정보보호 관리체계

시스템보안 = 서버, 계정, 권한, 로그
네트워크보안 = 프로토콜, 공격기법, 보안장비
어플리케이션보안 = 웹 취약점, 인증, API
정보보안일반 = 암호학, 접근통제, 위험관리

정보보안관리 및 법규 = 조직이 보안을 어떻게 관리하고 운영해야 하는가

정책 수립
→ 조직과 책임 부여
→ 자산 식별
→ 위험 평가
→ 보호대책 적용
→ 교육과 운영
→ 점검과 감사
→ 개선

정보보호 관리체계는 보안을 일회성 조치가 아니라 지속적인 관리 활동으로 운영하는 체계이다.

정보보호 관리체계는 조직의 정보자산을 보호하기 위해 정보보호 정책, 조직, 자산관리, 위험관리, 보호대책, 교육, 점검, 개선 활동을 체계적으로 수립·운영하는 관리 체계이다.

정보보호 관리체계 = 회사가 보안을 계속 잘하기 위한 운영 시스템

보안정책이 있어야 한다.
담당 조직과 책임자가 있어야 한다.
보호할 자산 목록이 있어야 한다.
위험을 평가해야 한다.
계정, 권한, 로그, 백업, 암호화 같은 보호대책이 있어야 한다.
임직원 교육을 해야 한다.
정기적으로 점검하고 개선해야 한다.

정보보호 관리는 조직의 정보자산을 보호하고 보안 위험을 줄이며, 법규와 내부 정책을 준수하고 침해사고를 예방·대응하기 위해 필요하다.

정보보호 정책은 조직의 정보자산을 보호하기 위한 보안 목표, 원칙, 책임, 준수사항을 규정한 최상위 문서이다.

정보보호 정책 = 우리 조직은 보안을 이렇게 하겠다는 공식 기준

정책 = 방향
지침 = 기준
절차 = 방법
기록 = 증거

정보보호 정책은 조직의 보안 목표와 원칙을 정한 최상위 문서이며, 지침과 절차는 이를 구체적인 기준과 수행 방법으로 세분화한 문서이다. 정책은 경영진의 승인과 조직 구성원에게 공지되어야 하며, 정기적으로 검토·개정되어야 한다.

경영진은 정보보호 정책을 승인하고, 인력과 예산을 지원하며, 정보보호 책임과 권한을 부여하고, 잔여위험 수용 등 주요 의사결정을 수행해야 한다.

정보보호 조직은 정보보호 정책 수립, 위험관리, 보호대책 운영, 보안점검, 사고 대응, 교육 등을 수행하기 위해 역할과 책임을 부여한 조직 체계이다.

누가 정책을 관리하는지 불명확하다.
보안 사고 발생 시 대응 책임이 모호하다.
권한 승인과 점검이 형식적으로 운영된다.
보안 교육과 감사가 지속되지 않는다.

정보보호 조직은 정보보호 정책 수립, 위험관리, 보호대책 운영, 교육, 감사, 침해사고 대응을 지속적으로 수행하기 위해 필요하다. 경영진, 정보보호책임자, 개인정보보호책임자, 시스템 관리자, 부서 담당자, 일반 임직원별 역할과 책임을 명확히 정의해야 한다.

한 사람이 신청, 승인, 실행, 감사까지 모두 수행하면 안 된다.

권한 남용 방지
부정행위 방지
오류 감소
책임추적성 확보

직무분리는 승인, 실행, 감사 기능을 서로 다른 담당자에게 분리하여 권한 남용과 부정행위를 방지하고 책임추적성을 높이는 내부통제 원칙이다.

자산관리는 조직이 보유한 정보, 시스템, 소프트웨어, 네트워크 장비, 인력, 문서, 물리적 시설 등 보호가 필요한 자산을 식별하고 중요도에 따라 분류·관리하는 활동이다.

자산관리 = 무엇을 지켜야 하는지 목록화하고 중요도를 정하는 것

자산 식별
→ 자산 소유자 지정
→ 자산 중요도 평가
→ 자산 등급 분류
→ 보호대책 적용
→ 변경사항 관리
→ 정기 점검

자산관리는 보호해야 할 정보자산을 식별하고 자산 소유자를 지정한 뒤, 기밀성·무결성·가용성 영향에 따라 중요도를 평가하고 등급화하는 활동이다. 자산 등급에 따라 접근통제, 암호화, 백업, 물리적 보호 등 적절한 보호대책을 적용하고 자산목록을 정기적으로 갱신해야 한다.

정보자산은 기밀성, 무결성, 가용성에 미치는 영향을 기준으로 중요도를 평가하고 등급을 분류해야 하며, 등급에 따라 차등적인 보호대책을 적용해야 한다.

자산 식별
→ 위협 식별
→ 취약점 식별
→ 위험 분석
→ 위험 평가
→ 보호대책 선정
→ 잔여위험 관리

위험관리는 자산에 대한 위협과 취약점을 식별하고 위험을 분석·평가하여 적절한 보호대책을 선정하는 과정이다. 정보보호 관리체계에서는 위험평가 결과를 기반으로 보호대책을 수립하고, 보호대책 적용 후 남는 잔여위험을 관리해야 한다.

인적보안은 임직원과 외부자의 채용, 재직, 직무 변경, 퇴직 단계에서 보안 책임과 접근권한, 교육, 서약, 퇴직 절차 등을 관리하는 활동이다.

인적보안 = 사람으로 인해 발생하는 보안 위험을 관리하는 것

피싱 메일 클릭
비밀번호 공유
내부정보 유출
퇴사자 계정 미삭제
외부자 권한 방치
관리자 권한 오남용

계정 삭제 또는 비활성화
접근권한 회수
출입증 회수
노트북·저장매체 회수
보안서약 재확인
업무자료 반납
외부 서비스 계정 회수
메일·VPN·클라우드 접근 차단

인적보안은 채용 전 보안서약과 교육, 재직 중 정기 보안교육과 권한 점검, 직무 변경 시 권한 조정, 퇴직 시 계정·출입권한·장비·자료 회수를 포함한다. 특히 퇴사자와 외부자 계정은 즉시 비활성화하거나 삭제하여 정보유출과 비인가 접근을 방지해야 한다.

외주 개발자
유지보수 업체
클라우드 운영사
컨설턴트
파견 직원
협력업체

외부자 보안은 계약 단계에서 보안 요구사항과 비밀유지 의무를 명시하고, 업무 수행 중에는 최소권한, 작업 승인, 원격접속 통제, 작업 로그 기록을 적용하며, 계약 종료 시 계정과 자료를 회수해야 한다.

물리보안은 서버실, 사무실, 장비, 저장매체 등 물리적 자산에 대한 비인가 접근, 도난, 훼손, 재해를 방지하기 위한 보호활동이다.

물리보안 = 물리적으로 접근하지 못하게 지키는 것

출입권한 최소화
출입기록 보관
CCTV 설치
방문자 동행
서버랙 잠금
소화설비와 온습도 관리
UPS와 전원 이중화
장비 반출입 기록
정기 점검

물리보안은 서버실, 장비, 저장매체에 대한 비인가 접근과 도난, 훼손, 재해를 방지하기 위한 보호활동이다. 서버실에는 출입통제, 출입기록, CCTV, 방문자 관리, 서버랙 잠금, 장비 반출입 통제, UPS, 온습도 관리, 소화설비 등을 적용해야 한다.

권한 신청
→ 승인
→ 부여
→ 사용
→ 변경
→ 정기 점검
→ 회수

접근권한은 신청, 승인, 부여, 사용, 변경, 정기 점검, 회수 절차에 따라 관리해야 한다. 최소권한 원칙을 적용하고, 퇴사자·휴면 계정·외부자 계정·관리자 권한·공유 계정·부서 이동자 권한을 정기적으로 점검하여 불필요한 권한을 제거해야 한다.

피싱 메일 클릭
악성 첨부파일 실행
비밀번호 공유
개인정보 오발송
USB 무단 사용
문서 방치
계정정보 메신저 공유

보안교육은 임직원과 외부자가 정보보호 정책과 절차를 이해하고 보안 위협에 대응할 수 있도록 정기적으로 실시하는 인식 제고 활동이다.

신규 입사자 교육
정기 교육
직무별 전문 교육
외부자 교육
피싱 모의훈련
교육 이수 기록 관리
교육 효과 평가
미이수자 관리

보안교육은 임직원과 외부자가 정보보호 정책과 절차를 이해하고 피싱, 개인정보 유출, 비밀번호 공유, 악성코드 감염 등 보안 위협에 대응할 수 있도록 정기적으로 실시해야 한다. 신규 입사자 교육, 정기 교육, 직무별 교육, 외부자 교육, 피싱 모의훈련을 운영하고 교육 이수 기록과 효과를 관리해야 한다.

보안감사는 정보보호 정책, 절차, 법적 요구사항, 보호대책이 적절히 수립·운영되고 있는지 독립적으로 점검하고 미흡사항을 개선하는 활동이다.

보안감사 = 정해진 보안 기준을 실제로 지키고 있는지 확인하는 것

감사 계획 수립
→ 감사 범위와 기준 정의
→ 자료 요청
→ 현장 점검과 인터뷰
→ 증적 확인
→ 미흡사항 도출
→ 개선계획 수립
→ 개선조치 확인
→ 결과 보고

보안감사는 정보보호 정책과 절차, 법적 요구사항, 보호대책이 제대로 운영되는지 점검하는 활동이다. 감사 계획 수립 후 자산, 계정, 권한, 로그, 개인정보 처리, 외부자 관리, 물리보안 등을 점검하고 미흡사항에 대한 개선계획과 조치 결과를 확인해야 한다.

ISMS는 조직의 정보보호를 위한 일련의 관리적·기술적·물리적 보호조치와 활동이 인증기준에 적합하게 수립·운영되는지 인증하는 제도이다.

정보자산 보호
위험관리
보호대책 운영
관리체계 점검과 개선

ISMS-P는 정보보호 관리체계와 개인정보보호 관리체계를 통합하여 정보보호와 개인정보 처리 전 단계의 보호조치가 인증기준에 적합한지 인증하는 제도이다.

개인정보 수집
이용
제공
보관
파기
정보주체 권리보장

관리체계 = 정책과 위험관리
보호대책 = 실제 보안통제
개인정보 처리 단계 = 개인정보 생명주기 보호

정보보호를 누가, 어떤 기준으로, 어떤 절차에 따라, 어떻게 점검하고 개선할 것인가

관리체계 수립 및 운영은 정보보호 정책과 조직, 인증범위, 위험관리 절차를 수립하고 보호대책을 운영하며, 정기적인 점검과 개선을 통해 정보보호 수준을 지속적으로 관리하는 활동이다.

보호대책 요구사항은 조직의 정보자산을 보호하기 위해 인적보안, 외부자 보안, 물리보안, 인증·권한관리, 접근통제, 암호화, 개발보안, 운영관리, 사고 대응 등 실제 보안통제를 수립·운영하는 영역이다.

수집
→ 이용
→ 제공
→ 보관
→ 파기

개인정보는 수집, 이용, 제공, 보관, 파기 등 처리 단계별로 보호조치를 적용해야 하며, 최소 수집, 목적 내 이용, 제3자 제공 관리, 암호화와 접근통제, 보유기간 경과 시 안전한 파기가 중요하다.

관리적 보호대책으로 정보보호 정책 수립, 보안교육, 권한 승인 절차, 정기 감사가 필요하다.
기술적 보호대책으로 접근통제, 암호화, 로그 모니터링, 백신, 방화벽을 적용한다.
물리적 보호대책으로 서버실 출입통제, CCTV, 장비 반출입 관리, 소화설비를 운영한다.

정보보호 거버넌스는 조직의 경영 목표와 정보보호 활동을 연계하고, 책임과 의사결정 구조를 통해 정보보호가 조직 전체에서 체계적으로 수행되도록 하는 관리 체계이다.

정보보호 거버넌스 = 보안을 경영 차원에서 관리하는 구조

정보보호 거버넌스는 정보보호를 단순 기술 운영이 아니라 경영진의 책임과 의사결정, 위험관리, 성과관리, 준법 활동과 연계하여 조직 전체에서 체계적으로 수행하도록 하는 체계이다.

정보보호 관리체계는 정책과 절차 수립뿐 아니라 실제 운영 증적이 중요하다. 교육 이수 기록, 권한 승인 이력, 자산목록, 위험평가 결과, 점검 보고서, 사고 대응 기록 등은 관리체계 운영의 근거가 된다.

1. 경영진이 정보보호 정책을 승인한다.
2. 정보보호 책임자와 담당 조직을 지정한다.
3. 보호해야 할 자산을 식별하고 등급을 분류한다.
4. 자산별 위협과 취약점을 분석해 위험을 평가한다.
5. 위험에 따라 보호대책을 선정한다.
6. 계정, 권한, 로그, 암호화, 백업, 교육, 물리보안 등을 운영한다.
7. 외부자와 임직원 보안서약, 교육, 권한 회수를 관리한다.
8. 정기적으로 보안감사를 수행한다.
9. 미흡사항을 개선하고 기록을 남긴다.
10. 반복적으로 점검하고 개선한다.

정보보호 관리체계는 조직의 정보자산을 보호하기 위해 정보보호 정책, 조직, 자산관리, 위험관리, 보호대책, 교육, 점검, 개선 활동을 체계적으로 수립·운영하는 체계이다. 이를 통해 보안 위험을 줄이고 법규와 내부 정책을 준수하며, 침해사고 예방과 대응, 지속적인 보안 수준 개선을 수행할 수 있다.

정보보호 정책은 조직의 보안 목표와 원칙을 정한 최상위 문서이고, 지침은 정책을 구체화한 세부 기준이다. 절차는 실제 업무를 수행하는 순서와 방법을 정의한 문서이며, 기록은 정책과 절차에 따라 수행한 결과를 증명하는 증적이다.

자산관리는 조직이 보호해야 할 정보, 시스템, 소프트웨어, 장비, 서비스 등을 식별하고 중요도에 따라 분류·관리하는 활동이다. 자산 식별, 자산 소유자 지정, 기밀성·무결성·가용성 기준의 중요도 평가, 등급 분류, 보호대책 적용, 변경관리와 정기 점검 절차로 수행해야 한다.

인적보안은 임직원과 외부자의 채용, 재직, 직무 변경, 퇴직 단계에서 보안 위험을 관리하는 활동이다. 채용 시 보안서약과 초기 교육을 실시하고, 재직 중 정기 보안교육과 권한 점검을 수행하며, 부서 이동이나 퇴직 시 불필요한 권한과 계정, 출입권한, 장비와 자료를 즉시 회수해야 한다.

외부자 보안관리를 위해 계약 단계에서 비밀유지, 보안책임, 위반 시 조치 등 보안 요구사항을 명시하고 보안서약을 받아야 한다. 업무 수행 중에는 최소권한, 작업 승인, 원격접속 통제, 작업 로그 기록, 자료 반출 통제를 적용하고, 계약 종료 시 계정, 자료, 장비, 출입권한을 회수해야 한다.

물리보안은 서버실, 사무실, 장비, 저장매체 등 물리적 자산에 대한 비인가 접근, 도난, 훼손, 재해를 방지하기 위한 보호활동이다. 서버실에는 출입통제, 출입기록 관리, CCTV, 방문자 동행, 서버랙 잠금, 장비 반출입 통제, UPS, 온습도 관리, 소화설비 등을 적용해야 한다.

보안교육은 임직원과 외부자가 정보보호 정책과 절차를 이해하고 피싱, 악성코드, 개인정보 유출, 비밀번호 공유 등 보안 위협에 대응할 수 있도록 하기 위해 필요하다. 보안감사는 정책, 절차, 법적 요구사항, 보호대책이 실제로 준수되고 있는지 점검하고 미흡사항을 개선하여 관리체계의 효과성을 높이기 위해 필요하다.

정보보호 관리체계는 조직의 정보자산을 보호하기 위해 정책, 조직, 자산관리, 위험관리, 보호대책, 교육, 점검, 개선 활동을 체계적으로 수립·운영하는 체계이다.

정보보호 정책은 조직의 보안 목표와 원칙을 정한 최상위 문서이며, 경영진의 승인과 임직원 공지가 필요하다.

정책은 방향, 지침은 기준, 절차는 방법, 기록은 수행 증적이다.

경영진은 정보보호 정책 승인, 예산과 인력 지원, 책임 부여, 잔여위험 수용 등 주요 의사결정을 수행해야 한다.

자산관리는 보호해야 할 정보자산을 식별하고 자산 소유자를 지정하며, 기밀성·무결성·가용성 영향에 따라 중요도를 평가하고 등급화하는 활동이다.

인적보안은 채용 전 보안서약과 교육, 재직 중 권한 점검과 보안교육, 퇴직 시 계정·권한·장비·자료 회수를 포함한다.

외부자 보안은 계약상 보안조항, 보안서약, 최소권한, 작업 승인, 원격접속 통제, 작업 로그 기록, 계약 종료 시 권한 회수를 포함한다.

물리보안은 서버실과 장비, 저장매체에 대한 비인가 접근, 도난, 훼손, 재해를 방지하기 위한 보호활동이다.

접근권한은 신청, 승인, 부여, 사용, 변경, 정기 점검, 회수 절차에 따라 관리해야 한다.

보안교육은 임직원의 보안 인식을 높이고 피싱, 악성코드, 개인정보 유출, 비밀번호 공유 등 인적 위험을 줄이기 위해 필요하다.

보안감사는 정보보호 정책과 보호대책이 적절히 운영되는지 점검하고 미흡사항을 개선하는 활동이다.

ISMS는 정보보호 관리체계 인증이고, ISMS-P는 정보보호와 개인정보보호 관리체계를 함께 인증하는 제도이다.

보호대책은 관리적, 기술적, 물리적 보호대책으로 구분할 수 있다.

정보보호 관리체계는 정책 문서뿐 아니라 교육 이수 기록, 권한 승인 이력, 위험평가 결과, 점검 보고서, 사고 대응 기록 같은 증적이 중요하다.

1. 정보보호 관리체계란 무엇인가?
2. 정보보호 관리체계가 필요한 이유 4가지를 쓰시오.
3. PDCA의 각 단계를 정보보호 활동과 연결해 설명하시오.
4. 정보보호 정책이란 무엇인가?
5. 정보보호 정책에 포함되어야 할 항목 5가지를 쓰시오.
6. 정책, 지침, 절차, 기록의 차이를 쓰시오.
7. 정보보호에서 경영진의 역할 4가지를 쓰시오.
8. 정보보호 조직이 필요한 이유를 쓰시오.
9. 정보보호 조직의 주요 역할 5가지를 쓰시오.
10. 직무분리가 필요한 이유는 무엇인가?
11. 자산관리란 무엇인가?
12. 정보자산의 종류 5가지를 쓰시오.
13. 자산관리 절차를 순서대로 쓰시오.
14. 자산 등급 분류 시 고려해야 할 보안 요소 3가지는?
15. 위험관리와 정보보호 관리체계의 관계를 설명하시오.
16. 인적보안이란 무엇인가?
17. 채용 전, 재직 중, 퇴직 시 인적보안 대책을 각각 쓰시오.
18. 외부자 보안관리 대책 5가지를 쓰시오.
19. 물리보안이란 무엇인가?
20. 서버실 보호대책 6가지를 쓰시오.
21. 접근권한 관리 절차를 순서대로 쓰시오.
22. 접근권한 정기 점검 항목 5가지를 쓰시오.
23. 보안교육이 필요한 이유를 쓰시오.
24. 보안교육에 포함할 주제 5가지를 쓰시오.
25. 보안감사란 무엇인가?
26. 보안감사 대상 5가지를 쓰시오.
27. ISMS란 무엇인가?
28. ISMS-P란 무엇인가?
29. ISMS와 ISMS-P의 차이를 쓰시오.
30. 관리적, 기술적, 물리적 보호대책 예시를 각각 3개씩 쓰시오.
31. 정보보호 관리체계 운영 증적 예시 5가지를 쓰시오.

32. 회사의 보안 목표와 원칙을 최상위 문서로 정한다.
33. 보안정책을 구체적인 기준과 수행 절차로 세분화한다.
34. 보안예산과 인력을 지원하고 잔여위험 수용 여부를 결정한다.
35. 서버, DB, 개인정보, 네트워크 장비 목록을 만들고 중요도를 평가한다.
36. 개인정보 DB가 유출되면 피해가 크므로 중요 자산으로 분류한다.
37. 퇴사자 계정을 삭제하지 않아 외부 접속 위험이 생겼다.
38. 외주 개발자가 원격으로 운영서버에 접근하므로 작업 승인과 로그 기록이 필요하다.
39. 서버실 출입자를 제한하고 출입기록과 CCTV를 운영한다.
40. 장기 미사용 계정과 과도한 관리자 권한을 정기적으로 점검한다.
41. 임직원이 피싱 메일을 구별하고 사고를 신고할 수 있도록 훈련한다.
42. 보안정책 준수 여부와 권한관리 상태를 독립적으로 점검한다.
43. 교육 이수 명단, 권한 승인서, 위험평가 결과, 점검 보고서를 보관한다.
44. 개인정보 처리 단계까지 포함하여 관리체계를 인증받고자 한다.

45. 정보보호 관리체계의 개념과 필요성을 설명하시오.

46. 정보보호 정책, 지침, 절차의 차이를 설명하시오.

47. 자산관리의 개념과 절차를 설명하시오.

48. 인적보안의 개념과 주요 대책을 설명하시오.

49. 외부자 보안관리 방안을 설명하시오.

50. 물리보안의 개념과 서버실 보호대책을 설명하시오.

51. 보안교육과 보안감사의 필요성을 설명하시오.