정보보안 관리

Information security management

정보보안 관리(ISM)는 위협취약성으로부터 자산기밀성, 가용성, 무결성을 감각적으로 보호하고 있음을 보장하기 위해 조직이 구현해야 할 통제를 정의하고 관리한다. ISM의 핵심에는 정보 위험 관리, 즉 조직이 자산의 관리와 보호에서 다루어야 할 위험의 평가와 더불어 모든 적절한 이해관계자에게 위험을 전파하는 과정이 포함된다.[1] 이를 위해서는 기밀성, 무결성, 가용성 및 자산의 대체 가치를 평가하는 것을 포함하여 적절한 자산 식별 및 평가 단계가 필요하다.[2] 정보보안 관리의 일환으로 조직은 정보보안 관련 ISO/IEC 27001, ISO/IEC 27002 및 ISO/IEC 27035 표준에서 발견된 정보보안 관리시스템 및 기타 모범사례를 실시할 수 있다.[3][4]

리스크 관리 및 완화

정보보안을 본질적으로 관리하는 것은 자산에 대한 다양한 위협과 취약성을 관리하고 완화하는 동시에, 잠재적 위협과 취약성이 실제로 발생할 확률을 측정하여 그에 따른 관리 노력의 균형을 유지하는 것을 의미한다.[1][5][6] 예를 들어 서버실에 운석이 충돌하는 것은 분명 위협이지만, 정보보안 책임자는 그러한 위협에 대비하기 위해 거의 노력을 기울이지 않을 것이다.

적절한 자산 식별과 평가가 이루어진 후,[2] 그러한 자산에 대한 위험관리와 위험 완화에는 다음과 같은 이슈의 분석이 포함된다.[5][6][7]

  • 위협: 정보 자산의 고의적 또는 우발적 손실, 손상 또는 오용을 초래할 수 있는 원치 않는 사건
  • 취약성: 정보 자산 및 관련 통제가 하나 이상의 위협에 의해 얼마나 취약하게 악용되는가
  • 영향 및 가능성: 위협 및 취약성으로 인한 정보 자산에 대한 잠재적 손상의 규모 및 자산에 미치는 위험의 심각성; 비용 편익 분석도 영향 평가의 일부 또는 그것과 분리될 수 있다.
  • 완화: 잠재적 위협 및 취약성의 영향과 가능성을 최소화하기 위해 제안된 방법

위협 및/또는 취약성이 식별되고 정보 자산에 충분한 영향/우도성이 있는 것으로 평가되면 완화 계획을 제정할 수 있다. 7개의 정보기술(IT) 영역 중 위협 및/또는 취약성이 어느 영역에 존재하느냐에 따라 선택되는 완화 방법이 크게 달라진다. 보안 정책(사용자 도메인)에 대한 사용자 무관심의 위협은 네트워크(LAN-to-WAN 도메인)의 무단 검색 및 검색 위협을 제한하는 데 사용되는 것과 훨씬 다른 완화 계획을 필요로 할 것이다.[7]

정보보안 관리시스템

ISMS(Information Security Management System)는 조직의 전반적인 정보보안을 더 잘 보장하기 위해 정책, 절차, 목표가 생성, 구현, 전달 및 평가될 수 있도록 조직의 모든 상호 관련/상호되는 정보보안 요소의 결합을 나타낸다. 이 시스템은 일반적으로 조직의 요구, 목표, 보안 요구사항, 크기 및 프로세스의 영향을 받는다.[8] ISMS는 효과적인 리스크 관리 및 완화 전략을 포함하며 이를 보완한다. 또한 조직이 ISMS를 채택한 것은 정보보안 리스크를 체계적으로 파악, 평가, 관리하고 있으며, "정보의 기밀성, 무결성, 가용성 요건을 성공적으로 해결할 수 있을 것"[9]이라는 것을 크게 나타낸다. 그러나 ISMS의 개발·실행·실행(사용자 영역[7])과 관련된 인적 요소도 고려해야 ISMS의 궁극적인 성공을 가장 잘 보장할 수 있다.[10]

구현 및 교육 전략 구성 요소

효과적인 정보보안 관리(리스크 관리 및 경감 포함)를 구현하기 위해서는 다음 사항을 염두에 둔 관리전략이 필요하다.[11]

  • 상위 경영진은 정보보안 시책을 강력히 지원하여 정보보안 책임자가 "완전히 기능적이고 효과적인 교육 프로그램을 갖추기 위해 필요한 자원을 확보할 수 있는 기회"와 나아가 정보보안 관리 시스템을 확보할 수 있도록 해야 한다.
  • 정보보안 전략과 훈련은 부서별 전략에 통합되어 전달되어 조직의 정보보안 계획에 의해 모든 인력이 긍정적으로 영향을 받을 수 있도록 해야 한다.
  • 프라이버시 교육 및 인식 "위험 평가"는 조직이 이해당사자의 지식과 보안에 대한 태도에서 중요한 차이를 식별하는 데 도움이 될 수 있다.
  • "훈련 및 인식 프로그램의 전반적인 효과 측정"을 위한 적절한 평가 방법은 정책, 절차, 훈련 자료의 관련성을 보장한다.
  • 적절히 개발, 구현, 전달 및 시행되는 정책 및 절차 "위험을 완화하고 위험 감소뿐만 아니라 해당 법률, 규정, 표준 및 정책을 지속적으로 준수할 수 있도록 보장"
  • 정보보안 관리의 모든 측면에 대한 이정표와 기한은 미래의 성공을 보장하는 데 도움이 된다.

표준 규제, IT, 프라이버시 및 보안 문제에 할당된 비용 외에 위의 모든 사항에 대한 충분한 예산 고려가 없으면 정보보안 관리 계획/시스템이 완전히 성공할 수 없다.

관련규격

조직이 위협과 취약성을 완화하기 위해 적절한 프로그램과 제어를 구현하는 데 도움이 되는 표준에는 ISO/IEC 27000 표준 제품군, ITIL 프레임워크, COB가 포함된다.IT 프레임워크O-ISM3 2.0. ISO/IEC 27000 제품군은 정보보안 관리와 ISMS를 지배하는 가장 잘 알려진 표준의 일부를 대표하며, 글로벌 전문가의 의견을 바탕으로 하고 있다. 그들은 우수한 ", 실행, 구축, 감시, 검토, 유지, 갱신, 정보 보안 관리 체계 개선 수립하기 위한 요건을 설계해요."[3][4]ITIL게 행동한 컬렉션의 개념이나 정책, 그리고 최고의 관행을 효율적인 경영의 정보 기술 인프라와 서비스와 보안, 다르다.단 몇 가지 방법으로 ISO/IEC 27001에서 제공.[12][13] 중이나 정보를 보안과 위험 management,[4][12][14]를 제어하고 앙에 O-ISM3 2.0은 오픈 그룹의 기술 중심 정보 보안 모델 부정적인 영향을 최소화하면서 정보 보안 인력과 구현 정보 관리와 지배에 전략 개발을 돕는 것을 COBIT, 정보 시스템 감사 통제 협회에 의해 개발된 프레임워크입니다.terprise.[15]

참고 항목

참조

  1. ^ a b Campbell, T. (2016). "Chapter 1: Evolution of a Profession". Practical Information Security Management: A Complete Guide to Planning and Implementation. APress. pp. 1–14. ISBN 9781484216859.
  2. ^ a b Tipton, H.F.; Krause, M. (2003). Information Security Management Handbook (5th ed.). CRC Press. pp. 810–11. ISBN 9780203325438.
  3. ^ a b Humphreys, E. (2016). "Chapter 2: ISO/IEC 27001 ISMS Family". Implementing the ISO/IEC 27001:2013 ISMS Standard. Artech House. pp. 11–26. ISBN 9781608079315.
  4. ^ a b c Campbell, T. (2016). "Chapter 6: Standards, Frameworks, Guidelines, and Legislation". Practical Information Security Management: A Complete Guide to Planning and Implementation. APress. pp. 71–94. ISBN 9781484216859.
  5. ^ a b Watts, S. (21 June 2017). "IT Security Vulnerability vs Threat vs Risk: What's the Difference?". BMC Blogs. BMC Software, Inc. Retrieved 16 June 2018.
  6. ^ a b Campbell, T. (2016). "Chapter 4: Organizational Security". Practical Information Security Management: A Complete Guide to Planning and Implementation. APress. pp. 43–61. ISBN 9781484216859.
  7. ^ a b c Kim, D.; Solomon, M.G. (2016). "Chapter 1: Information Systems Security". Fundamentals of Information Systems Security. Jones & Bartlett Learning. pp. 2–46. ISBN 9781284128239.
  8. ^ Terroza, A.K.S. (12 May 2015). "Information Security Management System (ISMS) Overview" (PDF). The Institute of Internal Auditors. Archived from the original (PDF) on 7 August 2016. Retrieved 16 June 2018.
  9. ^ "Need: The Need for ISMS". Threat and Risk Management. European Union Agency for Network and Information Security. Retrieved 16 June 2018.
  10. ^ Alavi, R.; Islam, S.; Mouratidis, H. (2014). "A Conceptual Framework to Analyze Human Factors of Information Security Management System (ISMS) in Organizations". Proceedings of the Second International Conference on Human Aspects of Information Security, Privacy, and Trust. 8533: 297–305. doi:10.1007/978-3-319-07620-1_26.
  11. ^ Tipton, H.F.; Krause, M. (2010). Information Security Management Handbook. 3 (6th ed.). CRC Press. pp. 100–02. ISBN 9781420090956.
  12. ^ a b Kim, D.; Solomon, M.G. (2016). Fundamentals of Information Systems Security. Jones & Bartlett Learning. p. 225. ISBN 9781284128239.
  13. ^ Leal, R. (7 March 2016). "ISO 27001 vs. ITIL: Similarities and differences". The ISO 27001 & ISO 22301 Blog. Advisera Expert Solutions Ltd. Retrieved 16 June 2018.
  14. ^ White, S.K. (22 December 2017). "What is COBIT? A framework for alignment and governance". CIO. IDG Communications, Inc. Retrieved 16 June 2018.
  15. ^ "Open Information Security Management Maturity Model (O-ISM3), Version 2.0". The Open Group. 21 September 2017. Retrieved 16 June 2018.

외부 링크