시보안요구사항ISO/IEC 27001 A.6.2.1 외부업체와관련된위험식별 D.3.1 임직원으로부터비밀유지서약서를받고있다. 개인정보보호서약서비밀유지서약서 ISMS 6.1.3 비밀유지서약서PIMS 5.2.1 개인정보보호서약ISO/IEC 27001 A.6.1.5 기밀유지서약서ISO/IEC 27001 A.8.1.3 고용조건과약정사항 D.3.2 퇴직및직무변경시자산반납및접근권한이변경된다. 퇴직자확인서 ISMS 6.2.1 퇴직및직무변경관리ISO/IEC 27001 A.10.3.3 접근권한의제거ISO/IEC 27001 A.10.3.2 자산의반납ISO/IEC 27001 A.10.3.1 퇴직시책임사항 D.3.3 임직원의정보보호활동에따른상벌규정이있다. 인사규정 ISMS 6.2.2 상벌규정PIMS 5.1.2 인사규정ISO/IEC 27001 A.8.2.3 징계 D.3.4 외부자에대한보안요구사항이이행되고있다. 외부자보안점검대장 ISMS 3.2.1 외부자보안이행관리ISO/IEC 27001 A.10.2.1 서비스제공 D.3.5 외부자계약만료시보안절차가수행되고있다. 외부자자산반납확인서 ISMS 3.2.2 외부자계약말료시보안ISO/IEC 27001 A.10.2.3 제3자서비스의변경관리 S.3.1 외부자에대한보안요구사항의이행이주기적으로점검되고있다. 외부자보안점검대장 ISO/IEC 27001 A.10.2.2 제3자서비스의모니터링검토
  • 18. SUA ISMS No 통제내용 템플릿 References P.4.1 정보자산관리절차및계획이수립되어있다. 자산관리절차서 ISMS 4.1.1 정보자산식별ISMS 4.1.2 정보자산별책임할당ISMS 4.2.1 보안등급과취급ISMS 11.1.2 변경관리PIMS 3.1.1 개인정보조사PIMS 3.1.2 개인정보및개인정보관리자산별책임할당PIMS 3.2.2 개인정보및개인정보자산보안등급과취급PIMS 7.3.1 정보관련자산의변경관리PIMS 7.4.6 변경관리절차ISO/IEC 27001 A.7.1.1 자산목록ISO/IEC 27001 A.7.1.3 자산의허가된사용방법ISO/IEC 27001 A.7.1.2 자산소유권ISO/IEC 27001 A.7.2.2 정보자산라벨링및취급ISO/IEC 27001 A.7.2.1 분류지침ISO/IEC 27001 A.8.1.2 선별심사ISO/IEC27001 A.10.1.2 변경관리ISO/IEC27001 A.12.5.1 변경관리절차 D.4.1 정보자산이식별, 분류, 폐기되고있다. 자산관리대장 S.4.1 정보자산의변경관리가주기적으로점검되고있다.. 자산관리대장
  • 20. SUA ISMS No 통제내용 템플릿 References P.5.1 교육절차및계획이수립되어있다. 교육절차서교육계획서 ISMS 5.1.1 교육계획ISMS 5.1.2 교육대상ISMS 5.1.3 교육내용및방법PIMS 4.1.1 교육및훈련대상PIMS 4.1.2 교육및훈련내용ISO/IEC 27001 A.8.2.2 정보보안인식, 교육및훈련 D.5.1 교육이정기적으로실시되고있다. (예. 개인정보보호, 모의훈련등연1회이상교육이력이있음) 교육참석자명단교육결과보고서교육이력관리대장 ISMS 5.2.1 교육시행및평가PIMS 4.1.2 교육및훈련내용ISMS 12.2.1 침해사고훈련ISMS 13.2.2 시험및유지관리PIMS 6.2.1 침해사고대응교육및훈련 S.5.1 교육에대한평가가이루어지고있다. 교육결과보고서교육이력관리대장 PIMS 4.2.2 교육및훈련평가
  • 22. SUA ISMS No 통제내용 템플릿 References P.6.1 보호구역이지정되었으며보호대책이수립되어있다. 물리적보안관리절차서 ISMS 7.1.1 보호구역지정PIMS 8.1.1 물리적보호구역ISO/IEC 27001 A.9.1.1 물리적보안구역 P.6.2 시스템이특성에맞게배치되고관리될수있는체계가수립되어있다. ISMS 7.2.2 시스템배치및관리ISO/IEC 27001 A.9.2.1 설비위치및보호 P.6.3 정보처리설비를위한허가절차가정의되어있다. ISO/IEC 27001 A.6.1.4 정보처리설비에대한인가절차 D.6.1 비인가자로부터의사무실및개인업무환경에대한보호대책이이행되고있다. 출입관리대장 ISMS 7.3.1 개인업무환경보안ISMS 7.3.2 공용업무환경보안PIMS 8.3.1 사무실보호 D.6.2 각보호구역마다중요도및특성에따른설비가운영되고있다. 자산관리대장 ISMS 7.1.2 보호설비ISO/IEC 27001 A.9.1.3 사무실, 룸, 설비에대한보안
  • 23. SUA ISMS No 통제내용 템플릿 References D.6.3 출력, 복사시용도에따라출력항목이최소화되고있다. 출력물관리대장 PIMS 7.5.1 출력, 복사시용도특정 D.6.4 전력및통신케이블이방해또는손상되지않도록보호되고있다. 자산관리대장 ISMS 7.2.1 케이블보안PIMS 8.2.1 케이블보호ISO/IEC 27001 A.9.2.3 케이블보안 D.6.5 보호구역내∙외의작업은절차에의해보호되고있다. 방문신청서출입관리대장 ISMS 7.1.3 보호구역내작업ISO/IEC 27001 A.9.1.5 보안지역에서의작업ISO/IEC 27001 A.9.1.4 보안구역의보호ISO/IEC 27001 A.9.2.5 외부설비보안ISO/IEC 27001 A.10.7.4 시스템문서보안ISO/IEC 27001 A.11.3.3 책상정리및화면정리정책 S.6.1 비인가자에대한출입통제가이루어지며관리대장이주기적으로검토되고있다. 출입관리대장 ISMS 7.1.4 출입통제PIMS 8.1.2 물리적접근통제ISO/IEC 27001 A.9.1.6 외부접근, 운송및적하지역ISO/IEC 27001 A.9.1.2 물리적인출입통제
  • 26. SUA ISMS No 통제내용 템플릿 References P.7.1 신규정보시스템개발및기존정보시스템변경시, 정보보호기본요소가고려된보안요구사항이정의되어있다. 요구사항정의서 ISMS 8.1.1 보안요구사항정의PIMS 7.4.1 분석및설계보안관리PIMS 3.2.1 개인정보흐름분석ISO/IEC 27001 A.12.1.1 보안요구사항분석및명세화ISO/IEC 27001 A.6.2.2 고객대응시보안언급ISO/IEC 27001 A.6.2.3 제3자합의에서의보안언급 P.7.2 정보시스템외주개발시, 보안준수사항이계약서에명시되어있다. 외부자계약서 D.7.1 정보시스템설계및개발시, 법적요구사항이반영된보안요구사항이반영되고있다. 요구사항정의서 ISMS 8.1.2 인증및암호화기능ISMS 8.1.3 보안로그기능 D.7.2 정보시스템설계및개발시, 업무의목적및중요도에따라접근권한이부여되어있다. 요구사항정의서 ISMS 8.1.4 접근권한기능 D.7.3 보안요구사항이반영된정보시스템기능이테스트되고있다. 테스트결과서 ISMS 8.2.1 구현및시험PIMS 7.4.2 구현및시험 D.7.4 정보시스템테스트시운영데이터가보호되고있다. 로그관리대장 ISMS 8.2.4 시험데이터보안PIMS 7.4.4 테스트데이터의보안ISO/IEC 27001 A.12.4.3 프로그램소스코드에대한접근통제
  • 27. SUA ISMS No 통제내용 템플릿 References D.7.5 소스프로그램이접근통제절차에따라보호되고있다. 로그관리대장 ISMS 8.2.5 소스프로그램보안PIMS 7.4.5 소스프로그램접근보안ISO/IEC 27001 A.12.5.5 외주소프트웨어개발ISO/IEC 27001 A.10.4.2 모바일코드에대한통제 D.7.6 개발및테스트환경과운영환경은분리되어있다. 로그관리대장 ISMS 8.2.2 개발과운영환경분리PIMS 7.3.3 개발과운영환경의분리ISO/IEC 27001 A.10.1.4 개발, 테스트및운영시설의분리 D.7.7 이관절차에따라운영환경으로이관되고있다. 이관절차서 ISMS 8.2.3 운영환경이관PIMS 7.4.3 운영환경이행보안ISO/IEC 27001 A.8.4.2 시스템테스트데이터의보호 D.7.8 정보시스템외주개발시, 보안준수사항에따라관리되고있다. 외부자계약서 ISMS 8.3.1 외주개발보안 D.7.9 신규정보시스템개발및기존정보시스템변경시, 보안요구사항이인수계획서에따라인수되고있다. 인수계획서 ISMS 11.2.1 정보시스템인수ISO/IEC 27001 A.10.3.2 시스템승인 S.7.1 신규정보시스템개발및기존정보시스템변경시, 정의된보안요구사항이반영되었는지주기적으로검토되고있다. 요구사항정의서
  • 29. SUA ISMS No 통제내용 템플릿 References P.8.1 정보시스템운영을위한절차및계획이수립되어있다. 예) 성능관리, 로그관리, 계정관리, 패치관리, 백업관리, 장애관리 성능관리계획서로그관리계획서계정관리계획서패치관리계획서백업관리계획서장애관리계획서 ISMS 11.1.1 운영절차수립ISMS 11.2.2 보안시스템운영ISMS 11.2.4 장애관리ISO/IEC 27001 A.10.1.1 문서화된운영절차ISO/IEC 27001 A.10.10.5 결함로깅 D.8.1 정보시스템기록이표준시각에따라저장되고, 정보시스템의저장된기록은법적요구사항에따라보존되고있다. 로그관리대장 ISMS 11.6.2 로그기록및보존ISMS 11.6.1 시각동기화PIMS 9.3.2 개인정보열람기록검토및오남용방지PIMS 9.3.3 개인정보처리기록검토및위변조방지PIMS 9.3.4 시각동기화ISO/IEC 27001 A.10.10.3 로그정보의보호ISO/IEC 27001 A.10.10.4 관리자및운영자로그ISO/IEC 27001 A.10.10.1 감사로깅ISO/IEC 27001 A.10.10.2 모니터링시스템의사용ISO/IEC 27001 A.10.10.6 시간동기화 D.8.2 정보시스템접근통제를위한접근권한이승인되고있다. 권한관리대장 ISMS 10.2.1 사용자등록및권한부여ISMS 10.2.2 관리자및특수권한관리ISMS 10.3.2 사용자식별PIMS 7.1.2 개인정보취급자등록PIMS 7.1.3 개인정보취급자권한관리ISO/IEC 27001 A.11.2.1 사용자등록ISO/IEC 27001 A.11.2.2 권한관리
  • 30. SUA ISMS No 통제내용 템플릿 References D.8.3 정보시스템접근통제가수행되고있다. 예) 사용자인증, 로그인횟수제한, 불법로그인시도경고등 로그관리대장 ISMS 10.3.1 사용자인증ISO/IEC 27001 A.7.5.2 사용자식별및인증 D.8.4 사용자패스워드가관리되고있다. 예) 내부임직원 계정관리계획서 ISMS 10.3.3 사용자패스워드관리ISO/IEC 27001 A.11.3.1 패스워드사용ISO/IEC 27001 A.11.2.3 사용자패스워드관리ISO/IEC 27001 A.11.5.3 패스워드관리시스템 D.8.5 외부이용자패스워드가관리되고있다. 예) 고객, 회원등 계정관리계획서 ISMS 10.3.4 이용자패스워드관리PIMS 7.1.4 이용자패스워드관리PIMS 7.2.2 암호사용 D.8.6 정보시스템이주기적으로백업되고있다. 백업관리계획서 ISMS 11.2.9 백업관리ISO/IEC 27001 A.10.5.1 정보백업 D.8.7 정보시스템에패치가적용되고, 적용후영향이분석되고있다. 패치관리계획서 ISMS 11.5.2 패치관리 S.8.1 정보시스템에대한접근통제가주기적으로점검되고있다. 권한관리대장 ISMS 10.2.3 접근권한검토ISMS 11.6.3 접근및사용모니터링PIMS 7.1.5 개인정보취급자의접근권한검토PIMS 9.3.2 개인정보처리활동모니터링ISO/IEC 27001 A.11.2.4 사용자접근권한에대한검토 S.8.2 정보시스템의저장된기록은주기적으로검토되고있다. 예) 사용자인증, 로그인횟수제한, 불법로그인시도경고등 로그관리대장 S.8.3 정보자산의가용성보장을위해지속적인모니터링이되고있다. 성능관리계획서백업관리계획서장애관리계획서 ISMS 11.2.3 성능및용량관리ISO/IEC 27001 A.10.3.1 용량관리ISO/IEC 27001 A.9.2.4 설비유지보수
  • 32. SUA ISMS No 통제내용 템플릿 References P.9.1 네트워크보안을위한비인가접근통제, 원격접속설비관리, 네트워크분리등을포함한관리절차가수립되어있다. 네트워크보안관리절차서 PIMS 7.3.4 네트워크운영대책ISO/IEC 27001 A.11.4.1 네트워크서비스사용에대한정책 D.9.1 서비스의특성에따라네트워크가분리되어있다. 네트워크구성도 ISO/IEC 27001 A.11.4.5 네트워크의분리ISO/IEC 27001 A.11.6.2 민감한시스템의격리 D.9.2 네트워크상의장비가식별되고있다. 자산관리대장 ISO/IEC 27001 A.11.4.3 네트워크상의장비식별 D.9.3 외부네트워크에서의접근통제가되고있다. (예. 비인가자의접근통제, 인증, 원격진단및포트에대한접근통제, 라우팅통제, 스마트워크보안) 권한관리대장로그관리대장 ISMS 11.2.5 원격운영관리ISMS 11.2.6 스마트워크보안ISMS 10.4.1 네트워크접근PIMS 7.3.6 원격운영관리PIMS 7.3.11 원격작업PIMS 7.1.7 네트워크접근ISO/IEC 27001 A.11.4.7 네트워크라우팅통제ISO/IEC 27001 A.11.4.2 외부접속에대한사용자인증ISO/IEC 27001 A.11.4.4 원격진단및구성포트의보호ISO/IEC 27001 A.11.7.2 텔레워킹ISO/IEC 27001 A.10.6.1 네트워크통제ISO/IEC 27001 A.11.4.6 네트워크접근통제ISO/IEC 27001 A.10.6.2 네트워크서비스의보안 D.9.4 외부네트워크로의접근통제가되고있다. (예. 인터넷접속제한) 권한관리대장로그관리대장 ISMS 10.4.6 인터넷접속PIMS 7.3.5 인터넷접속관리 D.9.5 무선네트워크에대한보호대책이이행되고있다. (예. 무선랜, 모바일기기) 무선랜관리대장무선랜사용신청서 ISMS 11.2.7 무선네트워크보안ISMS 10.4.5 모바일기기접근ISO/IEC 27001 A.11.7.1 모바일컴퓨팅및통신
  • 34. SUA ISMS No 통제내용 템플릿 References P.10.1 서버및공개서버에대한보호대책이수립되어있다. 서버보안관리절차서 ISMS 10.4.2 서버접근ISMS 11.2.8 공개서버보안PIMS 7.1.8 운영체제접근PIMS 7.3.12 공개서버보안관리PIMS 7.4.7 운영체제변경시의검토ISO/IEC 27001 A.10.9.3 공공이사용가능한시스템 D.10.1 서버에대한접근허가자, 접근수단등을정의및적용되어있다. 권한관리대장 S.10.1 서버변경시보안에미치는영향이분석, 검토되고있다. 서버보안관리절차서
  • 36. SUA ISMS No 통제내용 템플릿 References P.11.1 응용프로그램에대한보호대책이수립되어있다. 응용프로그램보안관리절차서 D.11.1 응용프로그램에대한접근통제가수행되고있다. 예) 로그온, 터미널타임아웃, 접속시간등 권한관리대장로그관리대장 ISMS 10.4.3 응용프로그램접근PIMS 7.1.9 응용프로그램접근ISO/IEC 27001 A.12.5.2 운영시스템변경의기술적검토ISO/IEC 27001 A.12.4.1 운영소프트웨어의통제ISO/IEC 27001 A.11.5.1 안전한로그온절차ISO/IEC 27001 A.11.5.5 터미널타임아웃ISO/IEC 27001 A.11.5.6 접속시간의제한ISO/IEC 27001 A.11.6.1 정보접근제한 D.11.2 응용프로그램에대한변경이통제되고있다. 응용프로그램보안관리절차서 PIMS 7.4.8 소프트웨어패키지변경ISO/IEC 27001 A.12.5.3 소프트웨어패키지에대한변경의제약조건 D.11.3 응용프로그램에서의데이터가적절히검증되고있다. (예. 입,출력데이터검증) 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.2.1 입력데이터검증ISO/IEC 27001 A.12.2.4 출력데이터검증 D.11.4 응용프로그램오류로인해정보변조가되지않도록개발되어있다. (예. 응용프로그램의데이터가변조없이내부처리됨) 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.2.2 내부프로세싱의통제 D.11.5 응용프로그램의메시지무결성이보장되어있다. (예. 송신데이터가변조없이수신됨) 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.2.3 메시지무결성 D.11.6 응용프로그램의정보누출이예방되고있다. 응용프로그램보안관리절차서 ISO/IEC 27001 A.12.5.4 정보의누출
  • 38. SUA ISMS No 통제내용 템플릿 References P.12.1 전자거래시, 정보유출방지대책이수립되어있다. 전자거래보안관리절차서 ISMS 11.3.1 전자거래보안ISO/IEC 27001 A.10.9.2 온라인거래ISO/IEC 27001 A.10.9.1 전자상거래 D.12.1 전자거래시보안이유지되고있다. (예. 부정행위, 허가받지않는유출및수정으로부터보호됨) 전자거래보안관리절차서
  • 40. SUA ISMS No 통제내용 템플릿 References P.13.1 데이터베이스접근에대한응용프로그램및직무별접근통제정책이수립되어있다. 데이터베이스보안관리절차서 ISMS 10.4.4 데이터베이스접근PIMS 7.1.10 데이터베이스접근PIMS 7.6.1 개인정보마스킹 D.13.1 데이터사전및데이터베이스유틸리티에대한접근통제, 중요정보의암호화등을통해데이터베이스내의정보가보호되고있다. 권한관리대장로그관리대장 S.13.1 사용자접근내역을기록하고접근의타당성이정기적으로검토되고있다. 권한관리대장로그관리대장
  • 42. SUA ISMS No 통제내용 템플릿 References P.14.1 침해사고에대한대응절차가수립되어있다. (예. 침해시도의사전탐지를위한모니터링체계, 침해사고유형별대응, 복구절차, 외부기관및전문가들의협조체계) 침해사고관리절차서비상연락망 ISMS 11.6.4 침해시도모니터링ISMS 12.1.2 침해사고대응절차수립ISMS 12.1.2 침해사고대응체계구축PIMS 6.1.1 침해사고대응계획수립PIMS 6.1.2 침해사고대응체계구축ISO/IEC 27001 A.13.2.1 책임및절차ISMS 11.5.1 악성코드통제PIMS 7.3.9 악성프로그램통제ISO/IEC 27001 A.10.4.1 악성코드에대한통제 P.14.2 재해를대비한복구체계및계획이수립되어있다. 재해복구계획서 ISMS 13.1.1 IT 재해복구체계구축ISO/IEC 27001 A.14.1.3 정보보안을포함한연속성계획의개발및전개ISO/IEC 27001 A.9.2.2 지원시설ISMS 13.2.1 영향분석에따른복구대책수립 D.14.1 정보시스템의기술적취약점점검이주기적으로이루어지고, 발견한취약점들은필요한조치가취해지고있다. (예. 허가되지않은어플리케이션의사용) 취약점분석보고서 ISMS 11.2.10 취약점점검PIMS 9.2.2 기술적점검ISO/IEC 27001 A.13.1.2 보안취약점보고ISO/IEC 27001 A.12.6.1 기술적취약점의통제ISO/IEC 27001 A.11.5.4 시스템장비에대한사용
  • 43. SUA ISMS No 통제내용 템플릿 References D.14.2 침해사고발생징후인지시에는보고절차에따라신속히보고되고있다. 침해사고관리절차서비상연락망침해사고보고서 ISMS 12.2.2 침해사고보고PIMS 6.2.2 침해사고보고ISO/IEC 27001 A.13.1.1 정보보안이벤트보고 D.14.3 침해사고발생시대응및복구절차에따라서신속히수행되고있다. 침해사고관리절차서 ISMS 12.2.3 침해사고처리및복구PIMS 6.2.3 침해사고처리및복구 S.14.1 침해사고종결후침해사고내용이분석되고있다. 침해사고분석서 ISO/IEC 27001 A.13.2.3 증거수집ISO/IEC 27001 A.14.1.1 사업연속성관리프로세스내에정보보안포함ISO/IEC 27001 A.14.1.2 사업연속성및위험평가ISO/IEC 27001 A.14.1.4 사업연속성관리프레임워크 S.14.2 분석된침해사고내용의후속조치가수행되고있다. (예. 관련조직및임직원들에게공유, 재발방지대책수립및침해사고관리절차서변경) 침해사고관리절차서 ISMS 12.3.1 침해사고분석및공유PIMS 6.3.1 침해사고분석및정보공유ISMS 12.3.2 재발방지PIMS 6.3.2 침해사고재발방지ISO/IEC 27001 A.13.2.2 정보보안사고로부터의교훈ISO/IEC 27001 A.14.1.5 사업연속성계획의테스트유지보수및재평가
  • 45. SUA ISMS No 통제내용 템플릿 References P.15.1 매체의취급에대한절차가수립되어있다. (예. 사용, 기록, 보관, 폐기) 매체관리절차서 ISMS 11.4.1 정보시스템저장매체관리ISMS 11.4.2 휴대용저장매체관리ISMS 7.1.5 모바일기기반출입PIMS 7.3.7 매체취급및보관PIMS 7.3.8 매체의폐기PIMS 7.3.10 이동컴퓨팅PIMS 7.5.2 출력,복사시기록및승인PIMS 8.2.2 장비의안전한폐기및재사용ISO/IEC 27001 A.10.7.2 미디어폐기ISO/IEC 27001 A.9.2.6 폐기(처분) 또는장비재사용에대한보안ISO/IEC 27001 A.9.2.7 자산의이동ISO/IEC 27001 A.10.7.1 탈착형컴퓨터미디어의관리ISO/IEC 27001 A.10.7.3 정보취급절차ISO/IEC 27001 A.11.2.3 방치한사용자장비ISO/IEC 27001 A.10.8.3 운송중인미디어보안 D.15.1 매체의취급절차에따라서통제되고있다. (예. 사용, 기록, 보관, 폐기) 매체관리대장 S.15.1 매체의취급절차가주기적으로검토되고있다. 매체관리대장
  • 47. SUA ISMS No 통제내용 템플릿 References P.16.1 보안감사절차및계획이수립되어있다. 보안감사계획서 PIMS 9.2.1 정책의준수검토PIMS 9.4.1 보안감사계획및이행PIMS 9.4.2 감사결과및사후관리 D.16.1 보안감사절차및계획에따라서감사가시행되고있다. 보안감사결과서 D.16.2 보안감사결과가책임자에게보고되고있다. 보안감사결과서 S.16.1 보안감사결과는사후관리를통해개선되고있다. 보안감사결과서
  • 48. 관리체계의큰그림이그려지시나요? SUA ISMS 요점만간단히다시한번살펴보도록하겠습니다.
  • 49. SUA ISMSSUA ISMS 1. 정책관리(7) 2. 조직관리(4) 3. 인적보안관리(8) 4. 자산관리(3) 5. 교육관리(3) 6. 물리적보안관리(9) 7. 개발보안관리(12) 8. 운영관리(11) 9. 네트워크보안관리(6) 10. 서버보안관리(3) 11. 응용프로그램보안관리(7) 12. 전자거래보안관리(2) 13. 데이터베이스보안관리(3) 14. 침해사고관리(7) 15. 매체관리(3) 16. 보안감사(4) 92개통제항목