목차
1보안이란?
2왜 IT 보안이 필요한가?
3왜 보안정책이 필요한가?
4당신의 시스템은 안전합니까?
5보안을 개선하기 위한 방법
5.1아래에서 위로의 접근
5.2위에서 아래로의 접근
5.2.1개요
5.2.2공식 위험분석 방법 (e.g. MARION)
5.2.3위협 + 영향 + 가능성 = 위험
5.2.4위협원
5.2.5영향
5.2.6제약조건 분석
5.2.7위험 요약
5.2.8대응전략 & 대응조치
2왜 IT 보안이 필요한가?
3왜 보안정책이 필요한가?
4당신의 시스템은 안전합니까?
5보안을 개선하기 위한 방법
5.1아래에서 위로의 접근
5.2위에서 아래로의 접근
5.2.1개요
5.2.2공식 위험분석 방법 (e.g. MARION)
5.2.3위협 + 영향 + 가능성 = 위험
5.2.4위협원
5.2.5영향
5.2.6제약조건 분석
5.2.7위험 요약
5.2.8대응전략 & 대응조치
본문내용
이 접근법은 조직적이고 더 정확하지만, 느려질 수 있고 초기비용이 많이들 수 있다. 보안이 "시급히" 개선되어야 한다면 두 가지 방법을 병행하는 것이 좋다. 즉 중요하고 "잘 알려진" 시스템에 대해서는 아래에서 위로(bottom up)의 접근방식을 선택하고, 경영층이 지원하고 이해하는 장기적이고 정확한 보안관련 정책, 전략 및 비전을 얻기 위해서는 위에서 아래로(top down)의 접근방식을 쓴다.
위에서 아래로의 접근방식에는 다음과 같은 것들이 포함된다:
1.자산분석: 무엇이 보호되어야 하는가? 정보와 프로세스 (중요한 자산은 무엇인가? 컴퓨터에 저장되어 있는가? 이 자산을 잃을 경우 금전적인 손실은 얼마나 되는가?)를 나열한다. 자산을 보호하기 위한 수단은 자산의 가치에 상응해야 한다.
2.현재의 보안 규칙/정책/관례를 분석한다(있다면).
3.기본적인 보안의 목적: e.g. 기본적인 가용성, 기밀성, 무결성의 목적을 결정한다.
4.위협 분석: 시스템을 어떻게 보호할 지 결정하기 전에, 어떤 시스템을 보호할 지, 즉 어떤 위협으로부터 보호할 지를 알아야 한다. 위협을 식별한다(직원의 앙갚음, 해커, 첩보활동, 기술적 장애 등). 나중에 위협의 실례들이 열거된다. 위협은 그 본질이 일반적인 경향이 있다.
5.영향분석:
o하나의 위협, 또는 여러 복합적인 위협들이 실현되었을 때 그 영향 또는 결과 (사업에 미치는 손해)는 무엇인가? 이것은 시스템에 따라 다르다. 예를 들면 회사 비밀의 유실, 회계데이터의 변조, 송금 위조 등이다.
o그 영향은 기술 전문가가 아닌 업무 전문가가 판단해야 한다.
o영향은 두 가지 요소를 가진다, 단기적 영향(위협이 단기적이다)과 장기적 영향(위협이 지속되면서 사업에 장기적으로 영향을 미친다). 종합적인 영향은 장단기로 구분하여 숫자 (0-5)로 표현된다.
1.영향이 무시할 만하다.
2.영향이 적다, 주요 사업기능은 영향을 받지 않는다.
3.사업기능이 일정시간 동안 중단된다. 매출 손실이 있고 고객의 신뢰도에 약간의 영향이 있다 (고객을 잃을 정도는 아니다).
4.사업기능이나 고객 신뢰도 또는 시장점유율에 중대한 손실이 발생한다. 고객을 잃게 될 것이다.
5.재난에 가까운 영향으로, 비싼 대가를 치르지만 어쨌든 회사는 살아남게 될 것이다.
6.파멸적인 영향으로, 회사는 살아남지 못하게 된다.
위에서 아래로의 접근방식에는 다음과 같은 것들이 포함된다:
1.자산분석: 무엇이 보호되어야 하는가? 정보와 프로세스 (중요한 자산은 무엇인가? 컴퓨터에 저장되어 있는가? 이 자산을 잃을 경우 금전적인 손실은 얼마나 되는가?)를 나열한다. 자산을 보호하기 위한 수단은 자산의 가치에 상응해야 한다.
2.현재의 보안 규칙/정책/관례를 분석한다(있다면).
3.기본적인 보안의 목적: e.g. 기본적인 가용성, 기밀성, 무결성의 목적을 결정한다.
4.위협 분석: 시스템을 어떻게 보호할 지 결정하기 전에, 어떤 시스템을 보호할 지, 즉 어떤 위협으로부터 보호할 지를 알아야 한다. 위협을 식별한다(직원의 앙갚음, 해커, 첩보활동, 기술적 장애 등). 나중에 위협의 실례들이 열거된다. 위협은 그 본질이 일반적인 경향이 있다.
5.영향분석:
o하나의 위협, 또는 여러 복합적인 위협들이 실현되었을 때 그 영향 또는 결과 (사업에 미치는 손해)는 무엇인가? 이것은 시스템에 따라 다르다. 예를 들면 회사 비밀의 유실, 회계데이터의 변조, 송금 위조 등이다.
o그 영향은 기술 전문가가 아닌 업무 전문가가 판단해야 한다.
o영향은 두 가지 요소를 가진다, 단기적 영향(위협이 단기적이다)과 장기적 영향(위협이 지속되면서 사업에 장기적으로 영향을 미친다). 종합적인 영향은 장단기로 구분하여 숫자 (0-5)로 표현된다.
1.영향이 무시할 만하다.
2.영향이 적다, 주요 사업기능은 영향을 받지 않는다.
3.사업기능이 일정시간 동안 중단된다. 매출 손실이 있고 고객의 신뢰도에 약간의 영향이 있다 (고객을 잃을 정도는 아니다).
4.사업기능이나 고객 신뢰도 또는 시장점유율에 중대한 손실이 발생한다. 고객을 잃게 될 것이다.
5.재난에 가까운 영향으로, 비싼 대가를 치르지만 어쨌든 회사는 살아남게 될 것이다.
6.파멸적인 영향으로, 회사는 살아남지 못하게 된다.
추천자료
- 우리나라 벤처기업들이 나아가야 할 방향 - 안철수 연구소를 중심으로
- (둑후감)블루오션 전략
- 생체인식기술의 활용과 전망
- 텔레매틱스
- 유비쿼터스 시대의 문제점과 해결방안
- 국내 대기업 CEO의 리더쉽 분석
- 중국의 C2C 전자상거래의 문제점과 발전방안에 관한 연구
- 유비쿼터스 컴퓨팅의 실태와 발전방향
- [스마트폰] 스마트폰 대중화로 인한 사회변화양상 및 순기능과 역기능 - 스마트폰중독 스마트...
- 웹3.0전망
- 방통대 1학년 1학기 중간과제물 스마트폰 최신동향, QR코드(Quick Response Code)의 유용성 ...
- [컴퓨터의 이해 공통] 1. 스마트 폰에 대하여 현재를 기준으로 아래의 사항을 A4 용지 2페이...
- CDMA 경영사례분석 (특징, 산업역사, 파급효과).pptx
- [영어영문학과] [컴퓨터의 이해 공통] 1. 본인이 사용 중이거나 또는 최신 스마트폰을 1 개 ...