7. 보안관리체계와 표준

정보보호 관리 체계

정보보호 관리 체계 (ISMS)

정보자산의 기밀성, 무결성, 가용성을 유지하기 위하여 정보보호 대책을 관리하고, 위험을 기반으로 한 정보보호 구축
등의 과정을 지속적으로 관리하는 체계를 말한다.

위험관리

조직이 관리하고 있는 정보자산을 식별하여 가치를 산정하고,
수용가능한 목표 위험 수준을 초과하는 위험에 대해서 보호 대책을 마련하는 과정이다.

• 위험식별
  정보자산별 가치를 산정하고, 각 자산이 가지는 위험을 식별한다.

• 위험평가
  업무, 조직, 위치 및 기술적 특성에 따라 정보보호관리체계 범위에 근거한 위험분석 범위를 선정한다.

위험평가 방법

• 정량적 기법
• 정성적 기법
• 기준선 접근법
• 전문가 판단법
• 상세위험 접근법
• 복합적 접근법

정보보호 및 개인정보보호 관리체계 (ISMS-P)

기존 정보보호관리체계와 개인정보보호관리체계를 단일 제도에서 보호할 수 있도록 만든 인증제도이다.

개인정보보호

개인정보보호 수칙

• 개인정보 수집 시 동의
• 개인정보 파기 방안 반영
• 개인정보처리시스템에 대한 접근통제
• 개인정보 저장 및 전송 시 암호화
• 접속 기록, 권한 변경에 대한 로깅

정보보호 표준 및 관리체계

ISO 27001:2013

국제 표준 규격으로, 품질경영인증, 환경경영인증 등을 함께 인증받을 수 있도록 하였다.

OWASP TOP 10

애플리케이션 보안을 전문으로 하는 회사에서의 데이터로 설문을 하여 취약점을 탑텐으로 정리한 것이다.

CWE

미국 국가사이버 보안국에서 만든 소프트웨어 취약점 분류체계

CWSS

소프트웨어에서 아키텍처, 설계에서의 다양한 취약점을 판가름하는 점수체계

CVE

시간 경과에 따라 보여주는 취약점 히스토리

CVSS

보안 취약점들을 평가하고 확인할 수 있도록 제공된 오픈 프레임워크

SANS

컴포넌트 사이 안전하지 않은 위험한 자원관리등 중요한 프로그래밍 오류들을 목록화