Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
daum.net 정보보호관리체계
㈜다음커뮤니케이션
박나룡
목차
Daum.net 현황
KISA-ISMS필요성
준비단계
심사진행
심사결과
ISMS인증 효과
Company Overview
서비스 내용 – 130여 서비스
다음 가입자(Registered User) : 3,800만
다음 전체 (4개 부문 포함) 등록 가입자 : 6,100만
월평균 PV : 240억
일평균 UV : 1,100만
일평균 PV : 8억3천만
일평균 Log-in 수 : 2,000만
일일 Log-in 유저 : 800만
하루 300만 UCC 생성
월 400만 건 커머스/금융 트랜젝션
<2006. 3>
지표로 보는 Daum
H/W H/W 는는??
직원수직원수 ??
대외 신뢰도저하경영환경의 변화 관련법규의 강화
•인터넷 환경에 따른
새로운 패러다임 형성
•E-Business 활성화•지식 경영 조류의 확산
•CRM•EIP/EKP•SCM
•내부직원에 의한
고객정보유출 및
보안사고 증가
•외부자에 의한 전자적
침해 행위의 증가
•정보시스템에 대한
비즈니스 의존도 증가
•시간과 공간 제약이 없는
실시간 업무 처리 필요
•정보 시스템 손상시
비즈니스 프로세스 마비
•금융감독원의
전자금융업무 감독 규정
•정보통신 기반 보호법의
제정
•통신비밀보호법 제정
•개인정보보호방침 제정
정보시스템의효율적인 보호
대책 수립
관련법규 충족및 감독기관신뢰성 제공
장애 및 사고처리프로세스의 정립
정보보호관리체계 인증획득을 통한
지속적인 정보보호 활동 시행
경영층의 정보보호요구사항 반영
정보시스템의중요성 증가
※ 정보보호 인증 제도 : 정보보호 인증 제도란 공인된 기관이 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을체계적으로 수립ㆍ문서화하고 지속적으로 관리ㆍ운영하기 위한 표준을 제시하고 표준의 준수 여부를 심사하여 인증을 부여하는제도임
대외적 필요성
내부적 필요성
모든 매출이 인프라를 통해 발생
대규모 인프라 사용
– 프로세스 구축 미비
– 정보보호에 대한 인식 미비
담당자에 대한 정보보호 인식 개선 필요
현재 수준에 대한 객관적 검증
– 크로스 체크를 통한 수준 평가(아웃소싱등)
정보보호안전진단 면제-ISMS최초 인증시
인증범위
어느 부분까지 인증을 받을 것인가?
[다음 인터넷 서비스 인프라 운영]
- 인프라본부 대한 정보보호 관리체계
수행 단계 수행 내용
관리/물리/기술적
정보보호 현황 분석
및 인증기준대비 GAP분석
정보보호대책 및마스터플랜 수립
정보보호 정책/지침 수립
정보보호 활동 이력 기록관리
단/중/장기적 정보보호 계획 수립
업무현황 및 정보자원 파악
주요 서버, N/W 장비, 보안시스템 취약성 진단
어플리케이션 취약성 진단
모의해킹 수행 (다양한 침투 시나리오 기반)
취약성 진단 결과에 의한 위험평가 및 개선대책 수립
관리/물리적 보안 취약점 분석
인증기준 통제사항 대비 GAP 및 위험분석
인증 심사 진행인증심사 진행 담당자인증 준비를 계획
수행 대상
관리적/물리적 자산
• 정보보호 정책/지침
• 정보보호 조직
• 정보보호 감사
중요 정보 자산
• N/W 장비(라우터, 스위치)• 서버• 보안시스템(F/W, IDS 등)• 어플리케이션
• 정보보호 자산분류• 정보보호 교육/훈련
인증 후 사후심사 인증심사 사후 심사 계획 수립등
진행 개요
ISMS인증업무 주요내용
단 계 절 차 주 요 내 용
신청 및 접수 신청서류의 접수 및 보완요청준비단계
인증심사 계약 인증심사 계획의 협의 및 통보
문서심사 제출문서의 검토 및 확인
심사단계
세부심사방법 및 절차 확인
네트워크 및 시스템 취약점 점검
심사기준에 따른 심사(checklist)
취약점 분석, 평가 및 위험분석의 결과 확인
관련기록 및 문서확인
보호대책 수립 및 구현 이행여부 확인
현장이행 점검 및 관계자 면담
기술심사
심사결과에 대한 확인
ISMS인증업무 주요내용
단 계 절 차 주 요 내 용
심사보고서 작성 심사결과보고서 작성 및 제출
인증서 교부
사후관리심사 인증의 유지상태 주기적 확인 : 매년 1회
인증위원회
심의ᆞ의결인증위원회의 심사결과 검토ᆞ심의
인증단계
심사결과의 통보 인증결과 통보
사후관리
단계
인증서 유효기간 : 3년
재심사 및
갱신심사
최초심사 후 인증범위 등에 변경이 있는 경우
유효기간 만료시
기준번호 기준명 이행증적 담당부서 담당자 주기
일상감사 결과 IT감사인 홍길동 수시
보안정기감사 계획 IT감사인 홍길동 년간
보안정기감사 결과 IT감사인 홍길동 년간
보안담당 직무기술서 IT기획부서 홍길동 년간
보안업무분장표 IT기획부서 홍길동 년간
인력채용, 전환배치 및 퇴직시 점검표 해당부서 홍길동 수시
업무인수인계서 작성 해당부서 홍길동 수시
퇴직자 면담 결과서 주관부서 홍길동 수시
신상 및 근무경력 신고서 주관부서 홍길동 수시
IT보안교육과정 IT보안통제담당 홍길동 년간
보안교육계획 IT보안통제담당 홍길동 년간
보안교육실적관리대장 IT보안통제담당 홍길동 교육후
외주인력 보안서약서 주관부서 홍길동 수시
외주인력 접근권한요청서 주관부서 홍길동 수시
외주 보안점검 보고서 주관부서 홍길동 수시
제3자 인력채용, 전환배치 및 퇴직시 점검표 해당부서 홍길동 수시
재해복구 조직도, 긴급연락망(외부기관 포함) 재해복구계획책임자 홍길동 수시
재해복구절차서 해당부서 홍길동 -
재해시 개인별 책임 및 역할 정의서 재해복구계획 책임자 홍길동 수시
모의훈련계획서(예산포함) 재해복구계획 책임자 홍길동 년간
훈련일지, 모의훈련결과서 재해복구계획 담당자 홍길동 년간
교재, 교육실적관리대장 재해복구계획 담당자 홍길동 년간
전산센터 보관 및 사본 소산 보관 재해복구계획 책임자 홍길동 -
사용자 인증 설계서 프로젝트팀 홍길동 수시
로그온 설계서 프로젝트팀 홍길동 수시
접근통제 설계서 프로젝트팀 홍길동 수시
감사추적 설계서 프로젝트팀 홍길동 수시
암호화 설계서 프로젝트팀 홍길동 수시
입력생성통제 설계서 프로젝트팀 홍길동 수시
테스트데이터 관리 대장 프로젝트관리자 홍길동 수시
단위시험계획서(case,input,기대 output 등) 프로젝트관리자 홍길동 수시
단위시험결과서 프로젝트팀1,11팀 주무대리(김종훈 원성연)
수시기존기록유지
신규 발생 사항에 대한 지속적인 업데이트
신규 발생 사항에 대한 지속적인 업데이트
변경 사항발생시 변경
기존기록유지
기존기록유지
기존기록유지
기존기록유지
신규수립
교육후기록유지
신규 발생 사항에 대한 지속적인 업데이트
신규 발생 사항에 대한 지속적인 업데이트
신규 발생 사항에 대한 지속적인 업데이트
신규 발생 사항에 대한 지속적인 업데이트
신규 발생 사항에 대한 지속적인 업데이트
기존기록유지
기존 기록 유지
준비 방법
1. 기준이행 및 증적 유지
신규 발생 사항에 대한 지속적인 업데이트
MG03IT조직 및 직무
관리
MG04 IT인력관리
신규 발생 사항에 대한 지속적인 업데이트
IT내부감사
기존기록유지
기존기록유지
기존기록유지
변경 사항발생시 변경
기존기록유지
기존기록유지
기존기록유지
기존기록유지
기존기록유지
기존기록유지
외주관리
사업연속성관리
MG09
개발방법론 적용
DG02
AG02 신규수립
신규수립
MG05 IT교육관리
MG08
Illustra
tive
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
본심사
본심사 후속 조치 홍길동 경결함 지적사항에
대한 사후조치
본심사 홍길동
미비점 보완 홍길동
심사 자료 준비 홍길동
2차 모의심사
IT전략팀, IT인프라운영팀 홍길동
CM, ATM 홍길동
콜센터 홍길동
IT 감사기준에 의한보안감사 병행
IT 감사기준에 의한보안감사 병행
2. 인증 준비 일정
비고
보안교육
1차 모의심사
IT 교육관리기준에 의한보안교육
IT 교육관리기준에 의한보안교육
IT 감사기준에 의한보안감사 병행
경결함 지적사항에대한 사후조치
IT 교육관리기준에 의한보안교육
콜센터 홍길동
홍길동
문서심사 사후 조치 홍길동
문서심사 홍길동
BS7799 소개 및 인증준비 홍길동
서버보안 홍길동
네트워크보안
IT전략팀, IT인프라운영팀 홍길동
CM, ATM 홍길동
문서심사서류 자료 출력 홍길동
문서심사서류 보완 홍길동
기준이행및 증적유지 참고
Phase Task 수행 주체일정(12월)
증적이행 및 유지 기준 이행 및 증적유지 홍길동
문서심사
Illustra
tive
인증 준비이행 계획
인증 준비이행 계획
인증 준비일정
인증 준비일정
일정 계획
인증심사 준비-문서화
정보보호 정책 및조직 수립
위험관리
범위설정 및정보자산 식별
사후관리
구현
A. 정보보호관리과정
B. 세부통제사항
C. 문서화 요건 • 문서요건 / 문서의 통제 / 운영기록의 통제
정보보호정책정보보호정책
정보보호조직정보보호조직
외부자보안
외부자보안
업무 연속성 관리업무 연속성 관리
정보자산분류정보자산분류
정보보호 교육 및 훈련정보보호 교육 및 훈련
인적보안
인적보안
물리적보안
물리적보안
시스템개발보안
시스템개발보안
암호통제
암호통제
접근통제
접근통제
운영관리
운영관리
전자거래보안
전자거래보안
보안사고관리
보안사고관리
검토,모니터링,감사
검토,모니터링,감사
정보보호 관리체계를 수립하기 위하여 아래와 같이 정보보호관리과정과
세부통제사항에 맞추어 정보보에 대한 문서화가 필수
CEO 승인(주기 : Y)최초제정 : 2002.8최신버젼 : 2006.4현재버젼 : 5.0
정책 및 지침
공지공지::그룹웨어그룹웨어 --> > 업무규정업무규정
심사 진행
정책,지침서 리뷰, 담당자 인터뷰, 산출물,근거 리뷰
근거자료, 산출물 관리
– 전자결재(요청,승인내역)
– 공지사항
– 시스템 로그
– 화면 캡쳐
– 출입자 기록
진행 : 보안담당 2명.(추가자료 -> 관련팀에 요청)
심사 결과
결함결함 사항에사항에 대한대한 조치조치
심사 후 변화
기술적 부분
– 취약성 분석 개선
– 탐지 및 대응체계 개선
관리적 부분
– 정보보호 조직
– 인프라 자산 관리
– 임직원 보안 인식
물리적 부분
– 외부인력 통제 및 IDC 운영장비 체크
– 물리적 통제 프로세스 업데이트
정보보호지침과정보보호지침과
실무의실무의 일원화일원화
전체 시스템 대상, 주기적인 위험 평가/분석/리포팅 효과 분석 개선
취약성 분석
탐지 및 대응 체계
침해사고탐지
탐지 접수 및 통보 원인분석 결과 점검 보고서
침해사고탐지
SWAT
담당자
외부침해사고
탐지
원인분석Remote
원인분석
결과 보고서작성
결과 점검
관련팀
결과 보고서적용
침해사고탐지
추가 분석실시
필요 시추가 분석
침해사고접수 및 통보
필요정보확인
사고처리보고서산출물산출물
침해사고확인
Local
조직 구성
-참여 인원 –
인사총괄본부장CTO 등..
자산관리-인프라 종합 포탈
H/WH/W자산자산
문서문서 자산자산
IPIP관리관리
위치관리위치관리
성능관리성능관리
..
..
..
주기적인 전 임직원 보안 교육
백신,패치 관리 : 자동 업데이트 솔루션 운영
인쇄물 보안 적용
정기적 보안감사 활동– 화면보호기 설정
– 부팅 패스워드 설정
– 백신 및 패치 상태
노트북 도난 방지 장치 지급
임직원 보안
장비 관리 개선
Before
– [결함]전산기계실 사용에대한 SLA 작성시 부대설비 관리 부분을 반드시 명시 해야 함.
After
– 전산기계실 사용에 대한SLA 작성 및 월간보고시부대설비 관리 부분에 대한 현황 보고 명시
출입 통제 관리 강화
출입출입 시스템시스템 업데이트업데이트 및및 출입출입 통제통제 관리관리 강화강화
정보보호 관리 체계의 확립정보보호 관리 체계의 확립
안정적인 정보시스템의 운영안정적인 정보시스템의 운영임직원의 정보보호 의식 향상임직원의 정보보호 의식 향상
대고객 및 감독기관 신뢰도 향상대고객 및 감독기관 신뢰도 향상
정보보호관리체계인증 획득
정보시스템의 취약점 제거 및 보완 프로세스
확립
효율적인 장애 및 재난 관리 프로세스 확립
정보시스템의 가용성, 무결성 확보
전 임직원의 정보보호 활동 생활화
임직원의 능력 및 업무 특성을 고려한 수준별
정보보호 활동 가이드라인
지속적인 정보보호 교육 및 홍보 활동
정보보호 전담 조직에 의한 정보보호 활동의
주관
지속적인 정보보호 관리 체계 수립, 시행, 감독
및 개선의 프레임워크 구축 가능
정보보호를 위한 중장기적 계획 수립 및 이행
안정적인 E-Biz 사업의 전개
KISA-ISMS인증 획득을 통한 회사 이미지
향상
대외 비즈니스 경쟁력 강화
대외대외 경쟁력경쟁력 확보확보 및및안정적이고안정적이고 경쟁력경쟁력 있는있는 Business Business 영위영위
ISMS효과
Security is Process
정보보호 활동