관리적 보안
관리적 보안이란 회사의 정보보호 및 운영에 대해 기본정책을 수립해 임직원(협력사 포함) 및 기업이 대내외적 경영활동을 할 때 회사의 핵심 자산을 관리하고 기업 정보를 체계적으로 보호하기 위한 구성 단계 중 하나를 말한다.
개요
보안 솔루션을 필요에 따라 도입함으로 인해, 각각의 시스템에 대한 별도의 관리 전문가가 필요하다. 시스템이 각각 운영됨에 있어 전사적인 일관된 보안 정책의 수립이 어렵고, 침입 사고의 급증과 공격 패턴의 다양화로 인한 단위 보안 제품 위주의 보안 솔루션 한계에 대응하기 위하여 단위 보안 시스템 이벤트 연관관계 파악의 필요성이 증대하다.[1]
특징
- 보안 활동
그로비스인포텍이 내놓은 기업 보안 솔루션 '지-포스트'는 최근 보안 업계에서 다양한 기업용 보안 교육 솔루션을 출시하면서 등장한 대표적인 보안 관리 솔루션이다. '지-포스트'는 '기술적·물리적 보안'에 대응되는 '관리적 보안'의 맥락에서 조직의 보안 의식을 향상시키는 데 초점을 둔 전사적 보안 관리 시스템이다. 보안 훈련, 보안 교육, 보안 시험, 조직 보안 수준 관리, 개인 보안 수준 관리에 이르기까지 직원의 보안의식 함양에 필요한 다양한 모듈로 구성되어 있다. 개별 모듈로 구성되어 있어 불필요한 모듈은 빼고 필요한 모듈만 골라 맞춤형 보안 솔루션으로 구성할 수 있어 효율적이다. 또한, 추후에 새로운 모듈이 추가되면 간단하게 추가할 수 있는 확장성이 장점이다.[2] 관리적 보안은 인적 자산에 대한 보안으로 관리적 보안 대책은 각종 관리 절차 및 규정을 의미한다. 조직 내부의 정보 보호 체계를 정립하고, 인원을 관리하고, 정보 시스템의 이용 및 관리에 대한 절차를 수립하고, 비상사태 발생을 대비하여 계획을 수립하는 등의 대책을 포함한다. 대표적인 사례로는 보안정책/절차 관리, 보안 조직 구성 및 운영, 인력 보안 관리, 보안 감사, 보안 사고 조사가 있다. 또한, 관리적 보안을 구축할 때 주의해야 할 사항이 몇 가지 있다. 첫째, 체계적인 정보보호 정책 및 지침을 확립해야 한다. 둘째, 종사자들의 정보보호 인식이 제고되어야 하며, 마지막으로 감독 규정 준거성을 확보해야 한다는 고려 사항이 있다.[1]
- 기술요소[1]
기술요소 설명 ISO 17799 영국 표준협회(BSI) 주관으로 1993년부터 산업계의 보안 관련 표준을 수렴하여 1998년까지 제정한 정보보호관리체계 인증 규격 및 정보 보안 관리 시스템을 시작, 이행 또는 유지하는 책임자에게 정보 보안 관리에 있어 Best Practice를 제공한다. ISO 27001 정보 보안경영 시스템에 대한 규격 제시를 통해 기업의 정보 보안경영 시스템 평가 인증한다. 보안 정책 설정/매뉴얼 작성 보안을 위한 자원 사용, 통신 등에 대한 사용자의 로그 정보를 수집 및 감시 정책 설정 및 문서화 CC
(Common Criteria)국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 제정된 정보보호시스템 공통평가 국제 기준이다. PMI 사용자 권한, 지위, 임무 등에 관한 사용자의 속성을 정의하고 관리하기 위한 권한 인증 체계와 권한 관련 자원과 이의 소유자 간의 관계를 신뢰 기관이 보증하고 유지하는 구조를 가지고 있다. SRM
(Security Risk Management)조직의 자산을 보호하기 위하여 자산에 대한 보안상의 위험 분석을 통하여 비용 효과적인 측면에서 적절한 보호 대책을 수립하여 이를 수행하는 보안 위험 관리 프로세스 및 총칭
- 기업에서 지켜야할 관리적·물리적 보안 7계명
개인 정보 및 기술 유출 예방을 위한 핵심은 결국 사람 관리, 그 가운데서도 내부자 관리라고 할 수 있다. 이를 위해서는 기술적 보안은 물론 관리적·물리적 보안이 많이 요구된다. 기술유출 사건을 경험한 중소기업의 경우 관리적 보안에 소홀한 경우가 대부분인다. 따라서 기업 및 일반인이 지켜야 할 관리적·물리적 보안 7계명이 존재한다. 첫째, 출입 허가된 사람이나 허가받지 않는 사람의 동선을 고려하여 물리적 보안을 설계해야 한다. 둘째, 보안 요구 사항에 따라 출입통제 시스템과 프로세스에 대한 설계를 고려해야 한다. 셋째, 출입통제에 대한 모니터링 및 감사 방안을 강구해야 한다. 넷째, 퇴근 시 신건 장치 및 클린 데스크를 철저히 준수해야 한다. 다섯째, 출력물에 대해 입력, 출력, 보관, 복사, 반출 등 프로세스를 고려하여 중요(기밀) 문서에 대한 보호 대책을 강구해야 하며, 여섯째, 분실 및 물리적 보안 사고 발생 시 신고할 수 있는 프로세스와 담당자 등을 확실히 해야 한다. 마지막으로 사용자에 대한 보안 교육 내에 물리적 보안 부분도 포함해야 한다.[3]
- 일반인이 지켜야할 관리적·물리적 보안 7계명
첫째, 외부 컴퓨터 기기 방치 시 반드시 보안 케이블 잠금(Security Cable Lock)을 활용한다. 둘째, 퇴근 시 클린 데스크를 준수하고 업무 책상의 시건장치를 모두 잠가야 한다. 셋째, 보안상 중요 업무를 다룬다면 모니터 보안 필름 사용을 고려해야 하며, 넷째, 중요(기밀) 문서 출력 시 바로 회수하고, 페기 시에는 적법 절차를 따라야 한다. 마지막으로는 출입카드나 업무용 디바이스 분실 시, 혹은 보안 사고 의심 시 신고절차에 따라 보고해야 한다.[3]
각주
- ↑ 1.0 1.1 1.2 〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》
- ↑ 〈“보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST〉, 《그로비스인포텍》
- ↑ 3.0 3.1 이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13
참고자료
- 〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》
- 〈“보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST〉, 《그로비스인포텍
- 이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13
같이 보기