Embed Size (px)
Citation preview
컴플라이언스운영및관리솔루션
SecureWorkSystem v2.0표준 소개서
SecureWorkSystem
2
단순한솔루션납품이아닌정보보호업무지원서비스를제공하는이볼케이노의기술력
- SecureWorkSystem은회사의 업무에 정보보호 업무가 자연스럽게 접목되도록 고객사의 업무 환경에 최적화된 방향을 제시하는
정보보호 컴플라이언스 관리 솔루션입니다.
정보보호를현업에반영하여실효적인전사정보보호수준제고및업무효율성증대
- 다양한 컴플라이언스 표준과 회사 내부 문서와 양식을 관리하는 틀을 제공합니다.
- 회사의 업무절차에 컴플라이언스 통제항목과 그에 맞는 문서와 양식서 및 업무 방법을 제공하여 업무 수행 시간을 절감합니다.
- 회사 각 부서마다 상이한 업무절차를 지식기반으로 확보하고 정보보호 담당자는 축적된 업무절차를 표준으로 편집 등록합니다.
정보보호컴플라이언대응을위한 TCO 절감및전문인력대체효과
- 관리체계인증 운영 및 다양한 컴플라이언스 준수를 위해 기존 업무의 수 배의 업무량이 증대, 정보보호 전문 인력 충원, 체계적인
관리 비용, 심사 및 갱신을 대응하기 위한 추가 컨설팅 비용이 발생합니다. SecureWorkSystem은인증 및 컴플라이언스 준수에
발생하는 총 비용(Total Cost)을절감하는 솔루션입니다.
SecureWorkSystem은 정보보호 컴플라이언스를 준수할 수 있게 하는 솔루션입니다.
왜 이볼케이노의 SecureWorkSystem을 선택해야하는가?
SecureWorkSystem
정보보안컴플라이언스와기업정보보안인증의현실
컴플라이
언스의
현실
보안의 강화는 사업 부서의임직 원들에게비즈니스의민첩성을 떨어뜨려사업수행 에부담이 되는 주요 원인
기업 보안부서의과다한 업무 수행의 빈틈으로인한 보안위협 발생
인증을
위한
기업의
현실
관리체계인증을받고 다음인증까지 유지되지않음
사업 면에서 현실 업무와 보안규정 준수의 불일치 반복
외부 컨설팅 업체를 통해 반복적인과다비용지출
기존
증적관리
솔루션의
한계
250 항목의 감사대비를위한증빙서류가수집되는것이아님
업무와 감사의 통합되지않음으로 인한 2중 업무 수행
업계의 문제점을 보완해 줄 솔루션 필요
정보보안 컨설팅의 새로운 혁신 필요
“누구나 따라하면 수행 할 수 있는 정보보호 업무”
다양한 컴플라이언스 대응 및 업무의
일원화를 위한 전문 솔루션 부재
인증 후 관리부재로 인한
기업의 반복적인 컨설팅 비용 과다지출
다양한 컴플라이언스 대응을 위한
정보보안팀의 업무 과중화
기술적위험관리의 자동화
증적 수집에따른 2중 업무 제거및 조직 개편 시업무 연속성
다양한컴플라이언스기준에 맞는 업무절차수립과이행
법 개정 시자동적인
관리체계최신화및컨설팅 비용대폭 절감
배경및목적
현업이 정보보호를 이해하고 전사 업무에 적용할 수 있는 유일한 솔루션 입니다.
Secure Work System 개요
SecureWorkSystem
정보보호팀이 아닌 현업에서 정보보호를 하는 것이 관리체계의 핵심입니다.관리체계(국내 ISMS, ISO27001, BS7799, FISMA, 등의) 근본 취지는 인증을 받기위한 증적관리가 아닌 현업이 정보보호를 이해하고 이를 업무에
적용하는 것입니다. SWS는 전사 업무에 정보보호를 자연스럽게 적용할 수 있는 유일한 솔루션입니다.
정보보호 업무관리솔루션
현업 담당자
타사제품들과의차이점 - 운용방식
증적관리 솔루션
보안부서 및 보안 관리자
증적관리보안교육 위험관리
보안감사관리 보안사고관리
보안부서
관리부서현업부서
임원
컴플라이언스업무절차 시스템
파일 디렉토리 시스템 업무절차관리
업무관리
업무표준화 관리
업무소통
타사 관리체계관리 솔루션들 : 증적관리(파일, 디렉토리) 자사 Secure Work System : 정보보호 업무절차 시스템
인증 획득만을 위한 시스템
적은 인력으로 과다한 업무 수행
제품 사상
시스템 사용자
핵심기능
4
CONTENTS
01 개발배경
02 제품 개요 및 구성
03 제품 주요 기능
04 서비스 지원
05 제품의 특∙장점
06 제품의 인증 및 구축사례
SecureWorkSystem
6
관리체계 운영 시스템은 선택이 아닌 필수입니다.
이전 정보보호팀의 업무는 기술적 보안 업무인 정보보호장비 운영이 대부분의 업무였으나, 관리체계인증 획득 이후에는 기술적 보안 영역의 확대
뿐만 아니라 관리적/물리적 보안의 영역까지 확대되었습니다. 또한 업무를 표준화하고 객관화하기 위해 수 많은 문서를 제/개정하고, 제3자에게
증명하기 위한 증거자료를 축적해야 하는 어려움이 발생하고 있습니다.
400여유형의 정보보호 업무
100여종의 정보보호 업무 양식서
40여종의 정책문서
정보보호 전문 인력 부족
문서화로 인한 업무 증가
인증 심사 및 갱신, 보안 감사를 위한 증적관리
인력의 정보보호 교육 및 수준 제고
보안 위험관리 및 계획
보안 사고 대응 및 관리
어떻게 이 많은 일을 체계적으로 수행하여야 하는 가?
현업에서 정보보호 컴플라이언스 준수 지원
정보보호 업무에 필요한 정책문서, 양식서 제공
지식기반의 업무절차 정보 획득, 표준화 선정
자동 증적 축적, 편리한 출력
전사 임직원 정보보호 교육 및 테스트
위험관리, 보안감사관리, 보안사고 관리
전사 정보보호업무 리딩 시스템 SecureWorkSystem
01.1 개발배경 – 보안업무의증대와보안관리자의어려움
SecureWorkSystem
• 인증획득이라는형식요소에초점
• 일시적인 boom up 이후
지속적인 효과 반감기
• 증적 누락 및 보관 유실
• 내 외부 사항 변동 반영 어려움
실질적인효용가치가낮음
ISMS컨설팅의한계
• 관리체계의수립은 ‘본원적 활동’ 영역인 반면,
수립된 관리체계의운영은‘보조활동’영역
• 보조활동은 100여 개 이상의 업무의 이행을 관리해야
하기 때문에 노동집약적인특성, 이로 인한 지속
관리의 어려움 발생
• 즉, 정보보호활동 가치사슬의약한 고리는 보조활동’
문제의원인
ISMS인증후 운영 현실
인증 후 운영현실
지속적인정보보호관리의필요성및 해결책
• 자동화 전산화로 업무 효율성(조직, 자산, 위험도 반영)
• 인증 및 체계적 관리 체계 유지
• 보조활동 영역의 다수 보안업무를효율적으로
관리하기 위한 중앙 집중화된 업무관리시스템필요
해결책
현업에서 정보보호 가능
보안관리체계자동화구축
인증후현실 및해결책
01.2 개발배경 – 일회성인관리체계의문제점
회사는 수립한 관리체계를 지속발전 시켜야 합니다.
SecureWorkSystem
제품개요
관리체계를 비롯한각종 규정을 준수할수 있는업무절차 및 업무가이드 제공
전 임직원의업무를 표준에 맞게수행하도록 지원
정보보호 관리에필요한 정보보호교육, 보안감사, 보안사고, 위험성관리 틀을제공
회사업무시스템과연동하여업무 수행이벤트발생 및자동증적관리
SecureWorkSystem는 정보보호 컴플라이언스 준수를 지원하는 솔루션입니다.
지식기반의 업무절차 획득 및표준화 시스템 자체 보안프레임워크
02.1 제품개요및 구성 – 제품개요
8
고객의 정보보호 업무의특성이 반영된 검증된솔루션 관리체계 및 업무절차분석으로 안정된 시스템정착
개인별, 부서별업무절차생성및취합 (휴레스틱정보제공)
업무절차개량및 컴플라이언스연결및표준업무등록
독립된컴플라이언스표준관리, 정책문서관리, 업무절차관리와느슨한연결
정보보호팀은정책수립및반영, 정보보호업무는현업에서수행, 자동증적관리
범정부개발프레임워크기반으로보안성확보
DB 암호화모듈사용
클라이언트/서버통신보안적용
링크정보계정확인체계구성 (메일로링크정보제공시타인 접근불가)
정보보호전문조직의 Needs를반영하여제작된솔루션
초기 버전의문제점과보완사항을반영한 v2.0 제품
정보보호팀에서필요한정보보호업무기능포함
관리체계근본취지에맞게전사차원의정보보호수준제고
BA(Business Architecture) 업무절차분석 (EA OV-5) 전문가
관리체계산출물분석및시스템반영전문가
그룹웨어메시징시스템, 전자결재시스템연동전문가
ERP HR모듈조직도연동전문가
SecureWorkSystem
SecureWorkSystem02.2 제품개요및 구성 – 제품구동방식
고객사 IT 환경에 맞추어 SecureWorkSystem을 최적화된 방식으로 구성합니다.
9
APP : SWS
MW : Tomcat
OS : CentOS
FrameWork : 범정부 보안FW
GroupWare
이메일
전자 결제
업무포탈
메세징 시스템임직원
DB Server
업무정보
증적 저장
업무 알림
보안정책 설정
업무 수
행
업무 수행
업무결과(증적)
DBMS : 큐브리드
암호화 모듈
ERP
HR 모듈 : 조직도
ISMS표준관리
보안 업무 관리
업무 절차 관리
조직도 연동
CISO / 보안관리자
업무 가이드
전자결재 연동
메세징 연동
보안관리자
SecureWorkSystem
10
SecureWorkSystem는 추가적인 비용없는 플랫폼을 지원하고 있습니다.
서버/클라이언트
구성요소 지원 환경
서버
Application
FrameWork- 이볼케이노 개발 프레임워크
(범정부 프레임워크 + 보안 프레임워크)- 개발 언어 : JAVA
WAS - Tomcat, Apache HTTP Server
DBMS - 큐브리드 (권장), Oracle, MS-SQL, My-SQL 등 대부분 상용 DBMS 지원
Operating System - CentOS (권장), Linux 계열, Windows 서버 계열
Hardware- 300 User 기준 : 4Core CPU, 8Gbyte Memory, 500Gbyte * 2(이중화)
HDD
클라이언트 브라우저- IE 13 이상- 크롬, 사파리
02.3 제품개요및 구성 – 시스템구성
SecureWorkSystem
11
서버 시스템은 기준은 유저 300명입니다. 추가시 개발사와 협의가 필요합니다.
서버/클라이언트
항목 사양
서버
CPU 4 Core 이상 (3.0 GHz 이상)
Memory 8 GB 이상
HDD 500 GB X 2 (RAID 1.0 구성)
Network 1G Ethernet
클라이언트 PC 업무용 PC, Laptop
02.4 제품개요및 구성 – 하드웨어최소사양
SecureWorkSystem03.1 제품주요기능 – 표준관리기능
회사 업무에 따른 업무절차정의와 통제항목 연결
업무 수행 시 업무절차에 맞게해당 부서에 업무가이드 제공
관리체계표준 수립 이후, 해당 점검항목(통제항목) 문서 및 속성 정의
12
No 점검항목 설명
6.1.3.1
신규인력 채용시정보보호책임이명시된정보보호서약서를받고있는가?
ㅇ신규로채용된인력은조직의중요정보취급및관리시정보보호의필요성과책임에대해명시된정보보호서약서에서명하고조직에제출하여야한다.
ㅇ정보보호서약서의제출의무에대해신규인력채용절차중기본적인사항으로인식하고관리부서를지정하여정보보호서약서를관리하여야한다. (일반적으로신규인력채용시인력관리부서에서정보보호서약서를수집및관리하고있다.)
6.1.3.3
임직원퇴직시별도의비밀유지에관련한서약서를 받고있는가?
ㅇ직무상알게된조직의중요정보에대한퇴사 후누출방지를위하여인력퇴사절차내 비밀유지서약서를받고누출발생시그에따르는법적책임이있음을상기시켜야한다.
ㅇ직무변경과같이인력의고용조건에변화가발생한경우이전에습득한비밀정보를누출하지않도록정보보호서약서의내용을환기시키는것이좋다.
문서 관리항목
업무 주기성 문서 보안여부 문서 보안여부
연관 이벤트 업무수행방법 업무 속성
SecureWorkSystem03.2 제품주요기능 – 업무절차관리기능
업무 수행 시 업무절차에 맞게해당 부서에 업무가이드 제공
회사에서 준수해야 하는 각종표준관리(관리체계, PIMS, 등)
업무 절차에 포함된 업무항목에 통제항목 연결 및 업무절차 표준화 수행
13
모든사용자는업무절차를생성또는선택
1. 현업에서 업무절차 생성
업무절차중통제항목과연결
표준선정을통한업무정형화수행
2. 보안관리자는업무절차 표준선정
업무절차수행자지정(최근지정자 제공)
주기적업무절차는자동진행
업무포털과연동하여업무개시
3. 업무절차 선택및 수행자지정
통제항목연결/업무절차표준관리
표준업무절차
지식기반 업무절차생성 및 표준업무절차 관리
업무절차등록/업무수행자지정
SecureWorkSystem03.3 제품주요기능 – 업무수행및증적자동화
누구나 따라만하면 업무를 완성할 수 있도록 상세한 정보 및 양식서 제공
회사에서 준수해야 하는 각종표준관리(관리체계, PIMS, 등)
회사 업무에 따른 업무절차정의와 통제항목 연결
1. 작업수행자메일로업무요약과
SWS 링크제공
2. 로그인 -> 업무수행 -> 완료(또는임시저장)
3. 업무절차에따라다음수행자에게
업무제공
그룹웨어 메일시스템과 연동시
1. 작업수행자전자메일에해당내용전체제공
2. 전자결재양식완성(업무수행)
3. 상신(업무절차에맞게상위결재로연결)
그룹웨어 전자결재시스템과 연동시
14
업무 수행 내용
업무에 관련된 컴플라이언스
업무 기준 문서
업무 수행 양식서
SecureWorkSystem
㈜이볼케이노의본 사업에대한 총력지원
기업의 보안과 관리에필요한규정무제한적용
가능
외부규정 내부규정
ISMS PIPL
PIMS 국정원인증
컴플라이언스
원하는 컴플라이언스 추가
및 업무와 연동
(범위제한없음)
회사 정책, 지침, 절차서
원하는 내규
추가 및 업무와 연동
(범위제한없음)
회계규정회사내규
위험관리 위임전결규정
03.4 제품주요기능 – 복합규정적용
외부 컴플라이언스 뿐만 아니라 내부 규정도 같이 적용할 수 있습니다.
SecureWorkSystem03.5 제품주요기능 – 종합관리화면
종합관리화면은 SecureWorkSystem 전체 운영사항을 한눈에 볼 수 있습니다.
16
조직의위험관리상황을분야별로확인
DOA 기준점관리
1. 조직 위험상황표
표준/비표준업무진행사항표시
지연된업무표시
2. 업무 진행절차상황
금일/ 한주/ 한달예정된업무리스트
보안교육및시험진척사항
3. 예정된 업무상황
월별업무수행건
현재업무부하지표
업무표준화정도비율
4. 업무 지행상황
SecureWorkSystem
17
정보보호관리자가 정책과 업무에 필요한 항목을 지정하면 현업에서 업무에 반영됩니다.
대 메뉴 소 메뉴 내용사용자
관리자
통합화면 - 업무 진행사항, 각종 차트 및 요약 화면 O O
업무절차
업무시작 업무 유형별 업무절차 개시, 필요시 업무포털사이트에 연동 O O
업무절차 관리 업무절차 생성, 편집, 표준 설정, 업무수행(좌측 상시 메뉴) O O
문서관리
정책서 관리 정보보호 정책서, 규정서, 지침서, 절차서 등록, 제개정 O
양식서 관리 정보보호 양식서 관리 O
증적관리
증적 검색 표준별 증적 검색, 통제항목별, 키워드 검색 O O
증적 출력 표준별, 통제항목별 증적 출력관리, PDF 묶음 출력 O O
위험관리
자산 관리 인증 범위 내 자산 등록관리(서버, PC, N/W, 문서, 로그, 정보보호장비, 시설) O
취약점 진단 관리 취약점 진단 리포트 등록, Rapid7 취약점 솔루션 연동(Add-on) O
위험관리 자산의 중요도 X 취약점 = 위험 단위과제 관리 O
보안교육관리
교육컨텐츠 관리 동영상, 각종 파일 교육자료 등록 관리 O
대상자선정, 이수독려 컨텐츠 별 이수자 지정 및 이수 여부 관리, 이메일 독려 관리 O O
03.6 제품주요기능 – 메뉴구성 #1
SecureWorkSystem
18
정보보호 관리자와 사용자 메뉴기능은 권한 설정으로 변경할 수 있습니다.
대 메뉴 소 메뉴 내용사용자
관리자
보안교육관리
이수율관리 개인별, 부서별 이수율 통계 관리 O O
시험 관리 정보보호 시험 및 점수 관리, 시험지 excel 등록, 수험자 지정관리 O O
상벌관리 상벌 스코어 관리 O
보안감사관리월간 보안 점검 월간 보안 점검 리스트 등록 O
보안감사 이력관리 보안감사 이력관리, 보안감사 보완내용 업무 관리 O
보안사고관리 보안사고 이력관리 보안사고 등록 및 조치사항 관리 O
컴플라이언스관리
컴플라이언스 수립 관리체계, ISO27001, 회사 내규, 등 규정 리스트등록 관리 O
컴플라이언스 설정 각종 표준별 문서 및 업무 이벤트 연동 관리 O
시스템관리
사용자 관리 사용자 웹 관리 기능, EXCEL 등록 기능 O
사용자 권한 관리 사용자별 기능 관리 기능 O
소통시스템 연동 관리 그룹웨어 메시징 시스템, 전자결재 시스템 연동 관리 O
조직도 시스템 연동관리 HR모듈 연동 관리 O
03.6 제품주요기능 – 메뉴구성 #2
SecureWorkSystem04 서비스지원 – 시스템구성지원및 표준변경적용
eVolcano는 SecureWorkSystem 안정화를 위해 체계적인 서비스를 지원합니다.
조직도연동 그룹웨어메시징또는전자결재연동 업무이벤트, 업무절차설정
정보보호관리체계분석 회사내정책서, 규정서, 절차서, 지침서, 양식서획득
회사내업무절차분석
단위시험테스트 (자체시스템) 통합시험테스트(연동시스템) 업무절차 테스트
성능평가 보고서제출 미흡한사항원인분석및피드백
전사변화관리지원 지속적인성능관리
: 정기유지보수및기술지원서비스
19
고객사 정보보호 관리체계
SecureWorkSystem
20
05 제품의특장점
관리체계근본사상준수 전사정보보호수준제고 파격적업무수행시간절감
• 각종규정(회사내규, 회계규정, 위험관리,
등)을등록하여관리체계뿐만아니라
회사에서필요한업무규정관리로확대사용
가능
관리체계를 비롯한다양한 규정관리 틀로 활용
매 업무마다 업무 가이드제공으로
파격적 업무수행시간 절감
현업에서 실제적인정보보호 업무 추진
전사 정보보호 업무 수행과정보보호 교육 수행
• 업무수행에필요한각종문서, 양식서제공
• 과거수행한업무에대한결과문서참조
• 업무수행에필요한속성을제공함으로써
업무연속성을유지하고신속한업무수행
지원
• 관리체계근본사상에맞게 현업에서
정보보호를
수행하도록지원하며업무추진과정을
증적으로확보
• 정보보호팀은정보보호정책 수립과기술적
보안에집중할수있도록지원
• 전사임직원이정보보호교육을관리지원
• 정보보호업무를현업으로이관함으로써
회사전체의정보보호수준제고
SecureWorkSystem
21
정보보호포탈솔루션 ‘Secure Work System 2.0’ GS인증획득
정보보호솔루션개발전문업체 (주)이볼케이노(대표황재윤)는자체개발한정보보호포탈솔루션 Secure Work System V2.0 (인증번호:14-0314, 이하 SWS) 이GS(Good Software) 인증을획득했다고 10일밝혔다. GS인증은한국정보통신기술협회(TTA)로부터국내품질우수소프트웨어에부여되는인증이다.
SWS는관리체계, PIMS, ISO 등각종인증에대응할수있도록기업의정보보안체계를구축하고관리하며, 보안과관련된대부분의업무를처리할수있도록설계된솔루션으로, 오로지증적관리에만특화된여타솔루션과는다르게보안업무를처리에실질적인도움을주며보안관리자들의업무부담을경감시켜준다.
(주)이볼케이노(http://evolcano.co.kr)의황재윤대표는 “기존에만났던고객들중좋은솔루션임에도불구하고기존에없던솔루션이라는점때문에도입을망설이는경우가있었는데, 이번GS인증획득을통해제품에대한안정성과신뢰성을확인받게됐다.” 며 “SWS를검토중인기관과업체들의판단에확신을주고이로인해후발업체들과의경쟁에서확고한우위를차지하는데도움이될것으로기대한다”고말했다.
06 제품의인증및 구축사례
SecureWorkSystem은 GS인증을 획득하였습니다.
SecureWorkSystem
22
(주)이볼케이노, 문화체육관광부 보안관리솔루션 구축
(주) 이볼케이노(대표황재윤)는문화체육관광부의보안관리수준제고를위한보안솔루션구매사업에공급자로선정되어정보보호포탈솔루션인 Secure Work System 2.0(이하SWS)을납품했다고 10일밝혔다.이번보안관리수준제고를위한보안솔루션구매사업은문화체육관광부와박물관등산하기관들의정보보안을보다체계적으로관리하기위하여추진되었다.이사업에도입된 (주)이볼케이노의 SWS는관리체계, PIMS, ISO 등각종인증에대응할수있도록기업의정보보안체계를구축하고관리하며, 보안과관련된대부분의업무를처리할수있도록설계된정보보안포탈솔루션이다. 업무를규정에맞게수행할수있도록체계를구축하고필요한업무를필요할때정확하게처리할수있도록업무를가이드해주며, 수행한업무의증거를자동으로수집, 분류해준다.특히Work Process, 즉업무절차를한눈에파악가능한다이어그램형태의업무흐름도방식으로관리하는기능이사업자선정의주요요소라고회사는전했다.
황재윤 (주)이볼케이노대표는 "정보보호에있어그시작은바로안정된체계를구축하는데있다." 며 "최근관리체계, ISO등의인증이강화되는추세로정보보호체계구축에관심이높아지고있으며, 이번문체부사업수주를계기로 SWS를통한정보보호체계구축관련프로젝트추진시적극적으로참여하겠다."고말했다.
06 제품의인증및 구축사례
SecureWorkSystem은 여러 관공서에서 사용하고 있습니다.
한국인터넷진흥원, 문화체육관광부, 기획재정부, 에너지 관리공단에서는 SWS를 사용하여 관리체계를 구축하고 있습니다.
KISA납품 보도 문화체육관광부납품보도
