Seolyeon’s Study Blog
ISMS인증을 위한 기업 환경 분석: 항공사 환경 분석과 모의 컨설팅(1)- 프로젝트 수행 계획서(1)_개인적으로 작성 본문
ISMS-P 프로젝트
ISMS인증을 위한 기업 환경 분석: 항공사 환경 분석과 모의 컨설팅(1)- 프로젝트 수행 계획서(1)_개인적으로 작성
seolyeon 2023. 9. 25. 16:53프로젝트 수행 계획서
정보보호컨설팅 1팀_송설연
1. 프로젝트 팀 구성원 지정
2. 관리체계의 범위 설정
| <범위 정의서> |
1. 서비스 현황 - 인증 희망 이유 (최고 경영층이 지향하는 정보보호 목표 및 목적 파악) - 인증심사 담당자 현황 - 현재 제공 중인 전체 서비스(사업) 2. 사업(서비스)내용 (인증 받고자 하는 서비스 현황) - 서비스 명 - 서비스 설명 - 인증범위 내 중요 정보 3. 조직 구조 - 인력 현황(전체 인력 및 인증범위 내 인력) - 전체 조직도 - 인증범위 서비스 외의 다른 시스템, 조직, 제3자와의 관계 및 외부 위탁 업무 현황 4. 물리적 위치 - 인증범위 내 사업장의 위치 5. 인증범위 내 정보자산 및 기술 요소 - 정보 시스템 및 네트워크 구성도(현황) - 시스템 운영 장소 |
3. 정보 자산 식별 및 분류
| 정보유형 | 설명 | |
| 전자정보/데이터 | 전산화된 정보 (문서파일, 데이터 파일 등) | |
하드웨어 |
서버 | 서비스를 제공하는 시스템(라우터, 스위치, 허브 등) |
| 네트워크 | 서비스 업무를 위한 네트워크 장비 (PC, 네트워크 장비, 저장 장치 등) | |
| 소프트웨어 | 소프트웨어 자산 (패키지 소프트웨어, 시스템 소프트웨어, 응용프로그램 등) | |
보안시스템 |
정보의 위조, 변조, 유출, 노출 등을 방지하지 위한 시스템 (침입차단시스템, 침입방지시스템, 개인정보유출방지시스템, 방화벽 등) |
|
| 시설 | 물리적 시설 (사무실, 데이터 센터 등) | |
| 인력 | 정보시스템 관련 인력 (소유자, 운영자, 개발자 등) | |
▶ 위와 같이 유형별로 분류하거나 등급별로 분류 (기밀정보자산, 비밀정보자산, 대외비 등 보안성 요구 정보에 따라 분류)
4. 정보자산 목록 작성 및 보안 등급 산정
<예시>
| NO | 자산번호 | 구분 | 자산명 | 용도 | OS | 응용 프로그램 |
IP | 위치 | 소 유 자 |
관 리 자 |
자산 가치 | 등급 | ||
| C | I | A | ||||||||||||
1 |
SV-00-02 | 서버 | DB 서버1 |
데이터 베이스 |
Window23 | MS-SQL | 192. x.x.x |
서버실 | OOO 부장 |
OOO 팀장 |
3 | 3 | 3 | 상 |
5. 정보 자산 평가
- 자산 가치
| 유형 | 내용 | 평가기준 | |
| 기밀성 | 접근이 인가된 자만이 해당 정보에 접근할 수 있다는 것을 보장하는 것 |
상(3) | 조직 내부에서도 특별히 허가를 받은 사람들 만이 볼 수 있어야 하며, 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준 |
| 중(2) | 조직 내부에서는 공개될 수 있으나 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 상당한 문제를 발생시킬 수 있는 수준 |
||
| 하(1) | 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이 미미한 수준 |
||
| 무결성 | 정보 및 처리방법의 정확성과 완전성을 보장하는 것 |
상(3) | 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준 |
| 중(2) | 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 상당한 문제를 발생시킬 수 있는 수준 |
||
| 하(1) | 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 미치는 영향이 미미한 수준 |
||
| 가용성 | 인가된 사용자가 필요 시 정보 및 관련 자산에 접근할 수 있도록 보장하는 것 | 상(3) | 핵심 정보 서비스 중단 및 개인정보의 상당한 노출, 경제적 손실이 매우 치명적인 수준 |
| 중(2) | 핵심 정보 서비스 중단 및 개인정보의 상당한 노출, 경제적 손실이 일부 치명적인 수준 |
||
| 하(1) | 핵심 정보 서비스 중단 및 개인정보의 상당한 노출, 경제적 손실이 경미한 수준 |
||
- 보안 등급 = C + I + A
| 보안 등급 | 자산 가치 합계 |
| 상 | 7~9 |
| 중 | 4~6 |
| 하 | 1~3 |
6. 현황 분석(GAP분석)
- 현황분석 질의서 작성 ISMS-P 통제항목 사용(Y, N, P, N/A 중 하나로 평가, N/A는 이유 작성)
- P (부분이행- 정책은 있지만 이행하지 않은 경우)
- 모의 항공기업의 환경 분석에 따른 취약점 진단
- 통제항목에 따른 조치 사항 도출
- 관리적, 물리적, 기술적 영역에서 N 또는 P로 평가되었다면 개선안 도출
Ex) 물리적 영역에서 출입 관리 대장 작성, 서버 관련 OS별 체크리스트 활용 개선 등
7. 위험 평가
- 현황분석(GAP분석)을 통해 정보자산이 갖고 있는 위협 및 취약성 정의 및 리스트 작성
- 각각의 자산, 그 가치 및 관련 취약점에 대한 관련 위협요소 열거
- 정보자산별로 가치를 평가. 이는 CIA가 침해된 경우의 영향과 피해 정도를 분석
<예시>
| 구분 | 대분류 | 중분류 | 위협, 취약성 | 요소 | ||
| 전자정보 | 어플리케이션 내 정보 |
업무시스템 | 퇴직자의 권한 즉시 제거 등 관리 절차 부재 혹은 미흡 |
C | I | A |
- 관리체계 통제항목으로 관리, 물리, 기술적 위험 식별
- 위험관리 방법 선정: 베이스라인 접근법 (아마 이걸로 진행?): 정보자산을 개별적으로 분석하는 것이 아니라 어떤 보호대책을 채택하여 모든 시스템에 적용하는 방법, 체크리스트 활용 (시간, 노력 적게 듦)
- 정보자산의 CIA가 상실되었을 때 미치는 영향을 고려하여 가치 평가
- 위협식별: 자산에 대하여 발생 or 발생할 가능성이 있는 위협 조사+유형에 따라 분류
- 위협평가: 식별된 정보자산에 대한 위협 식별 후 위협에 의한 영향+발생주기 or 가능성 평가
- 취약점 식별: 자산에 영향을 주거나 줄 수 있는 취약점을 찾아내고 정도를 평가
- 위험평가: 위협 및 취약점(우려사항)으로부터 발생될 수 있는 위험들의 위험도를 측정하여(정성적 위험평가 기준) 위험도의 합계를 측정 (위협등급(0~3)+취약점등급(0~3)+C(IA)가 상실되었을 때 미치는 영향(0~3)을 모두 더해 0~9사이의 값으로 측정하고, CIA 각각의 위험도를 합하여 0~27 사이의 값으로 위험 평가)
- 위험 규모에 따른 우선순위 결정(어떤 위험부터 대응할 것인지)
8. 대응 수립
- 위험수준결정(DoA: 어느 정도의 위험이 수용 가능한가) ex. “0~27 중 9이상의 위험도 산정을 받은 자산만 정보보호대책을 강구할 것이다”
- 감수해야 할 위험에 대한 위험 처리: 위험 수용, 위험 감소, 위험 회피, 위험 전가
- 정보보호대책 선정
- 위험의 크기에 따라 통제사항의 대책 강도가 달라짐
- 정보보호대책 구현의 우선순위를 정한 후 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호대책 이행계획을 수립하고 최고책임자 or 경영진의 승인