정보보호 컨설팅 방법론1
작성자 - 재감자숭정보보호 컨설팅 방법론
본 게시물에서는 설계파트인 D-MD 중장기 계획 수립까지를 정리할 예정이다.
컨설팅 방법론은 크게 식별, 분석, 설계, 지원, 유지, 사업관리로 구분되며 그 안에서도 항목이 나누어진다.
식별
- I-EA(환경 분석), I-RA(요구사항 분석), I-AA(자산 분석)
분석
- A-MA(관리 진단), A-PA(물리 진단), A-TE(기술 진단), A-PT(모의 해킹), A-RM(위험 관리)
설계
- D-OD(조직 설계), D-PD(규정 설계), D-MD(중장기 계획 수립)
지원
- S-IS(이행 지원), S-SS(시스템 구축 지원)
유지
- S-AU(보안감사), S-ED(교육), S-SV(보안 서비스)
사업 관리
- PM(프로젝트 관리), PRM(프로젝트 위험관리), PQM(프로젝트 품질관리), PSM(프로젝트 보안관리)
I-EA. 환경 분석
환경 분석 단계에서는 고객 요청사항에 대한 사업영역 및 업무 현황, 정보보호 환경 분석을 통해 방향성을 제시한다.
| 목표 |
| - 고객사의 환경에 맞는 보안 컨설팅을 수행하기 위해 고객사의 전반적인 비즈니스 환경, IT 인프라 등을 파악 - 정보보호 환경을 파악하여 이에 따른 위험요인을 분석하고 보안이유 사항을 도출 |
| 주요 고려사항 |
| - 업무환경 분석 단계는 고객사의 홈페이지, 회사 소개자료 등을 통해 전반적인 현황을 분석한 후 컨설팅 범위 내 홈페이지, 서비스, 주요 업무 등에 대해 분석한다. - 정보보호 환경분석 단계에서는 고객사의 정보보호 조직, 관리체계, 규정 및 기존 컨설팅 결과 등을 통해 정보보호 현황을 분석한다. |
업무환경 분석: 고객 일반현황 분석, 물리적 공간 분석, 조직 및 인력 구성 분석. 인프라 현황분석
정보보호 환경 분석: 정보보호 조직 분석, 정보보호 환경 분석
고객 일반현황 분석
- 정보보호 담당자에게 사전자료 요청을 통해 고객사의 주요 비즈니스, 물리적 위치, IT 프로세스 등 조직의 일반적인 업무 상황 파악
- 분석된 현황을 토대로 서비스 특성 및 업계 동향을 파악하고 보안 이슈 식별 및 보안사고 사례들을 확인
물리적 공간 분석
- 정보보호 담당자에게 사전자료 요청을 통해 고객사의 물리적인 위치를 식별
- 식별된 물리적 위치에서 출입통제/사무환경 보안, 자산 반출입 통제, 시스템 운영환경 등을 파악
조직 및 인력 구성 분석
- 고객사의 전사 조직도, 인력구성, 각 조직 별 역할 조사
- 고객사의 전사 조직 및 인력 분석 시, 해당 부서/팀 등이 수행하는 업무 확인 후 누락된 서비스나 업무 프로세스가 있는지 확인
- 컨설팅 업무 수행 시 업무 협조가 필요한 부서를 확인하고, 고객사에 맞는 보고체계에 따라 업무협조를 요청
- 컨설팅 대상 조직의 구성원에 대한 직무기술, 업무분장 등을 검토
인프라 현황 분석
- 기존 정보자산관리대장을 요청해 서버, 네트워크 장비, DBMS, Web/WAS 등 운영중인 정보자산을 파악
- 컨설팅 범위 내 부서에서 소유하고 있는 정보자산 현황 파악 및 누락된 정보자산 파악
- 네트워크 구성도, 시스템 구성도 따른 위험요인을 분석하고 보안이슈 도출
정보보호 조직 분석
- 고객사의 정보보호 전담조직과 유관조직, 부서별 정보보호책임자/담당자, 정보보호 관련 조직을 파악
- 문서화된 형태의 활동 현황 검토 및 정보보호 세부업무, 자체 보안점검 및 평가여부 파악
- 정보보호 조직의 활동 검토 및 인터뷰를 통해 누락된 정보보호 활동 확인
정보보호 환경 분석
- 조직의 정보 자산을 어떻게 관리하고 보호할지 행위규정 정책, 지침, 절차 보유여부 검토
- 연간보안계획, 보안활동 산출물, 각종 종적 등을 확인해 정보보호 활동 방향의 적정성 및 개선점을 검토하고 정보보안시스템/솔루션의 기능 및 운영관리 현황을 조사
I-RA. 요구사항 분석
요구사항 분석 단계에서는 컨설팅 추진 필요성에 의한 고객 요구사항 정의를 통해 종합적인 사업 방향성을 제시한다.
| 목표 |
| - 컨설팅과 관련된 이해관계자와 인터뷰를 통해 요구사항을 정의한다. |
| 주요 고려사항 |
| - 법률에 따른 인증 획득 의무 또는 정보보호 책임 의무 준수 필요성을 판단 - 컨설팅 수행 기간 및 인력, 전문성 등을 고려하여 최적의 일정 계획 수립 |
컨설팅 추진 목표/사업 범위 협의
- 사업수행내용 협의하여 확정, 사업범위, 절차, 우선순위 등 구체적 방안 도출, 정보보호최고책임자 및 정보보호담당자 등과 인터뷰를 통해 고객사 내부의 보안이슈에 대응 도출
고객사 요구사항 협의
- 일정계획 수립 및 수행방안 사전 협의를 거쳐 일정에 반영
I-AA. 자산 분석
자산 분석 단계에서는 고객사에서 보유하고 있는 정보자산을 식별하고 효율적으로 관리하기 위한 정보자산 분류 기준 수립, 중요도 평가, 중요도 등급에 따른 보호대책을 수립한다.
| 목표 |
| - 고객사의 자산 관리체계를 분석해 자산의 세밀하고 정확한 분류 및 관리방안 도출 - 기존, 신규, 변경된 자산에 대한 중요도 평가 기준을 수립, 등급 별 보안 관리 강화 - 중요도 평가 및 등급 산출 결과를 적용해 정보자산 관리대장을 최신으로 관리 |
| 주요 고려사항 |
| - 고객사와 협의를 통해 자산분류 기준 및 자산코드 부여 체계 명확화 - 자산관리의 주체 정의를 통해 추후 자산관리지침 등의 문서 내용과의 일관성 확보 |
자산분석은 크게 정보자산 분류, 정보자산 중요도 평가, 정보자산 목록 확정으로 분류
정보자산 분류: 정보자산 분류 기준 수립, 정보자산 코드 체계 수립, 정보자산 목록화
중요도 평가: 평가기준 수립, 평가 수행, 정보자산 등급 산정, 등급 검증 및 확정
정보자산 목록 확정: 정보자산 목록 확정
정보자산 분류 기준수립
- 고객사의 자산분류기준, 중요도 평가 기준 등 정보자산 관리 현황에 대해 분석
- 고객사의 분류기준이 선진 사례, 정보보호 관리 목표 등을 고려하여 적합한 지 분석
- 고객사의 분류 기준에 따라 식별된 정보자산 관리대장을 검토하여 누락되거나 중복 작성되어 관리되고 있는 지 분석
- 고객사의 분류 기준에 대한 검토 결과에 따라 분류기준을 개정
정보자산 코드 체계 수립
- 고객사에서 정보자산 코드 체계 수립을 요청하는 경우 적용
- 정보자산의 효율적인 분류와 관리를 위해 자산 유형 및 용도, 형태에 따른 정보자산 코드 부여 기준을 수립
- 정보자산 코드는 대분류-중분류-세분류-관리번호 순으로 부여 ex) SV-WIN-DEV-0001(개발용 윈도우 서버 1번)
- 자산의 특성이 유사한 경우 정보자산에 대한 정보자산 그룹 코드를 부여한다. - 운영체제의 버전/커널 버전이 동일한 경우 유사하다고 판단
정보자산 목록화
- 정보자산 분류기준에 따라 식별된 정보자산을 분류하고 정보자산 관리대장에 정보자산 코드를 적용하여 목록화
- 정보자산이 누락되거나 중복되는 자산을 검토하여 정보자산 관리대장을 보완
- 정보자산 관리대장 작성 시 자산명, 소유자, 자산 일련번호, 용도 및 주요 기능, 물리적 위치 등 자산 관련 기본 정보를 포함하여 기재
중요도 평가기준 수립
- 정보자산 보호를 위해 기밀성, 무결성, 가용성 측면에서 정보자산 중요도 평가기준 수립
- 기밀성은 정보/정보자산의 유출 시 피해가능성, 무결성은 조작 가능성, 가용성은 즉시 사용 가능 여부 등을 고려해 세부 평가기준을 수립
중요도 평가 수행
- 정보자산 중요도 평가기준을 토대로 정보자산에 대한 중요도 평가 수행
- 중요도 평가는 식별된 모든 정보자산에 적용해야 하며 평가 시 기밀, 무결, 가용성 평가
- 신규 정보자산 또는 정보자산의 용도 변경 이력 존재 시 해당 자산에 대한 평가 재실시
정보자산 등급 산정
- 정보자산에 대한 중요도 평가 점수를 합산하여 정보자산 등급 부여
- 자산 등급은 3~4점: 3등급 또는 다급, 5~7점: 2등급 또는 나급, 8~9점: 1등급 또는 가급
- 정보자산 중요도 평가 시 이용목적, 자산 특성 등을 고려하여 유사한 정보자산은 동일한 평가 결과가 나오도록 검토해야 함
정보자산 등급 검증 및 확정
- 정보자산 중요도 평가 결과에 대해 평가의 적정성, 자산분류의 적정성 등급 부여의 적정성에 대해 검토하고 승인해야 함
- 정보자산의 이용 목적이 변경된 경우 정보자산 중요도에 대해 재평가해야 하며 그 결과를 정보자산관리대장에 갱신하여야 함
- 폐기된 정보자산의 유무를 확인하여 폐기된 경우 정보자산관리대장에서 삭제
정보자산 목록 확정
- 정보자산 목록 작성 및 중요도 평가가 완료된 경우 정보자산관리대장 목록 최종 확정
A-MA. 관리 진단
관리 진단 단계에서는 고객사의 보안 목표수준 대비 실제 보안 수준에 대한 GAP 분석을 실시하여 관리적인 측면에서의 취약점을 식별한다.
| 목표 |
| - ISMS의 통제항목에 대한 준수 여부를 검증하여 취약점 식별 - 개인정보보호 영역의 통제현황을 분석 후 개인정보 처리 시 발생하는 취약점 진단 - 정보보호 관련 법률과 고객사의 내부 정책 간 GAP분석 후 법적 준거성 여부 진단 |
| 주요 고려사항 |
| - 담당자 인터뷰 시 보안목표수준에 대한 고객사의 준수여부를 프로세스/문서화/이행 측면으로 파악하고 근거자료를 확보하여 인터뷰 결과를 세부적으로 작성 |
관리 진단은 크게 분석대상 선정, 관리체계 분석, 보고서 작성으로 분류
분석 대상 선정: 분석 범위 및 대상 선정, 분야별 체크리스트 작성
관리체계 분석: 관리체계 현황 분석, 개인정보보호수준 분석, 컴플라이언스 분석
보고서 작성: 분석 보고서 작성
분석 범위 및 대상 선정
- 고객사의 주요 비즈니스, 업무현황 파악과 요구사항 분석을 통해 정보보안 목표수준 확인
- 개인정보처리시스템, 개인정보취급부서, 개인정보처리 수탁사, 협력사 등 개인정보 취급 현황을 파악하고 개인정보처리단계별 요구사항을 정의
- 조직이 준수해야 할 정보보호 및 개보법 관련 법률 식별, 조직에 적용 의무 범위 정의
분야별 체크리스트 작성
- 정보보호 관리체계 수입 시 적용할 기준(ISMS 등)을 반영하여 체크리스트 작성
- OT 보안을 위한 정보보호 관리체계 수립이 필요한 경우 주요정보통신기반시설 취약점 분석 및 평가기준, IEC 62443을 반영하여 체크리스트 작성
- 개보법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 포함하여 조직의 비즈니스 특성에 따라 반영되어야 할 법률을 식별하고 체크리스트 작성
관리체계 현황 분석
- 기존 정보보호 관리체계의 분석을 위해 정책/지침 검토, 이행 증거자료 검토, 인터뷰 결과 정리, 고객 검토 및 협의, 취약점 확정의 순서로 진행
- 정보보호 관현 프로세스, 조직, 역할/책임 등에 대한 정책/지침과 이것의 증거자료 검토
- 연간 정보보호 계획, 교육 등 연간 정보보호 활동과 관련된 문서자료를 확인하고 검토
- 수립된 체크리스트를 활용해 담당자 인터뷰를 통해 현황을 파악하고 증거자료 검토와 인터뷰 결과를 고려하여 GAP 분석을 실시하여 조직의 문제점 도출
개인정보보호수준 분석
- 개인정보보호 담당자와 인터뷰를 통해 개인정보 취급부서와 개인정보처리시스템을 식별하고 개인정보 흐름표, 개인정보 흐름도를 확인하고 해당 문서 보유 시 검토
- 개인정보 취급부서와 개인정보 처리 현황에 대한 분석을 위해 A-MA-12(1) 관리진단 체크리스트(ISMS-P), 개인정보 흐름표, 개인정보 흐름도를 활용하여 인터뷰 진행
- 개인정보처리시스템의 실사를 통해 계정 및 인증관리, 접근통제, 마스킹 여부, 암호화, 검색 방법, 로그 저장 여부를 확인
- 개인정보처리방침의 법적 요건 만족 여부, 고지 내용의 적정성 여부 분석, 정보주체 권리보장의 최신화 여부 및 현황 확인
- 개인정보보호 수준 분석을 위한 개인정보 흐름표와 흐름도가 없는 경우 개인정보파일을 작성하고 해당 개인정보파일에 대한 흐름을 식별해야 함
- 개인정보파일에 따른 생명주기 절차(수집, 이용/제공, 저장, 파기)에 따른 필요한 사항을 고객사 개인정보 취급자와 인터뷰를 통해 확인
- 개인정보처리시스템을 통해 확인이 필요한 경우 운영자 등과 실사를 진행하여 확인
- 개인정보 흐름표를 바탕으로 흐름도를 작성하고 그 결과를 개인정보보호 담당자 또는 개인정보 취급자와 인터뷰를 통해 확정
컴플라이언스 분석
- 조직의 비즈니스를 고려해 준수하여야 할 법률과 시행령, 시행규칙, 기준을 식별
- 식별된 법률을 기반으로 체크리스트 작성 및 개인정보보호 담당자와 개인정보 취급자, 개인정보처리시스템 개발자, 운영자에 대해 인터뷰를 실시
- 개인정보 내부관리계획의 수립 여부를 검토하고 이행 여부를 검증
- 개인정보보호 정책/지침에 대해 관련 법률, 상위 기관 요구사항 및 정책, 최신 기술 동향을 반영하였는지 검토
분석 보고서 작성
- 관리체계 현황분석 결과, 개인정보 관리체계 현황분석 결과, 개인정보처리방침 검토결과, 컴플라이언스 검토결과를 정리하여 취약점을 식별하고 보안수준 평가
- 분석 결과 취약한 항목에 대한 판단근거를 정리
- 식별된 취약점에 대한 보호 대책과 상세 수행방안을 수립하고 분석 보고서 작성
A-PA. 물리 진단
물리 진단 단계에서는 고객사의 정보보호 관리체계 범위 중 물리적 범위 내의 자산에 대한 시설 보호 측면에서의 보안성 검토를 위해 체크리스트 기반으로 물리 시설 및 실제
| 목표 |
| - 취약점 분석을 위한 범위 및 대상을 설정하고 체크리스트 작성 - 담당자별 인터뷰와 현장점검 등을 통하여 취약점을 진단 - 진단 결과에 따라 물리 진단 결과 보고서를 작성 |
| 주요 고려사항 |
| - 담당자 인터뷰 시 체크리스트 항목에 대한 고객사의 준수 여부를 프로세스/문서화/이행측면 및 근거자료 등 세부적인 인터뷰 결과 작성 - 관리진단 단계에서 확인한 물리적 보안통제 지침과 통제 프로세스가 실제로 이행되고 있는지 확인 - 주요 전산실/사무실 실사를 통한 진단 필요 |
취약점 대상 선정: 범위 및 대상 선정, 대상 별 체크리스트 작성
취약점 진단: 물리적 공간 진단, 출입통제/자산반출입 진단, 영상정보처리기기 진단
보고서 작성: 취약점 진단 보고서 작성
범위 및 대상 선정
- 고객사의 물리적 공간을 확인하고 목록을 작성: 사무공간, 공용공간, 경비실 등
- 물리적 공간 내 설비 위치를 확인하고 목록을 작성
대상 별 체크리스트 작성
- A-MA-12(1) 관리진단 체크리스트(ISMS-P), A-MA-12(2) 관리진단 체크리스트(ISO27001), A-MA-12(3) 관리진단 체크리스트(주요정보 통신기반시설 취약점 분석평가) 내 물리적 보안통제항목을 참고하여 물리적 보안 체크리스트 작성
- A-PA-11(1) 물리적 구역 현황표와 A-PA-11(2) 물리적 보안설비 목록과 비교하여 작성된 물리적 보안 체크리스트가 적절한 지 검토하고 확정
물리적 공간 진단
- 물리적 보안점검 체크리스트를 활용하여 다음사항 확인 (공용구역, 보호구역의 지정내역, 보호설비 내역, 전산장비의 배치현황, 보호구역의 화재설비, 환경감지, 온/습도감지 등 설비에 대한 관리 현황 및 공용PC, 프린터, 복합기, 팩스 등 공용환경 관리 현황
출입통제/자산반출입 진단
- 물리적 공간의 보안구역 지정 출입통제와 자산반출입 통제절차를 정의했는지 확인
- 물리적구역 현황표 참고 물리적 공간의 지정내역에 대한 출입통제 시스템 설치여부 확인
- 출입통제시스템 내 접근권한 관리여부와 출입이력에 대한 검토에 대해 확인
- 물리적 구역 현황표를 활용해 물리적 공간의 자산반출입 통제 현황에 대해 확인
- 출입통제 현황과 자산반출입 통제 현황을 물리적 보안점검 체크리스트에 작성
영상정보처리기기 진단
- 물리적 구역 현황표를 활용하여 설치된 영상정보처리기기에 대해 확인
- 영상정보처리기기의 관리 현황과 영상정보 보관기간, 촬영 장소의 적절성, 법적 요구사항 부합 여부 등을 점검
- 영상정보처리기기 운영에 관한 사항을 개인정보처리방침 내에 포함하거나 별도의 문서로 관리 및 정보주체에게 고지하고 있는지 점검
- 영상정보처리기기에 대한 안내판 운영 현황을 점검
- 위착 운영의 경우 조직 내 관리자를 대상으로 위탁현황에 대해 인터뷰 진행
취약점 진단 보고서 작성 – 위의 조치에 대한 취약점 진단 보고서 작성
A-TE. 기술 진단
기술 진단 단계에서는 IT 인프라 설비(서버, DBMS, 네트워크 장비, 보안장비 등)에 대해 보안 취약점을 식별하여 평가하고 약점을 제거하기 위한 보호대책을 수립한다.
| 목표 |
| - 취약점 분석을 위한 범위 및 대상을 설정하고 점검 기준을 수립 - 점검 기준에 따라 IT인프라에 대한 보안 취약점을 식별 - 보안취약점 진단 결과에 따라 식별된 약점에 대한 보호대책을 수립 |
| 주요 고려사항 |
| - 정보자산 취약점 진단 시 점검 스크립트, 체크리스트, 보안 조치 가이드 사전 준비 - 통제항목에 대해 기술적 보호대책 이외의 별도의 보안 대책 적용 여부를 고려하여 진단 필요(보안 솔루션 적용, 관리적 보호대책 등) - 취약점 진단 결과에 대한 담당자 확인 필요 |
취약점 선정/기준 수립: 범위 및 대상 선정, 취약점 진단 기준 수립
취약점 진단 평가: 서버/DB/PC/단말 진단, 클라우드 진단
보고서 작성: 취약점 진단 보고서 작성
범위 및 대상 선정
- 식별된 정보자산을 바탕으로 정보시스템 유형 별 진단 대상을 선정하며 인증 획득을 위한 취약점 진단 수행 시 인증범위 내 식별된 모든 정보자산을 취약점 진단 대상에 포함
- 동일 구성 환경이거나 운영체제/버전, 중요도가 모두 동일한 경우 샘플링 가능
- 클라우드 환경일 경우 정보시스템 유형 뿐만 아니라 관리콘솔을 진단 대상에 포함하며 진단에 필요한 사전 정보를 요청
취약점 진단 기준 수립
- 주요정보통신기반시설 취약점 분석 평가 기준과 같은 취약점 진단 기준을 기반으로 하여 고객사 비즈니스 유형, 진단 대상, 운영체제 버전에 따라 진단 기준 수립
- 자동화된 진단 툴이 필요한 경우 진단 기준에 따른 스크립트를 생성하고 시스템 영향도 등 안전성에 대해 검증을 실시
- 클라우드의 경우 클라우드 서비스 사업자 별 특성을 고려한 진단 기준을 수립 요망
서버/DB/PC/단말 진단
- 보안 취약점 진단 기준에 따라 진단 대상의 보안 설정에 대해 진단을 실시
- 진단 대상의 운영체제 버전을 확인하여 진단 스크립트를 담당자에게 제공하여 실행된 결과값 요청
- 고객으로부터 실행 결과값을 전달받아 분석을 실시하며 발견된 문제점에 대해 보완통제가 없는지 담당자와 인터뷰를 통해 확인
- 자동화된 진단 툴로 점검이 어려운 항목에 대해서는 담당자 인터뷰, 이행 증거자료 검토, 설정 값 수동 점검을 실시
네트워크/보안솔루션 진단
- 보안 취약점 진단 기준에 따라 진단 대상의 보안 설정에 대해 진단을 실시
- 네트워크 구성도를 통해 구성 상의 오류, 설치 위치 상의 문제점을 분석하고 고객사로부터 네트워크 장비의 설정 파일을 요청하여 설정 상의 약점에 대해 점검을 실시
- 진단 기준의 항목 중 설정파일로 점검이 어려운 경우 담당자와 인터뷰를 하거나 해당 장비의 설정 화면에 대한 실시를 통해 점검 실시
- 진단 대상 장비를 관리자 페이지를 통해 운영하는 경우 접근 통제, 구간 암호화, 계정 및 인증관리, 로그 및 모니터링, 패치에 대해 진단을 실시
그 밖의 클라우드 진단(관리 콘솔, 네트워크 구성, 3rd party 제품 등 점검 실시) 및 보고서 작성
A-PT. 모의 해킹
모의 해킹 단계에서는 웹 어플리케이션, 모바일 어플리케이션, IoT 디바이스에 존재하는 약점을 분석하고 이에 대한 종합적인 대책을 수립한다.
| 목표 |
| - 모의 해킹 대상에 대한 정보를 수집하고 시스템의 구조를 파악 - 대상 시스템의 취약점을 발견/분석하고 시나리오를 작성하여 모의 해킹 수행 - 모의 해킹 대상 및 수행 시나리오에 따라 완료 보고서를 작성 |
| 주요 고려사항 |
| - 진단 대상에 따른 진단 기준 및 체크리스트, 보안 가이드라인 사전 준비 - 취약점 진단 결과에 대한 담당자 검토 및 협의 필요 - 내외부 관점의 침투 테스트 시나리오 개발 및 수행 |
모의 해킹 대상 선정: 진단 대상 선정
모의 해킹 수행: 대상 시스템에 대한 정보 수집, 모의 해킹 시나리오 수립, 모의 해킹 수행
보고서 작성: 모의 해킹 결과 보고서 작성
진단대상 선정
- 고객사 담당자와 정보자산 관리대장을 참고하여 모의 해킹 대상, 범위, 일정에 대한 협의
- 정보자산 현황, 망 구성, 해당 고객사에서 제공하는 서비스 유형, 대상 등을 파악
- 점검 항목 선정 후, 분석된 내용을 바탕으로 모의 해킹 예상 시나리오 작성
- 모의 해킹 범위 및 수행 대상, 예상 시나리오를 확정하고 수행계획서 작성
대상 시스템 정보 수집
- 모의 해킹 수행계획서에 따라 진단 대상의 IP주소, 진단 대상의 구조, 설치된 보안 프로그램의 정보, 개발 언어, WAS 종류 및 버전에 대한 정보를 수집
- 모의 해킹 예상 시나리오를 참고하여 진단에 필요한 진단 대상과 연계되는 타 시스템과 데이터 교환, 시스템 간 물리적 연결에 대한 정보를 수집
- 진단 대상에 대해 직접 스캐닝을 수행해 모의 해킹 대상 시스템에 대해 탐색, 구조 파악
모의 해킹 시나리오 수립
- 모의 해킹 예상 시나리오, 진단 대상 정보 수집 결과, 시스템 관련 소프트웨어, 버그, 보안 취약점, 스캐닝 결과를 활용하여 모의 해킹 시나리오 수립
- 수립된 모의 해킹 시나리오에 대해 적용/발생 가능성을 고려하여 최종 시나리오 확정
모의 해킹 수행
- 모의 해킹 시나리오를 활용해 필요한 테스트 계정, 방화벽 정책, 관제 제외 등을 요청
- 고객사에 상주하여 모의 해킹을 수행하는 경우 점검용 단말에 해킹 Tool, 진단 템플릿 등을 사전 설치하고 고객사에서 요구하는 단말 보안 솔루션을 설치
- 진단 대상에 대한 모의 해킹 실시 후 잔여 사항에 대해 삭제를 요청
모의 해킹 결과 보고서 작성
- 모의 해킹 결과를 반영한 결과 보고서 작성, 보고서는 수행 일정, 진단대상, 장소, 수행 절차, 수행 결과, 발견된 약점에 대한 보호대책을 반영
A-RM. 위험 관리
위험 관리 단계에서는 정보보호 관리체계와 정보자산, 법적 준거성, 개인정보 흐름에 대한 취약점 식별 수 위험 평가를 실시하고 식별된 위험에 대한 적용 가능성, 적용 시점을 고려하여 이행 조치 방안과 계획을 수립하고 이행한다.
| 목표 |
| - 조직의 정보보호 관련 정황과 체계와 자산 취약점 식별하고 위험평가 시나리오 수립 - 위험평가 시나리오에 조직의 정보보호 대책을 반영하여 발생 가능한 위험 식별 - 식별된 위험에 대한 위험처리 방안과 조치방안을 설정하고 이행하며 그 결과를 관리 |
| 주요 고려사항 |
| - 조직의 비즈니스, 정보보호 환경, 정보자산의 취약점, 조직의 역량 등을 종합적으로 고려하여 위험 평가 시나리오를 수립 - 위험조치 방안 수립 후 대응 부서에 통보하고 조치 계획을 수립하여야 함. - 조치 일정에 따라 완료 여부를 지속적으로 관리하고 미흡 시 추가 개선방안 도출 |
위험평가 계획 수립: 위험평가 계획 수립, 위험평가 방법 선정(기준선 접근법, 전문간 판단법, 상세위험 접근법)
위험평가 수행: 위험 분석, 위험도 산출, 위험허용수준 설정
위험 처리 : 위험 처리 방안 정의, 위험 처리 대책 수립, 수립 이행 점검
위험평가 계획 수립
- 정보보호 관리체계, 정보자산, 비즈니스 측면에서 준수해야 할 법적 요건을 고려하여 위험평가 계획을 수립
- 수립된 위험평가 계획을 고객사와 협의하여 최종 확정하고 이해관계 당사자에게 위험평가 계획을 공유
위험평가 방법 선정
- 위험평가 계획서에 따라 정보자산, 정보보호 관리체계, 법적 준거성을 포함하여 위험평가 대상에 맞는 위험평가 방법 선정
- 위험평가 방법은 기준선 접근법, 전문가 판단법, 상세위험 접근법을 위험평가 대상의 특성에 따라 적용
위험 분석
- 정보보호 관리체계의 취약점과 위협을 고려한 고유 위험 시나리오를 도출하고, 적용된 보호대책의 수준을 고려하여 발생 가능한 위험을 분석
- 법적 준거성과 개인정보 흐름 분석 시 미 준수 사항을 식별하고 발생 가능한 위험 분석
- 정보자산의 중요도, 정보자산에 발생 가능한 위협, 정보자산의 자체 취약점을 기반으로 고유 위험 시나리오를 도출하고 적용된 보호대책 수준을 고려해 발생가능한 위험 분석
위험도 산출
- 위험평가 결과에 따라 식별된 위험의 총 위험수준을 결정하여 위험도를 산출해야 함
- 기준석 접근법과 전문가 판단법은 총 위험수준을 평가하지 않고 식별된 모든 위험을 관리 대상 위험으로 식별
- 상세위험 접근법은 정보자산의 중요도, 위협수준, 취약점 수준, 발생 가능성을 종합적으로 고려하여 총 위험수준을 산출
위험허용수준 설정
- 위험평가 결과에 따라 평가된 총 위험수준에 대해 허용가능한 위험수준의 기준 수립
- 허용 가능한 위험수준 결정 시 고객사의 기술 역량, 예산 등 재무적 역량, 정보보호에 대한 수용력, 위험의 시급성, 위험에 따른 영향을 고려
- 위험평가 결과에 허용가능한 위험수준을 적용하여 관리 대상 위험에 대해 식별
- 식별된 위험관리 대상에 대한 평가 결과를 고객사에 전달하여 최종 확정
위험 처리 방안
- 위험평가 결과에 따라 식별된 관리대상 위험에 대한 위험 처리 방안을 결정
- 허용 가능한 위험수준 이하의 잔여 위험에 대해서는 위험수용을 선정
- 허용 가능한 위험수준 이상의 잔여 위험에 대대해서는 위험 감소, 전가, 회피 중에 조직의 현황에 맞게 위험처리 방안을 결정
- 관리대상 위험을 조치하기 위해 막대한 비용이 발생하거나 기업에서 조치가 불가한 사항에 대해서는 위험회피 선택 가능
- 잔여위험에 해당하는 위험 중 위험도가 상승할 가능성이 있거나 신속한 조치가 가능한 경우 위험감소 방안을 적용하여 위험을 완화시킬 수 있음
위험 처리 대책 수립
- 위험평가 결과서의 관리대상 위험 중 위험감소를 채택한 위험에 대해 보호대책 수립
- 보호대책은 구현에 요구되는 기간에 따라 즉시, 단기, 중기, 장기로 구분해 조치일정 수립
즉시(1개월 이내), 단기(3개월 이내), 중기(6개월 이내), 장기(1년 이내)
- 보호대책을 구현할 담당 부서 및 담당자를 지정하고 위험조치 계획서를 작성
수립 이행 점검
- 위험조치 계획서에 반영된 구현 일정에 따라 보호대책이 효과적, 효율적으로 구현되어 있는지 이행 점검을 실시
- 이행 점검 시 보호대책의 구현에 따라 예상되는 목표 수준을 달성하였는지 평가하고 조치하지 않았거나 조치 결과가 목표 수준을 만족하지 못하는 경우 보호대책 재 수립
- 위험 조치 계획에 따라 구현이 완료된 경우 위험조치 결과 보고서를 작성
D-OD. 조직 설계
조직 설계 단계에서는 정보보호 및 개인정보보호 운영활동의 의사결정 미 체계적인 이행을 위해 전문성을 갖춘 정보보호 실무조직을 구성하는 것을 지원한다.
| 목표 |
| - 고객사의 정보보호 관련 조직을 설계할 수 있도록 지원 - 정보보호 조직 구성원의 보고 및 의사결정 체계를 수립하여 실무조직의 정보보호 활동이 체계적으로 수행될 수 있도록 함. |
| 주요 고려사항 |
| - 정보보호 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계 수립 - & |
조직 구성:
정보보호 조직 구성, 정보보호 위원회 구성, 침해사고 대응 조직 구성, 재해복구 조직 구성
정보보호 조직 구성
- 고객사의 요구사항, 조직 구성, 정보보호 규정, 조직의 정보보호 역량 등을 고려하여 정보보호 조직을 설계
- CISO(정보보호 최고 책임자), CPO(개인정보보호 책임자) 뿐 아니라 조직 내 정보보호 활동의 실무를 담당할 수 있는 조직 구성을 설계
- 최초로 조직을 구성하는 경우 제정된 정보보호 정책을 참고하여 조직을 구성하고 각 구성원에 역할을 부여
- 이미 조직이 구성되어 운영중인 경우 운영실태를 파악하여 직무 적정성 및 정보보호 활동 수행 현황을 검토
정보보호 위원회 구성
- 고객사 내 정보보호 활동의 방향성을 결정할 수 있는 기구인 정보보호 위원회를 구성
- 정보보호 위원회를 최초로 구성할 경우 인력, 예산에 대해 의사결정 할 수 있는 임원금의 인력을 구성
- 고객사 규모에 따라 인원의 차이를 둬 구성, 회의 결과에서 정해진 사항을 회의록 등으로 문서화해서 관리
- 이미 조직이 존재할 경우 해당 조직의 기존 활동 내역을 분석하여 효율적이고 올바르게 작동할 수 있도록 고도화 한다.
침해사고 대응 조직 구성
- 침해사고를 예방하고, 피해 발생 시 신속하게 대응하기 위한 조직을 구성
- 침해사고 대응 조직은 침해사고 예방을 위한 평상 시 활동과 침해사고 발생 시 대응 활동, 발생 후 대응 활동에 대한 역할을 수립한다.
- 침해사고에 대해 자체 대응이 어려운 조직의 경우 외부 전문가에게 대응 업무 위탁 가능
- 침해사고 대응 조직은 전담 조직이 아닌 TF팀으로 구성할 수 있으며 해당 조직 구성원은 IT 침해사고 발생에 대응할 수 있는 관련 부서의 인력을 포함하여 구성
재해복구 조직 구성
- 자연재해로 인해 업무 중단, 장비 파손 등의 피해가 발생한 시스템 복구 조직 구성
- 재해복구 대응 조직은 TF팀으로 구성, 해당 구성원은 IT 침해사고 대응인력을 포함
- 재해복구 계획서 작성에 대한 업무 및 평상 시 업무 연속성 관리에 관련한 활동 포함
D-PD. 규정 설계
규정 설계 단계에서는 정보보호 정책/지침에 기재되어 있는 활동 절차 및 조직의 세부 활동이 정보보호 수준 향상 측면에서 개선될 수 있도록 기존/정책/지침 혹은 개선 요구사항을 기준으로 제정 및 개정을 수행한다.
| 목표 |
| - 정보보호 관리를 위한 조직, 책임과 역할, 실무 절차와 방법에 대한 사항을 정의한 정책, 지침, 절차를 수립 |
| 주요 고려사항 |
| - 정보보호 최고책임자 및 경영진의 검토 - 최고 경영자 승인 및 전사 배포 |
정책/지침 제·개정
- 개선 요구사항 확인, 정책/지침 제·개정, 정책/지침 현황화
개선요구사항 확인
- 조직이 보유하고 있는 기존 정보보호 정책/지침과 IT 정책/지침, 관련 내부 지침에 대해 체계 및 일관성 여부를 확인
- 기존 정보보호 정책/지침이 조직의 비즈니스 측면에서 준수해야 할 법률, 상위 정책 요구사항, 규정 간의 상관관계를 고려하여 개선항목을 도출
- 정보보호 감사, 정보보호 관리체계 점검에서 발생한 부적합 사항에 대해 분석하여 규정 상 개정할 사항이 있는 지 확인
- 고객 정보보호 담당자, 이해 관계자와 인터뷰를 통해 추가 개선 요구사항 확인
- 정보보호 정책/지침이 없는 경우 상위 기관 요구사항, 법적 요건, 규정 간 상관관계를 고려하여 신규 제정 사항을 도출
정책/지침 제·개정
- 정보보호 정책/지침 개정사항이 반영될 수 있도록 기존 정책/지침 개정
- 신규 정보보호 규정을 제정하는 경우 정보보호 정책/지침 개정사항이 포함될 수 있도록 정보보호 정책/지침을 개정
- 정보보호 정책/지침의 신규 제정 또는 개정에 따른 각 조항의 수행주체와 세부 절차/방법, 주기, 양식이 반영되어 있는 지 확인
정책/지침 현행화
- 제·개정된 정보보호 정책/지침(안)의 각 정책/지침 별 업무 담당자에게 검토를 요청하고, 수정 요구 시 협의를 통해 확정
- 정보보호최고책임자 및 경영진의 검토와 승인이 이루어지고 전사 배포될 수 있게 안내
D-MD. 중장기 계획 수립
중장기 계획 수립 단계에서는 자산의 위험평가로 도출된 보호대책과 고객사의 연간 정보보호 활동 계획 간의 우선순위 및 연계성을 고려하여 중장기 계획을 체계적으로 수립하고 지속적으로 추진할 수 있도록 한다.
| 목표 |
| - 전략적 정보보호 활동 및 보안 수준 향상을 위하여 중/장기 계획의 추진 방향성 및 구체적 활동 과제를 포함하는 마스터 플랜을 수립하여 체계적인 중/장기 계획의 수행을 지원 |
| 주요 고려사항 |
| - 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선 후행 관계 등을 고려하여 보호대책 우선순위 결정 - 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 중장기 마스터플랜을 수립하여 경영진에게 보고 및 승인 |
중장기 과제 도출
- 위험조치 계획서에서 중장기 추진과제, 고객사 요구사항, 법적 준거성 준수, 연간 정보보호 추진계획을 고려하여 정보보호 추진 과제를 도출
- 도출된 정보보호 추진 과제의 목표 수준을 결정 후 시급성, 영향도를 고려 추진시기 결정
중장기 수행방안 도출
- 중장기 과제를 고객사 협의를 통해 예상 수행시기, 처리부서/담당자, 추가 요구사항 확인
- 정보보호 추진 과제의 효과적 이행을 위해 구체적 수행방안, 보안솔루션, 예산 수립