asd

ISMS구축절차 상세

1. 프로젝트 준비

업무환경 조성, 프로젝트팀구성 등 수행계획 수립

※ 모든 프로젝트는 처음엔 착수보고를 착수보고를 하게된다.

착수보고에는 프로젝트의 주체/조직 등의 내용이 담긴다.

착수보고에는 '사업수행계획서'라는 틀로 작성된다.

사업수행계획서에는 추진계획/수행방안/유지보수/품질관리 등의 내용이 담긴다.

가장 중요한 추진계획의 핵심

- 일정

- 인력

어떤 등급의 인력이 몇 명이고 어떤 일을 할 것인가

프로젝트 팀의 구성(법적으로 정의되어있다. 실제로 이걸로 단가를 따진다.)

고급/특급Level 1명 (보통 1000~1200 물론 직접계약할때 이야기고 회사에 속해서 일하면 토막나)

중급Level 1명

초급Level 2~3명

- 범위

SW라는게 구현하기 직전까진 잘 모르기때문에 범위가 계속 변동이 되기에 힘들다

2. 컨설팅 범위 정의

인프라(서버, 네트워크, 응용시스템 등) 범위 분석 및 정의

컨설팅 범위 확정, 업무 범위 및 Depth 정의

3. 현황분석(GAP분석/수준분석)

4. 위험관리

1) 위험 관리 전략 및 계획 수립

1.1) 위험관리 전략

- 위험 분석 방법론 선정

정량적 vs 정성적

기준선, 상세, 복합

위혐평가방법

위험요소 분류 기준

위험요소 중요도 산정 기준

- 위험 분석 주기 및 실행 조건 정의

- 위험 분석 주체 및 대상

1.2) 정보 자산 분류

- 자산 분류

데이터, 문서, SW, Server, PC, Network, 시설, 지원서비스, 인력, 매체

; 자산에 따라 위험 관리 전략이 달라지기 때문에 중요하다.

; 자산 목록표에는 자산 유형, 식별번

- 자산 중요도 평가 기준

CIA(기밀성/가용송/무결성)

침해사고 발생 시 규모에 따른 분류

장애 복구를 위한 목표시간에 따른 분류

2) 위험 분석

위험의 3요소를 분석하는 것(위험의 3요소 : 자산, 위험, 취약성)

2.1) 자산 분석

2.2) 위협 분석

- 의도적 위협 / 비 의도적 위협(자연재해)

2.3) 취약점 분석

- 관리적인 취약점

점검 방법

모든 자산이 가직 있는 공통적인 취약점

- 기술적인 취약점

점검 방법

Blind Test(모의해킹)

OS 버전 확인 및 보안패치

취약점 스캐너

백신

NMAP - NSE라는 기능

Nikto

Check List

위험별로 위험도를 매긴다.

3) 위험 처리

감소(완화), 수용, 전가, 회피

4) 보호 대책 선정

5) 이행 계획 수립

5. 보호대책 구현 

선정된 보호대책에 대해 모두 구현하고 적용

보호대책 명세서 작성(기술적 취약점 점검 결과와 매핑)

내부 공유 및 교육

6. 사후관리

법적 요구사항 준수검토

정보보호 관리체계 운영현황

ISMS 구축 산출물

1. 프로젝트 준비 => '사업수행계획서'

2. 컨설팅 범위 정의 => '범위 정의서'

3. 현황분석(GAP분석) => 'GAP 분석보고서'

4. 위험관리

1) 자산 식별 및 분석 => '자산목록' / ' 자산분석보고서'

2) 위험 분석 

3) 취약성 분석

4) 위험평가

5) 보호대책 선정 및 이행계획 수립 => '정보보호대책 이행계획서'

5. 보호대책 구현 => 정보보호 정책 및 지침 / ★정보보호 대책명세서(한 눈에 파악가능) / 교육 및 훈련 보고서

6. 사후관리 => 법적요구사항 분석서 / 정보보호 관리체계 운영 현황표 / 내부감사보고서

7. 착수 및 종료 보고 => '착수 및 종료회의 보고서' / '컨설팅결과 최종보고서'

ISMS에는 정답은 없고 지속적으로 활동하는 것.