Upload
hisa
View
111
Download
3
Embed Size (px)
DESCRIPTION
범정부 ITA 보안 아키텍쳐. 2005.10. 목 차. 일반적인 정보보안 아키텍쳐 ITA/EA 와 연계된 보안 아키텍쳐 표준 ITA 보안 타 사례 결론. 취약점 발견과 보안위협등장. 취약점 발견 보안위협 등장 Time. 취약점과 보안위협 발견. 월 일 시 “ Day 0 ”. 공격자의 양태가 변화함에 따라 취약점발견과 이를 악용한 보안위협 등장 간의 시차가 점점 감소. - PowerPoint PPT Presentation
Citation preview
범정부 ITA 보안 아키텍쳐범정부 ITA 보안 아키텍쳐
2005.10
2
목 차
I. 일반적인 정보보안 아키텍쳐
II. ITA/EA 와 연계된 보안 아키텍쳐
III. 표준 ITA 보안
IV. 타 사례
V. 결론
3
1. 기법의 심층화 / 통합화 - 해킹 / 바이러스 통합
- 자동 / 지능화- 대규모화
2. 새로운 대상 / 기술 출현 / 확산- Application- 홈네트워킹 ..
3. 빠른 속도의 확산 - Zero-day
4. 변종의 출현
취약점 발견
보안위협 등장
Day-zero
보안위협
Time
초보 프로그래머 정교한 프로그래머 조직적인 범죄 / 테러리스트 조직 국가적인 위협
월
일
시
“Day 0”
취약점과 보안위협 발견
공격자의 양태가 변화함에 따라취약점발견과 이를 악용한
보안위협 등장 간의 시차가 점점 감소
취약점 발견 보안위협 등장 Time
취약점 발견과 보안위협등장
I. 일반적인 정보보안 아키텍쳐 - 배경
4
보안수준
TIME
위험의 GAP
보안위험
(2) 새로운 보안위험의 증가- 신규 자산의 증가- 위협의 증가- 새로운 취약성의 증가
(1) 지속적인 관리 방안의 부족
• Risk 존재의 근본적인 이유- 정보시스템 및 전산망이 Static 하지 않음 새로운 대상 출현 - 공격의 형태와 방법이 Static 하지 않음 새로운 공격 출현- 모든 서비스를 폐쇄할 수 없음
I. 일반적인 정보보안 아키텍쳐 - 배경
5
보안 시스템 구축
취약성 분석 및 대책
보안정책 수립…
3
I. 일반적인 정보보안 아키텍쳐 - 배경
6
Fortress Model
Airport Model
Source: Gatner
정적인 보안 , 변경곤란 , 위치에 특정화소수의 메커니즘에 의존
내부 보안은 보호되지 않음
융통성 , 상황적여러 중첩되는 기술활용
Role 에 따른 분리된 영역
I. 일반적인 정보보안 아키텍쳐 - 배경
7
InfrastructureInfrastructure
C I A
기술기술프로세스프로세스
사람사람
I. 일반적인 정보보안 아키텍쳐 - 정의
기술기술관리관리
물리물리
기술기술운영운영
거버넌스거버넌스
8
I. 일반적인 정보보안 아키텍쳐 - 구조
Applicable To:• Wireless, Wireline and Optical Networks• Voice, Data, and Converged Networks• Any Layer of the Protocol Stack• Management, Administrative and Data Cen
ter Networks• SP Infrastructure Networks• Enterprise Networks
Acc
es
s M
an
age
me
nt
Infrastructure Security
Applications Security
Services Security
End User Security
Control/Signaling Security
Management Security
THREATS
VULNERABILITIES
8 Security Dimensions
ATTACKS
Dat
a C
on
fid
en
tia
lity
Co
mm
un
ica
tio
n S
ec
uri
ty
Inte
gri
ty
Ava
ila
bili
ty
Pri
va
cy
Au
the
nti
ca
tio
n
No
n-
rep
ud
iati
on
Security Layers
Security Planes
Acc
es
s M
an
age
me
nt
Infrastructure Security
Applications Security
Services Security
End User Security
Control/Signaling Security
Management Security
THREATS
VULNERABILITIES
8 Security Dimensions
ATTACKS
Dat
a C
on
fid
en
tia
lity
Co
mm
un
ica
tio
n S
ec
uri
ty
Inte
gri
ty
Ava
ila
bili
ty
Pri
va
cy Interruption
Fabrication
Interception
Modification
Interruption
Fabrication
Interception
Modification
Au
the
nti
ca
tio
n
No
n-
rep
ud
iati
on
Security Layers
Security Planes
Vulnerabilities Can ExistIn Each Layer, Plane,Dimension
Supported by Government Agencies & Standards Bodies: NSIE NSTAC NRIC DHS
ITU-T SG17 Industry
Canada
* Source: ITU-T
9
I. 일반적인 정보보안 아키텍쳐 - 구조
* Source: 액센추어
10
I. 일반적인 정보보안 아키텍쳐 - 구조
* Source: 전산원
11
People
Technology
보안전략
정책 / 정보분류
보안기술 아키텍쳐
사고대응 사업연속 인력보안 보안교육
보안관리 아키텍쳐
Enterprise Architecture & IT Planning
Process
모니터링
Validation/Audit/Measure/Certification
외주보안
Identification Authentication Authorization Administration Audit
기밀성
Data Application
User System Network Physical
무결성 가용성
Data Application
User System Network Physical
I. 일반적인 정보보안 아키텍쳐 - 구조
* Source: 신수정
12
Technical
Business
Application
Go
vernan
ce
기술참조 모델
Secu
rity
ITA
Technical
Data
Business
Application
Go
vernan
ce
기술참조 모델ITA
Data
II. ITA/EA 와 연계된 보안 아키텍쳐
13
II. ITA/EA 와 연계된 보안 아키텍쳐 TYPE 2
* Source: Meta Group
14
II. ITA/EA 와 연계된 보안 아키텍쳐
* Source: Meta Group
TYPE 3
15
II. ITA/EA 와 연계된 보안 아키텍쳐
관점시각 업무 B 응용 A 데이터 D 기술기반 T 보안 S
CEO/CIO 조직의 비즈니스
수행과 관련된 업무 , 조직 , 장소 , 사람 등을 다룸
조직의 업무 목표를 운영 및 지원하기 위한 정보시스템의 응용 기능 , 프로세스와 이들간의 관계 등을 다룸
조직의 업무 운영 및 응용 수행에 필요한 모든 정보 및 데이터와 이들간의 관계 등을 다룸
응용 , 데이터를 시스템적으로 운영하는 환경을 구성하는 HW, SW, 네트워크 등 기술 인프라와 요소 기술을 다룸
조직의 정보시스템을 안전하고 신뢰성 있게 구축 , 운영하기 위한 관리적 , 물리적 , 기술적 보안을 다룸
책임자
설계자
개발자
관점시각 업무 B 응용 A 데이터 D 기술기반 T 보안 S
CEO/CIO
목록 수준의 조직 전체의 비즈니스 업무 , 이를 지원하는 응용시스템 , 정보와 데이터베이스 그리고 조직의 기반기술의 구성과 보안을 정리하고 이들간의 관계를 다룸
책임자 개념수준에서 조직의 업무 프로세스 , 정보 , 응용 기능 , 기반구조 , 보안을 정의하고 이들간의 관계를 다룸
설계자논리적 또는 설계적인 수준에서 조직의 세부 업무 프로세스 , 정보 및 데이터 구조 , 컴포넌트 및 응용 기능 세부 내역 , 기반구조의 상세 규격 및 인터페이스 설계 , 보안 설계를 다룸
개발자 물리적인 또는 실무적인 수준에서 구체적인 업무 , 응용 , 데이터 , 기반구조 , 보안의 구현 정보를 다룸
전산원
16
III. 표준 ITA 보안 -SA 산출물
17
보안아키텍처 산출물 메타모델의 정의
범 정부 보안아키텍처 산출물 메타모델의 필요
보안아키텍처 산출물 메타모델은 보안아키텍처의 수립 및 운영에 필요한 정보들과 그들간의 관계를 정의하여 모델링 한 것 보안아키텍처 산출물 메타모델을 활용하여 각 기관은 기관에 필요한 산출물을 재구성 할 수 있음
보안아키텍처 산출물 메타모델은 보안아키텍처의 수립 및 운영에 필요한 정보들과 그들간의 관계를 정의하여 모델링 한 것 보안아키텍처 산출물 메타모델을 활용하여 각 기관은 기관에 필요한 산출물을 재구성 할 수 있음
표준 정보기술 아키텍처와 보안아키텍처의 연관성 정립 범 정부 차원에서 보안아키텍처의 통일성과 일관성 확보 공통의 표준 산출물 양식의 사용으로 종합적인 분석 및 활용 가능 보안아키텍처에 대한 이해가 부족한 기관에 참조 모델을 제공
표준 정보기술 아키텍처와 보안아키텍처의 연관성 정립 범 정부 차원에서 보안아키텍처의 통일성과 일관성 확보 공통의 표준 산출물 양식의 사용으로 종합적인 분석 및 활용 가능 보안아키텍처에 대한 이해가 부족한 기관에 참조 모델을 제공
III. 표준 ITA 보안 - 메타모델
18
메타모델 : 모든 기관의 아키텍처를 공통의 언어로 기술하고 표준화하여 전사적 관점에서 통합 및 비교 , 의사결정 등을 지원 할 수 있는 설계 지침서
Security
View
산출물 메타모델은 데이터 관계성에 따라 산출물간 정열을 가짐 .
III. 표준 ITA 보안 - 메타모델
19
III. 표준 ITA 보안 - SV1 보안정책
정의 아키텍처 대상 범위에 해당하는 조직 , 시스템 , 업무 , 어플리케이션 등에 강제되고
따라야 하는 규칙 , 절차 , 관행 , 지침 등을 정의한 산출물이다 . 보안정책 기술서는 보안구조도 , 설계서 , 매뉴얼 작성의 기준이 됨
목적 보안의 위협 요소와 보안의 등급 분류에 따라 조직의 보안 대상을 정하고 이에 따른 구체적인
보안지침을 문서화 하는 것을 목적
주요설명 보안대상은 크게 관리적 보안 , 기술적 보안 , 물리적 보안으로 구분하여 그 취약성을 분석 하고
사용자의 편이성과 시스템 성능을 고려하여 각각의 보안의 정도를 적절히 갖춤
20
보안정책체계
관리보안 시설보안 기술보안
재택근무자관리
위험관리
통제구역관리
출입관리
접근암호화관리
DMZ관리
본체기 및 전산
기기들이 위치
한 기계실 백업
매체의 보관장
소
통합정보시스템
개발실
전산자원의 보
안 및 안전을
위해 통제가 요
구되는 장소
(1) 통제구역임을 나타내는 표
식을 부착한다.
(2) 별도의 출입통제(시건장치,
출입제한 등)장치를 설치한다
접근 제어통제구역관리
전산센터사무실내방객
적용범위
(1) 운영환경과 개발실은 전
산원 직원과 통합정보시스템
개발자, 아웃소싱운영업
체 관련자 이외에는 출입이
통제되어야 한다.
(2) 내방객이 방문하는 직원
은 내부 직원이 인솔하여야
한다.
정책내용
접근제어출입관리
목적정책
III. 표준 ITA 보안 - SV1 보안정책 템플릿
21
참고한다
관련된다
관련된다
분화한다
사용한다
ARCHITECTURE_PRINCIPLE아키텍처원칙명칭아키텍처원칙설명근거원칙구분원칙타입
GUIDANCE지침명칭주요내용제정연도최근개정연월지침분야
ORGANI ZATI ON조직명조직의역할총인원수내외부조직구분
SECURITY_POLICY보안정책명칭보안정책내용보안정책목적보안정책적용범위
SECURITY_POLICY_CATEGORY보안정책분류식별자보안정책분류명칭보안정책분류설명
(FK)보안정책명칭
메타모델
III. 표준 ITA 보안 - SV1 보안정책
22
엔티티명 속성명칭 속성정의
*SECURITY_POLICY* 보안정책보안정책
* 보안정책명칭 보안정책명칭
보안정책내용 보안정책설명
보안정책목적 보안정책목적
보안정책적용범위 보안정책적용범위
*SECURITY_POLICY_CATEGORY* 보안정책분류보안정책분류
* 보안정책분류식별자 보안정책분류식별자
* 보안정책명칭 (FK) 보안정책명칭
* 보안정책분류명칭 관리보안 : 001 시설보안 : 002 기술보안 : 003
보안정책분류설명 보안정책분류설명
ARCHITECTURE_PRINCIPLE아키텍처원칙아 키 텍 처 의 원 칙 ( 업 무 , 응 용 , 데이터 , 기술 , 보안 , ITA 원칙 등 )
* 아키텍처원칙명칭 아키텍처원칙명칭
아키텍처원칙설명 아키텍처원칙설명
근거 근거
* 원칙구분아키텍처 수행과 관리에 관한 원칙의 분류 기준업무원칙 : 001 응용원칙 : 002 데이터원칙 : 003 기술기반원칙 : 004정보기술관리 원칙 : 005 기타 ( 사용자정의 ) : 006
* 원칙타입 전사 및 개별사업별 원칙 구분전사 : 001 개별사업 : 002
GUIDANCE지침지침 , 규정 , 법률
* 지침명칭 지침명칭
주요내용 지침설명
제정연도 제정연도
최근개정연월 최근개정연월
* 지침분야 시스템관리 : 001 보안 : 002 구매 : 003 운영관리 : 004 기타 ( 직접기재 ) : 005
ORGANIZATION조직임무가 부여된 행정 조직
* 조직명 ※ 조직명 작명시 반드시 명칭이 중복되지 않도록 해야 한다 . 예 ) “ 총무과” -> “ 정통부 _ 총무과 , 전산원 _ 총무과”
조직의역할 조직의역할
* 내외부조직구분 내부조직 / 외부조직구분코드 (1: 내부 ,2: 외부 )
총인원수 총인원수
III. 표준 ITA 보안 - SV1 보안정책
23
III. 표준 ITA 보안 - SV2 보안구성도 / 정의서 정의
전사차원의 보안요소의 구성 ( 관리 , 물리 , 기술 ) 을 개념적 수준에서 도식화 하여 표현한 산출물이다 . 다시 말하면 , 보안구조에 대한 청사진의 정의한 산출물
목적- 정보시스템의 정보보호 구성에 대한 청사진 제공 - 조직의 정보보호 구성에 의사 결정 지원 - 조직의 정보보호 요소와 정보시스템의 연관관계를 정의
주요설명- SV2 보안구성도 / 정의서는 조직의 업무기능과 요구사항을 만족 시킬 수 있는 정보보호 현황을 도식화 시켜 정의한 산출물
- 보안구성도에서는 목표 아키텍처의 보안요소에 대한 개략적인 모습을 정의하여 조직의 다양한 이해당사자와 대화의 수단으로 활용
- SV2 보안구성도는 일반적인 시스템 구성도나 네크워크 구성도와 마찬가지로 특정한 규칙을 갖고 작성되지는 않고 보안관점 산출물을 구성하며 식별된 “보안요소”를 포함하여 작성 .. 또한 보안구성도에 정의된 “보안요소”는 TV1표준프로파일 및 기술기반 관점 산출물에 반드시 명시하여야 함 .
24
침입차단시스템사용자
인터넷
F/R전용선
Bank Town
계정계 서버 정보계 서버 대외계 서버
R 전자금융서버CTI RARS RFAX
금융시스템
인터넷통합
시스템영업채널
정보시스템
침입탐지시스템
침입탐지시스템
웹 서버 메일서버
DMZ
바이러스Wall
LDAP서버
침입탐지시스템
기존방화벽 활용
신규방화벽가용성보장을위한 Load Balancing구
성
인증시스템
LDAP
바이러스방역NT서버바이러스방역
통합보안관리시스템
로그분석시스템
침입탐지시스템(IDS)
바이러스 WallSMTP,HTTP,FTP
로그분석시스템로그수집분석
통합보안관리시스템보안이벤트감시/관리
서버보안
인증 시스템
인증시스템공인인증기관RA
LDAP,SSO
III. 표준 ITA 보안 - SV2 보안구성도 / 정의서 템플릿
25
연관된다
연관된다
분화가능
관 계 한 다
사용한 다
연관된다
사용한다
사용한다
분화한다
사용된 다
배 치 된 다
관 계 한 다
연관된다
연관된다분화 한다
분화한다
출발
출발
도 착
도착
사 용 한 다
연 관 된 다
AP P LICATION_S YSTEM
응 용 시 스 템 명 칭약어응용시스 템설명응 용 시 스 템 상 태응용시스 템용도응용시스 템서비스종류활용업무내외부구 분연계기술 데이터연계기술 통신방식연계기술 보안사용네크 워크시스템유 형개발기간개발비용운용예정 일
HWARDWARE_ATTRIhwtp_ id
(FK)인프 라 스 트 럭 처 명 칭인터페이스종 류보안기능수량견적금액임차율포트수광단국구분운영체계부대설비디스크총용량디스크사용량CP U개 수CP U사 용률CP U속도메인메모리소요전력하드웨어용도연간유지보수 비율CP U종 류프린터종류백업매체종류백업용량백업소요시간백업주기백업매체저장소원격지백업관 리기관시리얼넘버
INFRASTRUCTURE
인 프 라 스 트 럭 처 명 칭인 프라스트럭처설명영문정식명칭약 어인 프라용도인 프 라 상 태개 발단계버 전사 용년수구매비용도 입연월
IP사 용제 조사모델명도 입방법보 안평가등급
(FK)솔루션명 칭 (FK)표 준 명 칭
(FK)인 프 라 타 입 명 칭 (FK)업 무논리노드 명 칭
INFRA_ INTERFACE- (FK)출발 인 프 라 스 트 럭 처 명 칭- (FK)도착 인 프 라 스 트 럭 처 명 칭
인프라인 터페이스명칭인프라인 터페이스설명인터 페 이 스 상 태출발인프 라명칭도착인프 라명칭매체유형
(FK)표준 명 칭
INFRA_TYP E인 프 타 입 명 칭인프라타입설명인 프 라 타 입코드
NETWORK_ATTRInwtp_ id
(FK)인 프 라 스 트 럭 처 명 칭네트워크명 칭네트워크설 명네트워크타 입최대전송률최소전송률
IP사용 대역사용서비스 종류주소체계연결기관수회선사용료회선용량회선수
IP공인 개수/백업 재해복구 구분
회선구간복구시간회선구분고도화사유정보통신서 비스변경후증속속도회선수변경후예산확보여 부추진시기구내통신망관련노드명백본구성방 식NMS 유무TMS 유무정보통신망관리방법서비스품질관리방법관리체계정립여부관리체계정립주체평균이용률최대이용률증속기준유 무평균장애건수주요장애원 인CP U평균이용률CP U최대이용률업그레이드 기준운영환경도입사유도입방법도입예정시 기시리얼넘버
ORGANI ZATI ON조 직 명조직 의역할총인 원수내 외 부 조 직 구 분
S OFTWARE_ATTRIs wtp_ id
(FK)인 프 라 스 트 럭 처 명 칭연간 유지보수비율사용 자수소프 트웨어타입그룹웨어연결범위그룹웨어활용업무유지 보수방법P C용응용용도P C용응용개발기 간P C용응용개발업 체P C DB응용사용P C응용연계기관 명P C응용연계시스 템명P C응용이용정보 명P C응용이용형태시리얼넘버
LOCATI ON_NODE업 무 물 리노드 명 칭물리노드설명건물명주소우편번호운영면적공간활용도
BUSI NES_LOGI CAL_NODE업 무논리노드 명 칭업무논리노드설 명
S ECURITY_ELEMENT보 안 요 소 명 칭보안요소 설명
S Q_ELE_RELATIONS HIP
- (FK)출 발 보 안 요 소 명 칭- (FK)도 착 보 안 요 소 명 칭
보안요소관계명 칭보안관계요소설 명
III. 표준 ITA 보안 - SV2 보안구성도 / 정의서 메타모델
26
엔티티명 속성명칭 속성정의
*SECURITY_ELEMENT* 보안요소보안요소를 정의하기 위한 엔티티
* 보안요소명칭 보안요소명칭
보안요소설명 보안요소설명
SQ_ELE_RELATIONSHIP보안요소관게보안요소간의 연관관계를 정의하기 위한 엔티티
* 출발 - 보안요소명칭 보안요소명칭
* 도착 - 보안요소명칭 보안요소명칭
보안관계요소설명 보안관계요소설명
APPLICATION_SYSTEM어플리케이션시스템어플리케이션의 최상위 개념
* 응용시스템명칭 응용시스템 명칭
* 응용시스템 상태 응용시스템 상태
연계기술보안 NPKI: 001 GPKI : 002
HWARDWARE_ATTRI하드웨어속성하드웨어와 관련된 속성집합 엔티티
*HWTP_ID 하드웨어타입 아이디
보안기능 패킷필터링 포함여부 , 포함 001
INFRA_TYPE 인프라스트럭처유형
인프라스트럭처의 타입을 결정하는 엔티티
* 인프타입 명칭 인프라스트럭처 명칭
* 인프라타입코드 방화벽 006, 보안서버 024
INFRASTRUCTURE 인프라스트럭처 기술구조의 최상위 모델로 하드웨어 , 소프트웨어 , 네트워크를 구성하는 최상위 요소
* 인프라스트럭처병칭 인프라스트럭처명칭
보안평가등급 국가정보원 보안시스템 평가등급
III. 표준 ITA 보안 - SV2 보안구성도 / 정의서
27
III. 표준 ITA 보안 - SV3 보안관계기술서
정의보안요구사항을 명시하고 각 기능의 세부구성요소를 기술하며 물리 , 논리 , 기술 , 설비별 보안구조를 정의한 산출물
목적- 정보보호 요소의 상세 구성 정의 및 파악 - 정보보호 요소간의 연관성 정의 및 파악
주요설명- SV3보안관계기술서는 “보안요소”의 논리적 연관성과 명세를 정의한 산출물 .
개별적으로 정의된 “보안요소”를 통합하여 도식화 시킨 산출물 . - SV2 보안구성도 / 정의서에는 정보시스템 관점에서 어떠한 보안요소가 정보시스템과
연관성을 갖는지를 표현하였다면 본 산출물은 보안요소의 상세명세를 분류하여 논리적 관계를 정의
- 작성 시 주의 할 점은 “보안요소”가 구체화가 되면 TV1 표준프로파일 산출물의 “표준”과 유사하거나 동일 할 수 있기 때문에 “기술 표준”이 물리적 관점의 요소라면 , “ 보안요소”는 논리적 관점의 요소이기 때문에 이점을 유의하여 정의
28
연관된다
분화가능
사용한다 사용한다
사용한다
분화한다
분화한다
관련된다
연관된다
연관된다
연관된다
분화한다
연관된다
연관된다
분화한다연관된다
분화한다
연관된다
사용한다APPLICATION_SYSTEM응용시스템명칭약어응용시스템설명응용시스템상태응용시스템용도응용시스템서비스종류활용업무내외부구분연계기술데이터연계기술통신방식연계기술보안사용네크워크시스템유형개발기간개발비용운용예정일
HWARDWARE_ATTRIhwtp_id
(FK)인프라스트럭처명칭인터페이스종류보안기능수량견적금액임차율포트수광단국구분운영체계부대설비디스크총용량디스크사용량CPU개수CPU사용률CPU속도메인메모리소요전력하드웨어용도연간유지보수비율CPU종류프린터종류백업매체종류백업용량백업소요시간백업주기백업매체저장소원격지백업관리기관시리얼넘버
INFRASTRUCTURE
인프라스트럭처명칭인프라스트럭처설명영문정식명칭약어인프라용도인프라상태개발단계버전사용년수구매비용도입연월
IP사용제조사모델명도입방법보안평가등급
(FK)솔루션명칭 (FK)표준명칭
(FK)인프라타입명칭 (FK)업무논리노드명칭
NETWORK_ATTRInwtp_id
(FK)인프라스트럭처명칭네트워크명칭네트워크설명네트워크타입최대전송률최소전송률
IP사용 대역사용서비스종류주소체계연결기관수회선사용료회선용량회선수
IP공인 개수/백업재해복구구분
회선구간복구시간회선구분고도화사유정보통신서비스변경후증속속도회선수변경후예산확보여부추진시기구내통신망관련노드명백본구성방식NMS유무TMS유무정보통신망관리방법서비스품질관리방법관리체계정립여부관리체계정립주체평균이용률최대이용률증속기준유무평균장애건수주요장애원인CPU평균이용률CPU최대이용률업그레이드기준운영환경도입사유도입방법도입예정시기시리얼넘버
SECURITY_POLICY
보안정책명칭보안정책내용보안정책목적보안정책적용범위
SECURITY_POLICY_CATEGORY보안정책분류식별자보안정책분류명칭보안정책분류설명
(FK)보안정책명칭
SOFTWARE_ATTRIswtp_id
(FK)인프라스트럭처명칭연간유지보수비율사용자수소프트웨어타입그룹웨어연결범위그룹웨어활용업무유지보수방법PC용응용용도PC용응용개발기간PC용응용개발업체PC DB응용사용PC응용연계기관명PC응용연계시스템명PC응용이용정보명PC응용이용형태시리얼넘버
SECURITY_MANUAL보안매뉴얼명칭보안매뉴얼설명보안매뉴얼작성자보안매뉴얼버전보안매뉴얼재개정이력보안매뉴얼위치
SECURITY_PHYSICAL물리보안요소명칭물리보안요소설명물리보안요소고려사항
(FK)보안요소명칭
SECURITY_PROCEDURE관리보안절차명칭관리보안구성요소설명관리보안고려사항
(FK)보안요소명칭
SECURITY_ELEMENT
보안요소명칭보안요소설명
SECURITY_TECHNOLOGY
기술보안요소명칭기술보안요소설명기술보안분류기술보안요소고려사항
(FK)보안요소명칭
III. 표준 ITA 보안 - SV3 보안관계기술서 메타모델
29
엔티티명 속성명칭 속성정의
*SECURITY_ELEMENT* 보안요소보안요소를 정의하기위한 엔티티
* 보안요소명칭 보안요소명칭
보안요소설명 보안요소설명
SECURITY_PHYSICAL물리보안요소물리보안요소
* 물리 * 보안요소명칭 물리보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
물리보안요소설명 물리보안요소설명
물리보안요소고려사항 물리보안요소고려사항
SECURITY_POLICY보안정책보안정책
* 보안정책명칭 보안정책명칭
보안정책내용 보안정책설명
보안정책목적 보안정책목적
보안정책적용범위 보안정책적용범위
SECURITY_POLICY_CATEGORY보안정책분류보안정책분류
* 보안정책분류식별자 보안정책분류식별자
* 보안정책명칭 (FK) 보안정책명칭
* 보안정책분류명칭 관리보안 : 001 시설보안 : 002 기술보안 : 003
보안정책분류설명 보안정책분류설명
SECURITY_PROCEDURE보안절차관리보안
* 관리보안절차명칭 관리보안절차명칭
* 보안요소명칭 (FK) 보안요소명칭
관리보안구성요소설명 관리보안구성요소설명
관리보안고려사항 관리보안고려사항
SECURITY_TECHNOLOGY보안기술기술보안
* 기술보안요소명칭 기술보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
기술보안요소설명 기술보안요소설명
기술보안분류 서버보안 : 001 네트워크보안 : 002 어플리케이션보안 : 003데이터베이스보안 : 004 PC 보안 : 005
기술보안요소고려사항 기술보안요소고려사항
III. 표준 ITA 보안 - SV3 보안관계기술서
30
III. 표준 ITA 보안 - SV4 관리보안설계서 정의
소유자 수준에서 정의된 보안 속성을 기반으로 보안관리를 위한 요구사항과 명세를 정의한 산출물
목적- 정보보호 대책을 정의해야 하는 대상에 대한 관리적 보호 방안의 수립
주요설명- 보안정책 수립 보안정책이란 정보 자산을 어떻게 관리하고 보호할 것인가에 대한 지침과 규약을 문서로 기술해 놓은 것으로 , 조직에서 정보자산을 안전하게 보호하고 효율적으로 사용하기 위해서 최우선적으로 수립 . - 인원관리 정보시스템이 아무리 기술적으로 완벽하게 이루어져 있다 하더라도 중요한 것은 정보시스템을 사용하는 각각의 개인에게 가장 큰 보안의 주요 책임이 있다 . 이를 위하여 각 기관 및 조직의 보안 담당자는 정기적으로 실질적인 보안교육을 실시하여 시스템을 사용하는 사람에게 보안의식을 함양하게 하여야 한다 . 또한 감시 및 보안감사를 실시하여 보안의 취약점을 발견 , 이를 개선 강화하여야 한다 . - 절차 (Procedure) 관리 정보시스템의 보안 취약점 중에는 미숙한 사용자에 의한 시스템 위협 , 즉 백업데이터가 없어 정보시스템을 위협하는 경우가 발생한다 . 이를 위해 백업절차 및 새로운 사용자를 위해 정보시스템 사용절차를 문서화하여야 한다 .
- 사고대책관리 정보 시스템이 만약이 재난이나 , 보안 위협에 노출되어 통합 정보 서비스에 문제가 발생할 경우를 대비하여 ,
빠른 기간 내에 복구될 수 있도록 재난복구절차 (DRP: Disaster Recovery Plan) 을 마련하여야 한다 .
31
관련된다
연관된다
연관된다
분화한다
연관된다연관된다
분화한다
분화한다
분화한다연관된다
사용한다
SECURITY_PROCEDURE관리보안절차명칭관리보안구성요소설명관리보안고려사항
(FK)보안요소명칭
SECURITY_MANUAL보안매뉴얼명칭보안매뉴얼설명보안매뉴얼작성자보안매뉴얼버전보안매뉴얼재개정이력보안매뉴얼위치
SECURITY_PHYSICAL물리보안요소명칭물리보안요소설명물리보안요소고려사항
(FK)보안요소명칭
SECURITY_POLICY_CATEGORY보안정책분류식별자보안정책분류명칭보안정책분류설명
(FK)보안정책명칭
SECURITY_TECHNOLOGY기술보안요소명칭기술보안요소설명기술보안분류기술보안요소고려사항
(FK)보안요소명칭
SECURITY_ELEMENT보안요소명칭보안요소설명
SECURITY_POLICY보안정책명칭보안정책내용보안정책목적보안정책적용범위
III. 표준 ITA 보안 - SV4 관리보안설계서 메타모델
32
엔티티명 속성명칭 속성정의
*SECURITY_ELEMENT* 보안요소
* 보안요소명칭 보안요소명칭
보안요소설명 보안요소설명
*SECURITY_PROCEDURE* 보안절차관리보안
* 관리보안절차명칭 관리보안절차명칭
* 보안요소명칭 (FK) 보안요소명칭
관리보안구성요소설명 관리보안구성요소설명
관리보안고려사항 관리보안고려사항
SECURITY_MANUAL보안매뉴얼조직의 정보보호를 위한 지침서
* 보안매뉴얼명칭 보안매뉴얼명칭
보안매뉴얼설명 보안매뉴얼설명
* 보안매뉴얼작성자 보안매뉴얼작성자
* 보안매뉴얼버전 보안매뉴얼버전
* 보안매뉴얼재개정이력 보안매뉴얼재개정이력
보안매뉴얼위치 보안매뉴얼위치
SECURITY_PHYSICAL물리보안요소물리보안요소
* 물리보안요소명칭 물리보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
물리보안요소설명 물리보안요소설명
SECURITY_POLICY보안정책보안정책
* 보안정책명칭 보안정책명칭
보안정책내용 보안정책설명
보안정책목적 보안정책목적
보안정책적용범위 보안정책적용범위
SECURITY_POLICY_CATEGORY보안정책분류보안정책분류
* 보안정책분류식별자 보안정책분류식별자
* 보안정책명칭 (FK) 보안정책명칭
* 보안정책분류명칭 보안정책분류명칭관리보안 : 001 시설보안 : 002 기술보안 : 003
보안정책분류설명 보안정책분류설명
SECURITY_TECHNOLOGY보안기술 기술보안
* 기술보안요소명칭 기술보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
기술보안요소설명 기술보안요소설명
기술보안분류 서버보안 : 001 네트워크보안 : 002 어플리케이션보안 : 003데이터베이스보안 : 004 PC 보안 : 005
III. 표준 ITA 보안 - SV4 관리보안설계서
33
III. 표준 ITA 보안 - SV5 물리보안설계서
정의소유자 수준에서 정의된 보안 속성을 기반으로 물리보안을 위한 요구사항과 명세를 정의한 산출물
목적- 정보보호 대책을 정의해야 하는 대상에 대한 물리적 보호 방안의 수립
주요설명- 물리적 보안은 정보 시스템 전산실 및 업무적으로 보안이 유지되어야 할 중요 정보 보관 위치는 비인가자에 대한 출입을 엄격히 통제해야 함
- 물리적 시설을 운영하게 하는 부대시설 ( 공조시설 , 전원실 , 통신실 등 ) 또한 접근통제 구역으로 설정되어야 함
- 정보자산에 대한 안전성을 확보하기 위한 백업 및 소산등의 방안이 마련되어야 하며 보안과 관련된 설비보안 절차등이 수립되어야 함 .
34
분화한다
분화한다관련된다
연관된다
연관된다
연관된다
분화한다연관된다
연관된다
분화한다
연관된다
사용한다
분화한다
INFRASTRUCTURE인프라스트럭처명칭인프라스트럭처설명영문정식명칭약어인프라용도인프라상태개발단계버전사용년수구매비용도입연월
IP사용제조사모델명도입방법보안평가등급
(FK)솔루션명칭 (FK)표준명칭
(FK)인프라타입명칭 (FK)업무논리노드명칭
SECURITY_PHYSICAL물리보안요소명칭물리보안요소설명물리보안요소고려사항
(FK)보안요소명칭
SECURITY_POLICY_CATEGORY보안정책분류식별자보안정책분류명칭보안정책분류설명
(FK)보안정책명칭
SECURITY_POLICY보안정책명칭보안정책내용보안정책목적보안정책적용범위
SECURITY_ELEMENT보안요소명칭보안요소설명
SECURITY_PROCEDURE관리보안절차명칭관리보안구성요소설명관리보안고려사항
(FK)보안요소명칭
SECURITY_TECHNOLOGY기술보안요소명칭기술보안요소설명기술보안분류기술보안요소고려사항
(FK)보안요소명칭
SECURITY_MANUAL보안매뉴얼명칭보안매뉴얼설명보안매뉴얼작성자보안매뉴얼버전보안매뉴얼재개정이력보안매뉴얼위치
메타모델
III. 표준 ITA 보안 - SV5 물리보안설계서
35
엔티티명 속성명칭 속성정의
*SECURITY_ELEMENT * 보안요소 * 보안요소명칭 보안요소명칭
*SECURITY_PHYSICAL* 물리보안요소물리보안요소
* 물리 보안요소명칭 물리보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
물리보안요소설명 물리보안요소설명
물리보안요소고려사항 물리보안요소고려사항
INFRASTRUCTURE인프라스트럭처기술구조의 최상위 모델로 하드웨어 , 소 프 트웨어 , 네 트 워 크 를 구 성 하 는 최상위 요소
* 인프라스트럭처명칭 인프라스트럭처명칭
* 인프라타입명칭 (FK) 인프라타입명칭
* 인프라상태 인프라상태
* 표준명칭 (FK) 표준명칭
* 솔루션명칭 (FK) 솔루션명칭
* 업무논리노드명칭 (FK) 업무논리노드명칭
SECURITY_MANUAL보안매뉴얼조직의 정보보호를 위한 지침서
* 보안매뉴얼명칭 보안매뉴얼명칭
* 보안매뉴얼작성자 보안매뉴얼작성자
* 보안매뉴얼버전 보안매뉴얼버전
* 보안매뉴얼재개정이력 보안매뉴얼재개정이력
SECURITY_POLICY 보안정책 * 보안정책명칭 보안정책명칭
SECURITY_POLICY_CATEGORY보안정책분류보안정책분류
* 보안정책분류식별자 보안정책분류식별자
* 보안정책명칭 보안정책명칭
* 보안정책분류명칭 관리보안 : 001 시설보안 : 002 기술보안 : 003
SECURITY_PROCEDURE보안절차관리보안
* 관리보안절차명칭 관리보안절차명칭
* 보안요소명칭 (FK) 보안요소명칭
SECURITY_TECHNOLOGY보안기술기술보안
* 기술보안요소명칭 기술보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
기술보안분류 기술보안분류
III. 표준 ITA 보안 - SV5 물리보안설계서
36
III. 표준 ITA 보안 - SV6 기술보안설계서 정의
소유자 수준에서 정의된 보안 속성을 기반으로 기술보안을 위한 요구사항과 명세를 정의한 산출물
목적- 정보보호 대책을 정의해야 하는 대상에 대한 기술적 보호 방안의 수립 - 서버보안 , 데이터베이스보안 , 네트워크보안 , 응용시스템 보안 등에 대한 보호 방안 수립
주요설명- 서버 ( 시스템 ) 보안 시스템 소프트웨어 (OS, 데이터베이스 관리시스템 , 네트워크 관리시스템 ) 는 정보시스템 운영의 기본이 되는 것으로 이의 손상 및 침해 시에는 전 업무의 마비가 초래될 수 있는 매우 중요한 보호 대상 이므로 어떠한 경우에도 중단되지 않도록 보호 대책 강구 - 데이터베이스 보안 정보 시스템은 신속 , 정확한 정보지원이 요구된다 . 따라서 기록정보의 조회 및 각종 상황 자료 등 필요한 정보 요구 시 필요한 데이터가 정확하게 적시적소에 전달되도록 보장 각 기업이나 조직의 응용 소프트웨어 ( 예 : 인사기록 DB, 재무회계 , 급여 DB 등 ) 는 정보시스템 운영에 필요한 제반 정보들이 무단 변경이나 파괴 , 변조 , 유출되지 않도록 철저한 데이터베이스 보안대책을 강구하고 있어야 함 . 이는 데이터베이스 관리시스템의 고유 보안기능에 의해 통제될 수 있음- 네트워크 보안 정보 시스템은 신속 , 정확한 정보제공을 위해 정보의 이동로인 LAN, 유무선 통신 , 네트워크를 통한 신뢰성 있는 정보 전송이 확보 . 이러한 신뢰성을 위협하는 외부 침입자에 대해 철저히 대응하기 위해 정보 시스템은 외부와의 접속을 허용하지 않는 독립적인 네트워크가 되도록 하는 것이 좋으나 , 업무적으로 외부와 접속이 필요할 경우에는 반드시 전용선 또는 암호화 통신을 이용하여 구축하고 , 인터넷을 통해 정보 시스템에 접근할 경우는 방화벽을 구축하여 외부 망에서 방화벽 내부 즉 , 기업이나 조직의 정보 시스템에 접근하기 위해서는 방화벽에서 철저한 사용자 인증절차를 거쳐 해당 서버에 접근하도록 통제 - 응용시스템의 보안 응용시스템의 불법 사용으로 인한 허위 정보의 입력 , 삭제 , 변경 등으로 업무의 혼선 및 혼란을 유발할 수 있다 . 따라서 보안의 주요대상이 되는 기업이나 조직의 중요응용 프로그램은 정보시스템에서 운영되는 응용시스템의 주요 보안대상으로 , 보안 취약성을 파악 , 인증성 및 무결성을 높이게 하여야 한다 . 이를 위해 인증서버에 인증 절차를 거쳐 해당 응용 시스템을 사용할 권한이 있는지 여부를 시스템적으로 처리하여 비 인가된 사용자의 접근을 막아야 한다 . 또한 인증절차의 관리의 효율을 위하여 통합인증 체계의 구축 등을 고려할 필요가 있음 .
37
분화한다
관계된다
사용된다분화한다
연관된다
사용된다
관련된다
관련된다
연관된다
연관된다
연관된다
연관된다
연관된다
분화한다
연관된다
연관된다
연관된다
분화한다
연관된다
분화한다
연관된다
분화가능
분화한다
사용한다SECURITY_POLICY보안정책명칭보안정책내용보안정책목적보안정책적용범위
SECURITY_PROCEDURE관리보안절차명칭관리보안구성요소설명관리보안고려사항
(FK)보안요소명칭
SECURITY_TECHNOLOGY기술보안요소명칭기술보안요소설명기술보안분류기술보안요소고려사항
(FK)보안요소명칭
STANDARD표준명칭표준번호표준설명표준제정기관표준상태참고표준
(FK)기술서비스명칭 (FK)아키텍처원칙명칭
SOLUTION솔루션명칭솔루션설명제품버전제작사제작일자도입일자솔루션유형
SECURITY_ELEMENT보안요소명칭보안요소설명
SECURITY_MANUAL보안매뉴얼명칭보안매뉴얼설명보안매뉴얼작성자보안매뉴얼버전보안매뉴얼재개정이력보안매뉴얼위치
SECURITY_PHYSICAL물리보안요소명칭물리보안요소설명물리보안요소고려사항
(FK)보안요소명칭
SECURITY_POLICY_CATEGORY보안정책분류식별자보안정책분류명칭보안정책분류설명
(FK)보안정책명칭
APPLICATION_SYSTEM응용시스템명칭약어응용시스템설명응용시스템상태응용시스템용도응용시스템서비스종류활용업무내외부구분연계기술데이터연계기술통신방식연계기술보안사용네크워크시스템유형개발기간개발비용운용예정일
INFRASTRUCTURE인프라스트럭처명칭인프라스트럭처설명영문정식명칭약어인프라용도인프라상태개발단계버전사용년수구매비용도입연월
IP사용제조사모델명도입방법보안평가등급
(FK)솔루션명칭 (FK)표준명칭
(FK)인프라타입명칭 (FK)업무논리노드명칭
III. 표준 ITA 보안 - SV6 기술보안설계서 메타모델
38
엔티티명 속성명칭 속성정의
*SECURITY_ELEMENT * 보안요소 * 보안요소명칭 보안요소명칭
*SECURITY_PHYSICAL* 물리보안요소물리보안요소
* 물리 보안요소명칭 물리보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
물리보안요소설명 물리보안요소설명
물리보안요소고려사항 물리보안요소고려사항
INFRASTRUCTURE인프라스트럭처기술구조의 최상위 모델로 하드웨어 , 소프트웨어 , 네트워크를 구성하는 최상위 요소이다 .
* 인프라스트럭처명칭 인프라스트럭처명칭
* 인프라타입명칭 (FK) 인프라타입명칭
* 인프라상태 인프라상태
* 표준명칭 (FK) 표준명칭
* 솔루션명칭 (FK) 솔루션명칭
* 업무논리노드명칭 (FK) 업무논리노드명칭
보안평가등급 국가정보원 보안시스템 평가 등급
SECURITY_MANUAL보안매뉴얼조직의 정보보호를 위한 지침서
* 보안매뉴얼명칭 보안매뉴얼명칭
* 보안매뉴얼작성자 보안매뉴얼작성자
* 보안매뉴얼버전 보안매뉴얼버전
* 보안매뉴얼재개정이력 보안매뉴얼재개정이력
보안매뉴얼위치 보안매뉴얼위치
SECURITY_POLICY 보안정책 * 보안정책명칭 보안정책명칭
SECURITY_POLICY_CATEGORY보안정책분류보안정책분류
* 보안정책분류식별자 보안정책분류식별자
* 보안정책명칭 보안정책명칭
* 보안정책분류명칭 관리보안 : 001 시설보안 : 002 기술보안 : 003
SECURITY_PROCEDURE보안절차관리보안
* 관리보안절차명칭 관리보안절차명칭
* 보안요소명칭 (FK) 보안요소명칭
SECURITY_TECHNOLOGY보안기술기술보안
* 기술보안요소명칭 기술보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
기술보안분류 기술보안분류
III. 표준 ITA 보안 - SV6 기술보안설계서
39
III. 표준 ITA 보안 - SV7 보안매뉴얼 정의
보안매뉴얼은 보안아키텍처에서 정의된 보안요소가 실 보안매뉴얼과 어떠한 연관관계를 갖고 있는 지를 정의한 산출물
목적- 보안 아키텍처의 정보 ( 보안요소 ) 가 활용된 보안매뉴얼 ( 표준 지침 ) 의 식별 - 보안요소 및 기반구조와의 보안 메뉴얼과의 연관성 식별
주요설명- 보안아키텍처 정의를 통해 식별된 다양한 보안요소가 어떠한 보안매뉴얼과 관련성을 갖게 되는 지를 정의한 산출물
- 현행아키텍처와 목표아키텍처를 구분하여 2 가지 목적으로 사용 할 수 있다 . 현행아키텍처 정의일 경우에는 현재 조직의 보안요소가 어떠한 것들이 있으며 , 보안요소들이 어떠한 표준화 된 지침으로 구성되어 있는 지를 식별하여 아키텍처 작성을 용이하게 하는 용도로 사용 할 수 있으며 , 두 번째 목표아키텍처 정의 시에는 목표 정보시스템에 적용되는 정보보호 원칙과 규칙에 의해 정의되어야 할 보안매뉴얼의 명칭과 내용 등을 정의한 산출물로 작성을 함
40
보안매뉴얼작성
보안매뉴얼설명
보안매뉴얼 6
보안매뉴얼 5
보안매뉴얼 4
보안매뉴얼 3
보안매뉴얼 2
보안매뉴얼개정이력
보안매뉴얼위치
보안매뉴얼버전
관련보안요소명
보안매뉴얼 n
보안매뉴얼 7
보안매뉴얼명칭
보안매뉴얼 1
III. 표준 ITA 보안 - SV7 보안매뉴얼 템플릿
41
분 화 한 다
관 련 된 다
분 화 한 다
연 관 된 다
연 관 된 다연 관 된 다
분 화 한 다연 관 된 다 연 관 된 다
분 화 한 다
사 용 한 다
S E C U R IT Y _ M A N U AL보 안 매 뉴 얼 명 칭보 안 매 뉴 얼 설 명보 안 매 뉴 얼 작 성 자보 안 매 뉴 얼 버 전보 안 매 뉴 얼 재 개 정 이 력보 안 매 뉴 얼 위 치
S E C U R IT Y _ P O L IC Y보 안 정 책 명 칭보 안 정 책 내 용보 안 정 책 목 적보 안 정 책 적 용 범 위
S E C U R IT Y _ P R O C E D U R E관 리 보 안 절 차 명 칭관 리 보 안 구 성 요 소 설 명관 리 보 안 고 려 사 항
( F K )보 안 요 소 명 칭
S E C U R IT Y _ E L E M E N T보 안 요 소 명 칭보 안 요 소 설 명
S E C U R IT Y _ P H Y S IC A L물 리 보 안 요 소 명 칭물 리 보 안 요 소 설 명물 리 보 안 요 소 고 려 사 항
( FK )보 안 요 소 명 칭
S E C U R IT Y _ P O L IC Y _ C A T E G O R Y보 안 정 책 분 류 식 별 자보 안 정 책 분 류 명 칭보 안 정 책 분 류 설 명
( FK )보 안 정 책 명 칭
S E C U R IT Y _ T E C H N O L O G Y기 술 보 안 요 소 명 칭기 술 보 안 요 소 설 명기 술 보 안 분 류기 술 보 안 요 소 고 려 사 항
( FK )보 안 요 소 명 칭
메타모델
III. 표준 ITA 보안 - SV7 보안매뉴얼
42
엔티티명 속성명칭 속성정의
*SECURITY_ELEMENT* 보안요소보안요소를 정의하기 위한 엔티티
* 보안요소명칭 보안요소명칭
보안요소설명 보안요소설명
*SECURITY_MANUAL* 보안매뉴얼조직의 정보보호를 위한 지침서
* 보안매뉴얼명칭 보안매뉴얼명칭
보안매뉴얼설명 보안매뉴얼설명
* 보안매뉴얼작성자 보안매뉴얼작성자
* 보안매뉴얼버전 보안매뉴얼버전
* 보안매뉴얼재개정이력 보안매뉴얼재개정이력
보안매뉴얼위치 보안매뉴얼위치
SECURITY_PHYSICAL물리보안요소물리보안요소
* 물리 보안요소명칭 물리보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
SECURITY_POLICY보안정책보안정책
* 보안정책명칭 보안정책명칭
보안정책내용 보안정책설명
보안정책목적 보안정책목적
보안정책적용범위 보안정책적용범위
SECURITY_POLICY_CATEGORY보안정책분류보안정책분류
* 보안정책분류식별자 보안정책분류식별자
* 보안정책명칭 (FK) 보안정책명칭
* 보안정책분류명칭 관리보안 : 001 시설보안 : 002 기술보안 : 003
보안정책분류설명 보안정책분류설명
SECURITY_PROCEDURE보안절차관리보안
* 관리보안절차명칭 관리보안절차명칭
* 보안요소명칭 (FK) 보안요소명칭
SECURITY_TECHNOLOGY보안기술기술보안
* 기술보안요소명칭 기술보안요소명칭
* 보안요소명칭 (FK) 보안요소명칭
III. 표준 ITA 보안 - SV7 보안매뉴얼
43
III. 표준 ITA 보안 - 산출물간의 관계
44
III. 표준 ITA 보안 - 참조모델
45
V. 결론
프레임웍을 통한 빠짐없는 체계
프로세스 중요
신규 개발에 적용 확장