정보보안기사 : 정보보호정책
- 정보보호정책
-- 기업 또는 조직의 정보보호에 대한 방향, 전략, 주요내용들을 문서화 시켜놓은 것
-- 정보보호관리를 위해서 가장 먼저하는 정책수립의 결과물
-- 하향식 유형(Top-down) : 상위 정책에서 하위 정책을 도출
-- 상향식 유형(Bottom-up) : 기업의 기존 정책들을 종합하여 도출
- 정보보호정책의 조건
-- 간결, 명확
-- 정보보호의 목표, 회사의 비전 포함
-- 정책에 연관된 임직원들에게 설명을 해야함
-- 난해한 표현은 피하고 쉽게 작성
- 정보보호정책은 다음 사항을 포함해야 한다
-- 자산의 분류
-- 기밀성, 무결성, 가용성 보장
-- 비인가자의 접근 원칙
-- 법 준거성
-- 개발 및 유지방법
-- 비상대책 계획 수립
-- 교육 및 훈련
-- 징계와 처벌
-- 보안사고 보고 및 조사
-- 기타 관련 정책
- 정보보호정책의 구성원
-- 정보보호책임자 : 조직의 구성 및 운영 총괄
-- 정보보호관리자 : 정보보호 활동의 계획 및 관리
-- 정보보호담당자 : 실무자, 계획한 정책을 이행하는 자
-- 정보보호위원회 : 활동계획 및 예산심의. 정책과 규정 최종 심의
- 정보보호책임자
-- 기본역할
--- 정책수립과 실행
--- 위험분석 수립과 실행
--- 위원회 소집 및 의장 역할
--- 정책서, 계획서, 관련규정 승인
--- 현황감독
-- 정보자산관련 책임
--- 정보자산 평가 및 선정등급 승인
--- 정보자산 보호대책의 주기적 검토
-- 교육훈련 관련 책임
--- 정보보호 관련 교육, 훈련 계획서 승인
--- 교육 실적 검토
-- 보안사고 발생 시 책임
--- 사고 처리계획 승인 및 처리결과 확인
--- 보안사고시 위원회 소집 결정
--- 보안사고를 외부기관에 보고해야할 경우 대표의 인가를 받음
-- 시스템개발 및 유지보수 시 책임
--- 정보시스템의 개발, 운영 및 유지보수 계획 승인
-- 감사 및 점검 책임
--- 최소 연 1회이상 보안진단 또는 감사의 보장 및 지원
- 정보보호관리자
-- 기본역할
--- 정보보호를 위한 전반적인 관리 정책과 계획, 규정 수립
--- 위원회 간사 역할
--- 정보보호관련 사내 홍보
-- 교육훈련
--- 년간 정보보호교육 계획 수립 및 실행
-- 정보보호 계획 및 정책
--- 정보보호 계획/정책/규정 수립 및 이행 상태 감독
--- 정보자산 취약성 평가
--- 정보자산 책임자, 사용자 관리 및 검토
-- 점검 및 감독
--- 정보보호 실태 점검 및 시정조치
--- 보안취약성 검토 및 대책 수립
--- 보안사고 예방 및 위험 이슈 보고
-- 보안사고 시
--- 보안사고 시 조사, 보고, 조치계획 수립
-- 보안감사
--- 감사 계획 수립 및 시행
- 정보보호담당자
-- 기본역할
--- 기술적인 보안관리 업무 수행
-- 교육훈련
--- 교육훈련 실시
--- 교육훈련 기록관리
-- 보안사고대응
--- 사고 목록 유지
--- 사고감시
--- 처리현황 감독, 분석보고서 작성 및 보고
--- 사고 예방을 위해 대책 수립
--- 취약성 조사, 분석, 문제제기
-- 정보자산 관리
---접근 로그 관리, 검토
--- 자산의 폐기/삭제
--- 비인가 접근 통제 대책 수립
--- 정보시스템 개발/운영/유지보수
-- 감사 및 점검 시 확인
--- 기술적 보안감사
--- 감사 지적사항의 처리 현황 확인
※ 위 내용은 http://s2kiess.blog.me/220478708883와 http://s2kiess.blog.me/220478708883내용을 참조하였습니다.
-- 기업 또는 조직의 정보보호에 대한 방향, 전략, 주요내용들을 문서화 시켜놓은 것
-- 정보보호관리를 위해서 가장 먼저하는 정책수립의 결과물
-- 하향식 유형(Top-down) : 상위 정책에서 하위 정책을 도출
-- 상향식 유형(Bottom-up) : 기업의 기존 정책들을 종합하여 도출
- 정보보호정책의 조건
-- 간결, 명확
-- 정보보호의 목표, 회사의 비전 포함
-- 정책에 연관된 임직원들에게 설명을 해야함
-- 난해한 표현은 피하고 쉽게 작성
- 정보보호정책은 다음 사항을 포함해야 한다
-- 자산의 분류
-- 기밀성, 무결성, 가용성 보장
-- 비인가자의 접근 원칙
-- 법 준거성
-- 개발 및 유지방법
-- 비상대책 계획 수립
-- 교육 및 훈련
-- 징계와 처벌
-- 보안사고 보고 및 조사
-- 기타 관련 정책
- 정보보호정책의 구성원
-- 정보보호책임자 : 조직의 구성 및 운영 총괄
-- 정보보호관리자 : 정보보호 활동의 계획 및 관리
-- 정보보호담당자 : 실무자, 계획한 정책을 이행하는 자
-- 정보보호위원회 : 활동계획 및 예산심의. 정책과 규정 최종 심의
- 정보보호책임자
-- 기본역할
--- 정책수립과 실행
--- 위험분석 수립과 실행
--- 위원회 소집 및 의장 역할
--- 정책서, 계획서, 관련규정 승인
--- 현황감독
-- 정보자산관련 책임
--- 정보자산 평가 및 선정등급 승인
--- 정보자산 보호대책의 주기적 검토
-- 교육훈련 관련 책임
--- 정보보호 관련 교육, 훈련 계획서 승인
--- 교육 실적 검토
-- 보안사고 발생 시 책임
--- 사고 처리계획 승인 및 처리결과 확인
--- 보안사고시 위원회 소집 결정
--- 보안사고를 외부기관에 보고해야할 경우 대표의 인가를 받음
-- 시스템개발 및 유지보수 시 책임
--- 정보시스템의 개발, 운영 및 유지보수 계획 승인
-- 감사 및 점검 책임
--- 최소 연 1회이상 보안진단 또는 감사의 보장 및 지원
- 정보보호관리자
-- 기본역할
--- 정보보호를 위한 전반적인 관리 정책과 계획, 규정 수립
--- 위원회 간사 역할
--- 정보보호관련 사내 홍보
-- 교육훈련
--- 년간 정보보호교육 계획 수립 및 실행
-- 정보보호 계획 및 정책
--- 정보보호 계획/정책/규정 수립 및 이행 상태 감독
--- 정보자산 취약성 평가
--- 정보자산 책임자, 사용자 관리 및 검토
-- 점검 및 감독
--- 정보보호 실태 점검 및 시정조치
--- 보안취약성 검토 및 대책 수립
--- 보안사고 예방 및 위험 이슈 보고
-- 보안사고 시
--- 보안사고 시 조사, 보고, 조치계획 수립
-- 보안감사
--- 감사 계획 수립 및 시행
- 정보보호담당자
-- 기본역할
--- 기술적인 보안관리 업무 수행
-- 교육훈련
--- 교육훈련 실시
--- 교육훈련 기록관리
-- 보안사고대응
--- 사고 목록 유지
--- 사고감시
--- 처리현황 감독, 분석보고서 작성 및 보고
--- 사고 예방을 위해 대책 수립
--- 취약성 조사, 분석, 문제제기
-- 정보자산 관리
---접근 로그 관리, 검토
--- 자산의 폐기/삭제
--- 비인가 접근 통제 대책 수립
--- 정보시스템 개발/운영/유지보수
-- 감사 및 점검 시 확인
--- 기술적 보안감사
--- 감사 지적사항의 처리 현황 확인
※ 위 내용은 http://s2kiess.blog.me/220478708883와 http://s2kiess.blog.me/220478708883내용을 참조하였습니다.
댓글
댓글 쓰기