출처 : http://www.dailysecu.com/news_view.php?article_id=7411 기술적 진단 관점에서 본 정보보호 컨설팅…변화가 필요한 시기[황석훈 타이거팀 대표. 사진] 2001년 진대제 장관 시절 도입된 정보통신망이용촉진에관한법률(이하, 정보통신망법)은 당시 보안 유관 사업들에 큰 변화를 가져옵니다. 2001년 이전 1990년대 중후반의 모의해킹은 전통적인 모의해킹 서비스 또는 컨설팅이기 보다는 당시의 방화벽 등 보안솔루션을 판매하기 위한 하나의 장치로써 활용된 바가 많습니다. 하지만, 당시의 모의해킹은 시스템, 네트워크, 보안솔루션 등 전방위적인 해킹 공격 시나리오가 가능했고, 이에 대해서 특별한 이견이 없었습니다. 따라서 모의해커의 입장에서는 상대적으로 자유롭고 다양한 ..
지식정보보안 컨설팅 전문 업체http://www.kisa.or.kr/business/protect/protect1_sub4.jsp 보안관제 전문업체http://www.kisa.or.kr/business/protect/protect1_sub5.jsp
ISMS(Information Security Management System) 인증은 지속적이며 전사적인 보안관리를 하기 위한 기업의 정보보안 관리체계의 적합성을 판단해 인증하는 제도로 2001년 부터 국내에 도입되었다. 미래창조과학부에서 인증과 관련된 법, 제도 등을 총괄하고 있으며 한국인터넷진흥원이 단독으로 인증을 수행해오다 최근 인증 수요의 증가와 인증 품질 향상을 위해 한국정보통신진흥협회가 추가 인증기관으로 지정됬다. *7 월 10일 금융보안원이 인증과 인증심사를 담당하는 민간 기관으로 선정 (http://www.dailysecu.com/news_view.php?article_id=10150) [그림 1] 인증 추진 체계 ISMS 인증대상 기업은 의무인증 대상과 자율인증 대상으로 나뉘며 정보통신..
컨설팅에 관한 세미나에 참석해서 들은 내용 간단 정리 가. 컨설팅 업무 절차 1. 환경 분석조직의 이해정보자산 식별(중요도 평가) * 인증 컨설팅의 경우 인증 범위가 지정됨 2. GAP 분석관리 진단기술 진단(서버, 네트웤, DB, Web/WAS, 보안장비 등)모의 해킹 * 모의해커 진행 3. 위험평가위험 식별위험 평가조치 계획(관리부문, 기술부분) 4. 대책 수립정책/지침(조치계획의 관리부문)마스터 플랜(조치계획의 기술부문) * 필요시인증문서(대책 명세서, SOA) * 필요시 * risk = 위협 x 취약점 x 자산 x (발생 빈도) 나. 컨설팅 종류인증 정보보호 체계 수립 개인정보개발보안 체계개인정보 영향평가기반시설진단 등등 다. 컨설턴트 필요 역량1. 커뮤니케이션2. PT작성/발표3. 보고서 작성4..
출처 : http://www.boannews.com/media/view.asp?idx=40676&page=1&kind=1&search=title&find= Q. 보안업무를 보다 체계적으로 수행하기 위해 보안관련 인증 취득을 준비 중인 중견기업이다. 국제인증으로 ISO27001 인증이, 국내인증으로 ISMS 인증이 있는 걸로 알고 있는데, 이 두 가지 인증의 비교와 각각의 장단점을 설명해 달라. A-1. 인증취득을 하고자 하는 기업이 글로벌에서 활동하는 기업인지 아니면 국내에서만 활동하는 기업인지에 따라서 달라진다. 인증을 취득하고자 하는 기업이 국내시장뿐만 아니라 글로벌 시장에서 활동을 하는 기업이라면 당연히 ISO27001을 받아야 할 것이다. 주로 국내시장에서만 활동하는 기업이라면 국내인증 ISMS를..
GRC, 거버넌스·리스크매니지먼트·컴플라이언스 의미 기업보안 성패, GRC가 좌지우지 [보안뉴스 김경애] 최근 카드사 및 보험사 개인정보 유출, KT 홈페이지 해킹 등으로 기업 정보보호에 비상이 걸렸다. 하루가 멀다하고 발생하는 보안사고에 기술적· 관리적 보호조치 허술 등 다양한 원인이 제기되고 있다. 특히 ‘GRC’에 대한 전략적인 대응이 미흡했다는 지적이 나오면서 GRC에 대한 관심이 높아지고 있다. ▲ 중앙대 김정덕 교수가 제시한 GRC 가치 생태계 여기서 말하는 GRC는 거버넌스(Governance), 리스크매니지먼트(Risk Management), 컴플라이언스(Compliance)의 영문 첫자의 조합이다. 기업에서 거버넌스는 보안정책, 리스크매니지먼트는 위험관리, 컴플라이언스는 내·외부 규제 준..
안행부 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 URL : http://www.icqa.or.kr//pds/%EC%A3%BC%EC%9A%94%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%EC%8B%9C%EC%84%A4.pdf
[보안뉴스 김경애] 현재 국내에서 시행하고 있는 정보보호관리체계 인증제도는 ISMS, PIMS, PIPL 등 총 3가지. 그러나 기업 및 기관 입장에서는 각각의 특성을 고려할 때 어떤 인증이 유용하고 효율적인지 헷갈리는 경우가 적지 않다. 이에 따라 본지는 국내에서 시행하고 있는 보안관련 3대 인증에 대해 정리해 봤다. 인증 체계 소개(1) ISMS(Information Security Management System)미래창조과학부(이하 미래부)가 정책기관이고, 한국인터넷진흥원(이하 KISA)이 인증기관인 ISMS는 정보통신망의 안전성 확보를 위해 기술적·물리적·관리적 보호조치 등 종합적인 정보보호 관리체계를 평가하는 인증제도다. 인증 운영은 △정보보호정책 수립 및 범위설정 △경영진 책임 및 조직 구성 ..
미래부의 주요정보통신기반시설 취약점 분석 평가기준 및 평가항목입니다. 평가항목의 상세한 가이드는 하단의 링크 참고바랍니다. 링크 : http://www.msip.go.kr/www/brd/m_215/view.do?seq=58&srchFr&srchTo&srchWord&srchTp&multi_itm_seq=0&itm_seq_1=0&itm_seq_2=0&company_cd&company_nm&page=14 가이드 링크 : http://izigom.tistory.com/entry/%EC%A3%BC%EC%9A%94%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%EC%8B%9C%EC%84%A4-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%B6%84%EC%..
