Home > Àüü±â»ç

±¹³» Á¤º¸º¸È£°ü¸®Ã¼°è Á¢±Ù¹æ¹ý ¹®Á¦Á¡ 3°¡Áö

ÀÔ·Â : 2016-05-02 10:50
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Á¤º¸º¸È£ ÅëÁ¦: À§ÇèÆò°¡ °í·Á
Á¤º¸º¸È£°ü¸®Ã¼°è ±¸Ãà: Á¤º¸º¸È£ ¿øÄ¢ ±â¹ÝÀ¸·Î ±¸Çö
Á¤º¸º¸È£Ã¼°è ±¸Çö¹æ¹ý: Á¶Á÷ÀÇ À§ÇèÆò°¡¿Í À§Çè ¼ö¿ë ±â¹ÝÇؾß


[º¸¾È´º½º= ¹Ú¾ï³² Á¤º¸º¸È£ Àü¹®½É»ç¿ø] Á¤º¸º¸È£°ü¸®Ã¼°è¸¦ ¼ö¸³¡¤±¸Çö¡¤À¯ÁöÇÏ´Â °ÍÀº Á¶Á÷ÀÇ Àü·«ÀûÀÎ ¼±ÅÃÀÌ´Ù. ÀÌ·¯ÇÑ Àü·«ÀûÀÎ ¼±Åÿ¡ ÀÖ¾î ÇÙ½É Æ÷ÀÎÆ®´Â À§Çè°ü¸® ÇÁ·Î¼¼½º¸¦ Àû¿ëÇØ ÀÌÇØ´ç»çÀÚ¿¡°Ô À§ÇèÀÌ ÀûÀýÇÏ°Ô °ü¸®µÈ´Ù´Â ¾ÈÀü¼º°ú ½Å·Ú¼ºÀ» º¸Àå(Assurance)ÇÏ´Â °ÍÀÌ´Ù£®

ÇöÀç ±â°ü°ú ±â¾÷¿¡¼­´Â Á¶Á÷ÀÇ Á¤º¸º¸È£ ¼öÁØÀ» ¾î¶»°Ô Á¦¾È(Approach)ÇÏ°í, º¸ÀåÇÏ°í ÀÖÀ»±î? ÀÌ¿¡ ´ëÇØ ÇÊÀÚ´Â Çʵ忡¼­ °æÇèÇÑ »ç·Ê¸¦ Áß½ÉÀ¸·Î ±¹³» Á¤º¸º¸È£Ã¼°è Á¢±Ù¹æ¹ýÀÇ ¹®Á¦Á¡ 3°¡Áö¸¦ »ìÆ캸°í, ¹Ù¶÷Á÷ÇÑ Á¤º¸º¸È£°ü¸®Ã¼°è ±¸Ãà¹æÇâÀ» ¸ð»öÇغ¸°íÀÚ ÇÑ´Ù£®

ù°, ¡®Ã¼Å©¸®½ºÆ® ±â¹Ý¡¯(Baseline Approach£©Á¤º¸º¸È£ ÅëÁ¦¹æ¹ýÀÇ ¹®Á¦
ISO 27002:2013 Selecting Controls¿¡ µû¸£¸é Á¤º¸º¸È£ ÅëÁ¦ ¼±ÅÃÀº Á¤º¸º¸È£ À§ÇèÆò°¡ °á°ú¸¦ °í·ÁÇØ ±¸ÇöÇØ¾ß Çϸç, Á¶Á÷ÀÇ Á¤º¸º¸È£ ¸ñÀû°ú Á¤º¸º¸È£ ¸ñÇ¥¼öÁØ µî¿¡ µû¶ó ¹æ¾î(Defence)ÇÏ´Â ¹æ¹ý Áï ÅëÁ¦¹æ¹ýÀÌ ´Þ¶óÁú ¼ö ÀÖ´Ù.

µû¶ó¼­ °ø°ø±â°ü, ´ë±â¾÷, Áß°ß, Áß¼Ò±â¾÷ µî °¢ Á¶Á÷ ¸®½ºÅ©(risk) ¼ºÇâ¿¡ µû¶ó Á¤º¸º¸È£ ÅëÁ¦ ¹× ¹æ¾î¹æ¹ýÀ» ´Þ¸®ÇØ¾ß ÇÑ´Ù. À̸¦Å×¸é ±³°ú¼­ÀûÀ¸·Î º¸¾È ¼Ö·ç¼ÇÀ» ¼³Ä¡ ¹× ¿î¿µÇÏ´Â ¹æ¹ýÀº »çÀ̹ö°ø°Ý¿¡ È¿°úÀûÀÎ Á¢±Ù¹æ¹ýÀÌ ¾Æ´Ò ¼öµµ ÀÖ´Ù. Á¤º¸º¸È£ ÅëÁ¦´Â ¼ö¿ë °¡´ÉÇÑ ¼öÁØÀ¸·Î À§ÇèÀ» ÁÙÀÌ´Â °ÍÀ» º¸ÀåÇÏ°í, Á¤º¸º¸È£Ã¼°è ¸ÞÄ¿´ÏÁòÀº Á¤º¸º¸È£ À§ÇèÆò°¡(Risk Assessment)¿Í Á¶Á÷ÀÇ À§Çè ¼ö¿ë(Risk Acceptance)À» ±â¹ÝÀ¸·Î ÇØ¾ß ÇÑ´Ù.

ÃÖ±Ù ³í¹®À̳ª »ç·Ê¸¦ º¸¸é Á¤º¸º¸È£ ÅëÁ¦(Control)ÀÇ ¸ñÀûÀº À§ÇèºÐ¼®À» ¼öÇàÇÏ°í À§Çèó¸® °á°ú¿¡ µû¶ó ÇÊ¿äÇÑ ÅëÁ¦¸¦ °áÁ¤ÇÏ´Â °ÍÀÌ ¿øÄ¢ÀÌ´Ù. ÇÏÁö¸¸ ±â¾÷¿¡¼­´Â ÀÌ·¯ÇÑ ¿øÄ¢°ú ±âÁØÀ» Á¤º¸º¸È£Ã¼°è ¼ö¸³ ¹× ±¸Çö½Ã Á¦´ë·Î ½ÇÇàÇÏÁö ¾Ê´Â °æ¿ì°¡ ÀÖ´Ù. µû¶ó¼­ Á¤º¸º¸È£ ÅëÁ¦ ±¸Çö½Ã Á¤º¸º¸È£ À§ÇèÆò°¡ °á°ú¸¦ °í·ÁÇØ Á¤º¸º¸È£ ´ëÃ¥À» ¼ö¸³ÇÏ´Â °ÍÀÌ È¿°úÀûÀÎ Á¢±Ù¹æ¹ýÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù.

¶ÇÇÑ, ´Ü¼øÇÑ ÅëÁ¦Ç׸ñ Á᫐ ¹× üũ¸®½ºÆ® Áß½ÉÀÇ Á¤º¸º¸È£ È°µ¿º¸´Ù´Â °ü¸®°úÁ¤À» ÅëÇØ Á¶Á÷ ȯ°æ¿¡ ÀûÇÕÇÑ °ü¸®Ã¼°è¸¦ ¼ö¸³¡¤¿î¿ëÇÔÀ¸·Î½á Á¤º¸º¸È£ ¼º°ú¸¦ Çâ»ó½Ãų ¼ö ÀÖ´Ù´Â Á¡À» ¿°µÎ¿¡ µÎ¾î¾ß ÇÑ´Ù.

µÑ°, ±¹³» Á¤º¸º¸È£°ü¸®Ã¼°è Á¢±Ù¹æ¹ý ¹× ¼öÁØÀÇ ¹®Á¦
Á¤º¸º¸È£°ü¸®Ã¼°è´Â Á¶Á÷ ¹®È­¿Í ºÎÇÕÇÏ´Â ¼³°è(Designing), ±¸Çö(Implementing), ¸ð´ÏÅ͸µ(Monitoring), À¯Áö(Maintaining), °³¼±(And Improving)À» À§ÇÑ ÇÁ·¹ÀÓ¿öÅ© ¹× ¹æ¹ý·Ð(Approach And Framework)ÀÌ´Ù£®

Á¶Á÷¿¡¼­ ISMS ¿øÄ¢(Principles)À» ±â¹ÝÀ¸·Î Á¤º¸º¸È£°ü¸®Ã¼°è¸¦ ¼ö¸³(Establishing), ±¸Çö(implementing), ¿î¿µ(Operating), ¸ð´ÏÅ͸µ(Monitoring) °ËÅä(Review), À¯Áö(Maintaining), °³¼±(And Improving)Çϱâ À§ÇÑ Ã¼°èÀûÀÎ Á¢±Ù¹æ¹ý(Systematic Approach)Àº Á¤º¸º¸È£Ã¼°è¸¦ ¼ö¸³ÇÏ°í À¯ÁöÇÏ´Â ÇÙ½É ¼º°ø¿ä¼Ò¶ó°í ÇÒ ¼ö ÀÖ´Ù. µû¶ó¼­ Á¤º¸º¸È£°ü¸®Ã¼°è ±¸ÃàÀü·«Àº Á¤º¸º¸È£ ¿øÄ¢À» ±â¹ÝÀ¸·Î Á¶Á÷ÀÇ Á¤º¸º¸È£ ¸ÞÄ¿´ÏÁò¿¡ µû¶ó ±¸ÇöÇØ¾ß ÇÑ´Ù.

ÇÏÁö¸¸ ±â¾÷¿¡¼­ Á¤º¸º¸È£°ü¸®Ã¼°è¸¦ ±¸ÃàÇÏ°í Á¤º¸º¸È£ ¸ÞÄ¿´ÏÁòÀ» ±¸ÇöÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¾ó¸¶³ª ±íÀÌ »ý°¢ÇÏ°í ÀÖÀ»±î? ¿ì¼± Á¤º¸º¸È£°ü¸®Ã¼°è ¼ö¸³ºÎÅÍ ±¸Çö, À¯Áö°ü¸®(»çÈÄ°ü¸®£©Á¢±Ù¹æ¹ý µî¿¡ ´ëÇÑ Á¤º¸º¸È£ ¸ÞÄ¿´ÏÁòÀ» °í¹ÎÇØ¾ß ÇÒ °ÍÀ¸·Î º¸ÀδÙ.

ƯÈ÷, ±â¾÷ÀÇ Á¤º¸º¸È£°ü¸®Ã¼°è Á¢±Ù¹æ¹ý ¹®Á¦Á¡¿¡ ´ëÇØ µÎ°¡Áö Ãø¸é¿¡¼­ »ìÆ캸¸é ù°, °ü¸®Ã¼°è ¼ö¸³ºÎÅÍ ±¸ÇöÀÌ ¡®À¯È¿¼º¡¯°ú ¡®È¿°ú¼º¡¯ Ãø¸é¿¡¼­ ¹ÌÈíÇÑ °æ¿ì°¡ ÀÖÀ¸¸ç, µÑ° ÀûÇÕ¼öÁØÀº À¯ÁöÇÏ°í ÀÖÀ¸³ª °ü¸®(Management£©¹× ÅëÁ¦(Control) ¼öÁØÀÇ ¡®È¿°ú¼º¡¯ÀÌ ¶³¾îÁö´Â °æ¿ì°¡ ÀÖ´Ù. ÀÌ·¯ÇÑ °æ¿ì Á¶Á÷ »óȲÀ» ºÐ¼®ÇØ º¸¸é ´ëºÎºÐ À§Çè°ü¸®(Risk Management)°¡ ºÎ½ÇÇϰųª Ãë¾àÇÏ´Ù°í ÇÒ ¼ö ÀÖ´Ù£®

µû¶ó¼­ Á¶Á÷¿¡ ÀÖ¾î °¡Àå ¿ä±¸µÇ´Â ºÎºÐÀº Áö¼ÓÀûÀÌ°í È¿°úÀûÀÎ À§Çè°ü¸®°¡ ÇÊ¿äÇÏ´Ù´Â Á¡ÀÌ´Ù. ±â¾÷ÀÇ °æ¿ì ü°èÀûÀÎ Á¤º¸º¸È£ À§Çè°ü¸®°¡ Á¤º¸º¸È£ È¿°ú¼º Çâ»ó¿¡ ±àÁ¤ÀûÀÎ ¿µÇâÀ» ¹ÌÄ£´Ù´Â °ÍÀ» ¹Ýµå½Ã ±â¾ïÇØ¾ß ÇÑ´Ù. ¡¡

¼Â°, Risk-Based Approach Á¤º¸º¸È£ À§Çè°ü¸®ÀÇ ¹®Á¦Á¡
Á¤º¸º¸È£ ÀÎÁõÀº Á¤º¸º¸È£ À§Çè°ü¸® Ãø¸é¿¡¼­ Á¢±ÙÇØ¾ß ÇÑ´Ù. ±¹³» Á¤º¸º¸È£°ü¸®Ã¼°è Á¢±Ù ¹æ¹ýÀº Asset-Based Risk Assessments(ÀÚ»ê½Äº° ¹× Æò°¡-À§Çù-Ãë¾à¼º-À§Çèµµ-DoA-º¸È£´ëÃ¥ ¼ö¸³, ÀÚ»ê ±â¹Ý À§ÇèÆò°¡ Á¢±Ù¹æ¹ý)¿Í ±¹Á¦ Á¤º¸º¸È£ ÀÎÁõ(ISO 27001)ÀÇ À§ÇèÆò°¡ ¹æ¹ýÀÌ °³Á¤µÈ ISO 31000(Risk Management – Principles And Guidelines) À§ÇèÆò°¡ ¹æ¹ý·ÐÀÌ ÀÖ´Ù. ¾ÆÁ÷±îÁö ¸¹Àº ±â¾÷µéÀº ÀÚ»ê ±â¹Ý À§ÇèÆò°¡¸¦ »ç¿ëÇÏ°í ÀÖ´Ù. µû¶ó¼­ ÂüÁ¶¸ðµ¨(±¹Á¦Ç¥ÁØ)À» È°¿ëÇØ Á¶Á÷¿¡ È¿°úÀûÀÎ À§ÇèÆò°¡ ¹æ¹ýÀ» ¼±Åà ¹× Àû¿ëÇÏ´Â Á¢±Ù¹æ¹ýÀÌ È¿°úÀûÀÌ´Ù£®

¡ã¿¹½Ã) ±¹³» ISMS À§Çè Æò°¡ ¹æ¹ý·Ð


¡ã¿¹½Ã) ±¹Á¦ Á¤º¸º¸È£ ÀÎÁõ(ISO 27001) À§Çè Æò°¡ ¹æ¹ý·Ð(ISO 31000)

¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡
Á¤º¸º¸È£ À§Çè°ü¸®¿¡ ÀÖ¾î ÇÙ½ÉÀº À§Çè ½Äº°¡¤ºÐ¼® ¹× Æò°¡ ÇÁ·Î¼¼½º¸¦ °®Ãß´Â ÀÏÀÌ´Ù. ÀÌ¿¡ µû¶ó Á¶Á÷Àº ÀÚ½ÅÀÇ °íÀ¯ÇÑ ºñÁî´Ï½º ȯ°æ¿¡ ÀûÇÕÇÑ º¸¾È ÅëÁ¦(Control)¸¦ ¼±Åà ¹× Àû¿ëÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, ±â¾÷¿¡¼­ ÂüÁ¶ ¸ðµ¨·Î È°¿ëÇÒ ¼ö ÀÖ´Â À§Çè°ü¸® Ç¥ÁØÀ» Àû¿ëÇÏ´Â °Íµµ ¹Ù¶÷Á÷ÇÑ Á¢±Ù¹æ¹ýÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù£®

ÂüÁ¶ ¸ðµ¨: Risk-Based Approach(À§Çè ±â¹Ý Á¢±Ù¹æ¹ý)
£­±¹Á¦Ç¥ÁØ ISO 31000(À§Çè°ü¸® ¸ÞÄ¿´ÏÁò -¿øÄ¢, ÇÁ·¹ÀÓ¿öÅ©, À§Çè°ü¸® ÇÁ·Î¼¼½º)
- ¹Ì±¹ Risk Management Framework(RMF), NIST »çÀ̹öº¸¾È ÇÁ·¹ÀÓ¿öÅ©(Risk-Based Cybersecurity Framework)

¡ã¹Ú¾ï³² Á¤º¸º¸È£Àü¹® ½É»ç¿ø

¹«¾ùº¸´Ù ÇÊÀÚ°¡ °­Á¶ÇÏ°í ½ÍÀº ºÎºÐÀº ¡®Á¤º¸º¸È£ ¾î½´¾î·±½º¡¯ Áï, Á¶Á÷Àº Á¤º¸º¸È£ ´É·ÂÀ» ÀÔÁõÇؾßÇÒ Ã¥ÀÓÀÌ ÀÖ´Ù´Â Á¡°ú Á¤º¸º¸È£´Â ¼±ÅÃÀÌ ¾Æ´Ñ ÇʼöÀûÀÎ °æ¿µ¿ä¼Ò¶ó´Â Á¡À» Á÷½ÃÇÏ´Â ÀÏÀÌ´Ù.
[±Û_ ¹Ú¾ï³² Á¤º¸º¸È£ Àü¹®½É»ç¿ø(mssinnovator@naver.com)]

ÇÊÀÚ ¼Ò°³_ ¹Ú¾ï³² Á¤º¸º¸È£ Àü¹®½É»ç¿øÀº ±¹Á¦ Á¤º¸º¸È£ÀÎÁõ(ISO 27001), Á¤º¸º¸È£°ü¸®Ã¼°è(ISMS), °³ÀÎÁ¤º¸º¸È£°ü¸®Ã¼°è(PIMS), °³ÀÎÁ¤º¸ ¿µÇâÆò°¡(PIA), CISSP, CISA, CPPG, Á¤º¸º¸º¸È£ Áغñµµ Æò°¡»ç µî Á¤º¸º¸È£¡¤°³ÀÎÁ¤º¸º¸È£ Àü¹®½É»ç¿øÀ¸·Î È°µ¿ÇÏ°í ÀÖ´Ù. Àú¼­·Î´Â Á¤º¸º¸¾È °³ÀÎÁ¤º¸º¸È£ ÀÔ¹®+½Ç¹« ¹ÙÀÌºí µîÀÌ ÀÖ´Ù.

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 3
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)