반응형
컨설팅에 관한 세미나에 참석해서 들은 내용 간단 정리
가. 컨설팅 업무 절차
1. 환경 분석
조직의 이해
정보자산 식별(중요도 평가) * 인증 컨설팅의 경우 인증 범위가 지정됨
2. GAP 분석
관리 진단
기술 진단(서버, 네트웤, DB, Web/WAS, 보안장비 등)
모의 해킹 * 모의해커 진행
3. 위험평가
위험 식별
위험 평가
조치 계획(관리부문, 기술부분)
4. 대책 수립
정책/지침(조치계획의 관리부문)
마스터 플랜(조치계획의 기술부문) * 필요시
인증문서(대책 명세서, SOA) * 필요시
* risk = 위협 x 취약점 x 자산 x (발생 빈도)
나. 컨설팅 종류
인증
정보보호 체계 수립
개인정보
개발보안 체계
개인정보 영향평가
기반시설진단
등등
다. 컨설턴트 필요 역량
1. 커뮤니케이션
2. PT작성/발표
3. 보고서 작성
4. 기술
5. 태도와 자세
반응형
'old > 관리적 보안' 카테고리의 다른 글
| [자료] 컨설팅/관제 지정 업체 (0) | 2014.07.02 |
|---|---|
| [정리] ISMS 인증? (0) | 2014.06.13 |
| [기사] ISMS vs ISO27001 (0) | 2014.04.23 |
| [기사] 보안에 목숨 달린 기업, GRC 간과했다간 ‘파리목숨’ (0) | 2014.03.27 |
| [자료] NIST 사이버안보 프레임워크 (0) | 2014.03.18 |
