[ISMS] 접근제어 (개인공부)
요약 접근 제어는 자원의 중요도에 따라 영역을 분리한다. 분리한 영역에 대해 접근하는 것을 제어하고 로깅하고 증적한다. CSP마다 적용할 수 있는 방법들이 다르고, 지속적으로 방화벽 관리 등을 수행해야 한다. 내용 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...) 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리, 현황 및 흐름 분석, 자산 재사용 및 폐기 정보보호 정책 → 정보보호 정책 설정 및 위험 평가, 보호대책 선정/구현/공유, 정책 유지관리 정보보호 조직 → 관리 체계 조직 마련 (회의록, 관리자 선정) 외부자 보안 → 계약 관리, 보안 이행 관리, 현황 관리 인적 보안 → 보안 서약, 보안 교육, 퇴직 및 직무변경 관리, 보안 위반 조치 물리적 보안 → 보호 구역 지정, 출입..
[ISMS] 인력 및 물리 보안 정책 (개인공부)
요약 외부자 보안, 인적 보안은 외부 입력에 대해서는 계약 및 보안 이행 상황을 관리한다. 예를 들어 정보보호 서약서 등을 작성하여 인증을 받음으로써, 외부 유출 등의 보안 문제가 생겼을 때, 책임 소재를 분명하게 하고, 교육을 통해 해당 내용을 공유하고, 위반 시에는 조치하는 것이 주된 내용이다. 물리적 보안은 물리 보안 장비가 어떤 것인지 정의하고, 보호 구역을 지정해서, 출입 통제와 기기 반출입, 보조저장 매체 사용을 통제함으로써 정보 유출 사고에 대비한다. 또한 업무환경 보안도 수행하여 정보 유출에 대비한다. 운영 보안은 보안 자원(인력,장비,예산)등을 관리하고, 법적 요구사항을 준수했는지 지속적으로 확인하며, 법 조항의 개정이 발생했을 시 공유와 관리체계 개선에 대한 내용이 주된 내용 모든 보안..
[ISMS] 정보보호 정책 (개인공부)
요약 조직이 만들어지고, 정보 자산이 분류가 되면, 모두가 동의하고 따를 수 있는 정책과 메뉴얼이 필요하다. 최대한 구체적으로 정리하고, 경영진의 승인이 있어서 문제가 발생하면 그냥 무지성으로 실행할 수 있게 하는 것이 좋다. 위협 문제에 대해서 지속적으로 확인하고, 정책을 성립하고, 구성원에게 공유해서 정책 및 위협 문제에 대한 대응안을 관리하고 운영해야 한다. 내용 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...) 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리, 현황 및 흐름 분석, 자산 재사용 및 폐기 정보보호 정책 → 정보보호 정책 설정 및 위험 평가, 보호대책 선정/구현/공유, 정책 유지관리 정보보호 조직 → 관리 체계 조직 마련 (회의록, 관리자 선정) 외부자 보안 인적 ..
