대마왕's 인덕원 클래스161

o 정보보호 3대 목표 (CIA) 구분 설명 공격 기밀성 (Confidentiality) 승인받지 않은 사용자(unauthorized user)에게 정보를 노출하지 않는 것 노출(Disclosure) 무결성 (Integrity) 승인받지 않은 사용자(unauthorized user)에 의한 정보가 변경, 삭제, 생성 등을 방지하는 것 변경(Alternation) 가용성 (Availability) 정상적인 사용자가 시스템을 사용하고자 할 때 사용할 수 있게 하는 것 파괴(Destruction) o 사용자가 정보 자산에 접근을 요청할 때 시스템과 관리자는 사용자의 실재(實在), 사용자의 확인 그리고 권한의 부여와 같은 인증 허가의 일련의 과정을 거치게 된다. 이런 일련의 과정에서 사용자 식별 및 인증, 사용..

1. BCP/DRP (1) 업무연속성관리(BCM)의 정의 o 업무지속성 계획은 각종 재해나 재난의 발생을 대비하여 핵심 시스템의 가용성과 신뢰성을 회복하고 업무의 연속성을 유지하기 위한 일련의 업무지속성 계획과 절차를 말한다. o 업무지속성 계획은 단순한 데이터의 복구나 원상회복뿐만 아니라 업무 지속성을 보장하고 그로 인한 조직의 신뢰도를 유지하고 나아가 전체적인 신뢰성 유지와 가치를 최대화하는 방법이다. o 업무 연속성 계획의 계획, 수립, 시험 및 보수 등을 포함하는 관리행위를 의미한다. 주요 통제 목표는 목표복구 시간과 목표복구 대상이며 전사적인 차원에서 이루어지는 관리 활동이다. o 업무지속성 계획 범위는 조직의 특성 및 요구사항에 따라 결정된다. 예를 들어 조직은 조직 내 핵심 업무 프로세스와 ..

1. 위험 관리(Risk Management) 1. 위험분석 및 계획수립 (1) 위험 정의 - 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정으로 조직 자산의 취약성을 식별하고, 위협분석을 통해 발생 가능한 위험의 내용과 정도를 결정하는 과정 (2) 위험관리 정의 및 목적 - 위험을 평가하고, 피해자가 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 강구하며 그러한 위험을 용인할 수 있는 수준으로 유지하는 것 / 위험 측정과 관리를 통하여 다양한 위협요소로 인해 피해를 최소화하거나 막기 위함이다. - 전체 위험 / 잔여 위험 (3) 위험관리 구분 o 정보보호정책을 바탕으로 각 조직에 적합한 전반적인 위험관리 전략의 결정 o 위험분석 활동의 결과 혹은 기..

1. 관리체계 인증제도 이해 1) 관리체계 인증 필요성 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계(정보보호 관리체계)의 적합성에 대해 인증을 부여하는 제도 • 단순 일회적 정보보호대책에서 벗어나 체계적, 종합적인 정보보호 대책을 구현함으로써 기업의 정보보호관리 수준을 향상시킬 수 있다. • 기업은 지속적이고 체계적인 정보보호 관리체계 구축을 통해 해킹, DDoS 등의 침해사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있다. • 기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있다. • 인증을 취득한 기업은 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있다. 2) 관리체계..