반응형
정보보호(Information Security)
- 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단, 또는 그러한 수단으로 이루어지는 행위
- 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 물리적, 관리적 보호대책을 강구하는 것
정보보호 시스템
- 정보보호의 관리, 컴퓨터 및 데이터 보안, 네트워크 보안과 정보보호 정책이 포함
정보의 가용성과 안정성
- 정보의 가용성과 보안 측면에서의 정보보호란 정보의 활용과 정보의 통제 사이에서 균형감각을 갖는 행위
- 사용 가능한 자원을 필요로 하는 사람들이 쉽게 얻을 수 있도록 하면서 정보에 위협이 되는 요소들을 최소화하는 것
- 정보의 활용은 정보의 가용성을 극대화 하는 것이며, 정보의 통제는 위협 요소를 줄이고 안정성을 확보하기 위해서 최대의 통제를 하는 것
정보보안에서 주요한 내용
- 기업이나 조직의 정보 자산은 관리적, 기술적, 물리적 통제 활동을 통해 보호되어야 한다.
- 정보 자산을 보호하지 못하면 기업과 조직에 생산성, 명성, 금전적인 손실이 발생할 수 있다.
- 정보보안을 통해 조직의 정책(Policy), 절차(Procedure), 표준(Standard), 지침(Guideline)을 개발하여 기업과 조직의 비즈니스 목적과 이를 지원하는 정보보안 통제 간의 적절한 균형을 이룰 수 있다.
- 정보보안을 효과적으로 수행하기 위해 고려해야할 사항
- 수용 가능한 위헙(Acceptable Level of Risk)
- 보안통제 구현에 필요한 비용
- 비즈니스 관점에서의 효익
- 완벽한 보안통제 구현은 불가능 하므로, 비용 대비 구현 효과에 대한 가치 검증이 요구된다. 정보보안 전문가는 위험관리에 대한 조언자(Risk Advisor)이지 의사결정자는 아니다.
- 기업과 조직의 경영진은 수용 가능한 위험에 기반한 보안 통제에 투입될 비용을 결정해야 하며, 투입되는 비용 대비 얻을 수 있는 비즈니스적 가치를 따져야 한다. 정부 규제에 대한 준거 사항을 준수하여야 하며, 잔여위험(Residual Risk) 의 존재와 그에 대한 지속적인 관리가 필요하다.
정보보안 관리의 주요한 내용
- 정보보안 관리는 기업과 조직의 비즈니스 목적을 충족시키면서 수용 가능한 수준으로 위험을 낮추는 것이다.
- 위험은 제거 대상이 아닌 관리 대상이다.
- 위험은 식별되거나 감소될 수는 있지만 제거될 수는 없다.
- 정보보안 관리를 위해서는 최고 경영진의 지원과 관심이 필요하다.
반응형
'IT > Security' 카테고리의 다른 글
| 정보보호 관리 (0) | 2021.06.15 |
|---|---|
| 정보보호의 목표 (0) | 2021.06.08 |
| 버스 시스템의 정의 및 종류 (0) | 2021.04.02 |
| CPU의 구조 (0) | 2021.04.01 |
| [vulnerability] OpenSSL 취약점(HeartBleed) 대응 방안 (0) | 2021.01.18 |