[자료] 정보보호 컨설팅 업무 절차 및 필요 역량

컨설팅에 관한 세미나에 참석해서 들은 내용 간단 정리 


가. 컨설팅 업무 절차 

1. 환경 분석

조직의 이해

정보자산 식별(중요도 평가)  * 인증 컨설팅의 경우 인증 범위가 지정됨 


2. GAP 분석

관리 진단

기술 진단(서버, 네트웤, DB, Web/WAS, 보안장비 등)

모의 해킹 * 모의해커 진행


3. 위험평가

위험 식별

위험 평가

조치 계획(관리부문, 기술부분)


4. 대책 수립

정책/지침(조치계획의 관리부문)

마스터 플랜(조치계획의 기술부문) * 필요시

인증문서(대책 명세서, SOA) * 필요시 


* risk = 위협 x 취약점 x 자산 x (발생 빈도)


나. 컨설팅 종류

인증 

정보보호 체계 수립 

개인정보

개발보안 체계

개인정보 영향평가

기반시설진단 

등등


다. 컨설턴트 필요 역량

1. 커뮤니케이션

2. PT작성/발표

3. 보고서 작성

4. 기술

5. 태도와 자세