아래 내용은 다음 사이트에서 가져온 글입니다.
출처 : https://www.facebook.com/Jeongboboan
=====================================================
컨설턴트가 알고 있어야 하는 법률
1. 정보통신 이용촉진 및 정보보호 등에 관한 법률/시행령/시행규칙
2. 개인정보 보호법/시행령/시행규칙
3. 부정경쟁방지 및 영업비밀에 관한 법률/시행령
4. 산업기술의 유출방지 및 보호에 관한 법률/시행령/시행규칙
5. 전자금융 거래법/시행령
6. 정보통신기반 보호법/시행령/시행규칙
7. 정보통신산업 진흥법
관련 법률은 www.law.go.kr에서 찾아보시면 됩니다.
==================================================
정보보호 컨설턴트가 되기 위해 관심을 가져야 할 부분
1. 회사의 조직체계 : 조직구성, 조직 R&R, 직무구분, 인사보안
2. 회사의 IT체계 : IT 거버넌스, IT 조직 및 R&R
3. 개발보안: SDLC의 보안, 개발언어 및 개발언어의 취약점 등
4. 물리보안: HVAC, 물리적 보안설비, 출입통제 등
5. 위험평가: 위험평가 방법론, 취약점 진단절차/체크리스트 등
6. 운영보안: 서버, 네트워크 장비 등의 운영절차 보안
7. 침해사고대응: 악성코드 등의 대응절차 등
8. 재해복구: 재해복구체계 구축방안 등
9. 법적요건: 정통망법, 개인정보보호법, 산기법 등
다양한 분야에 관심을 가지고 지식을 습득해야 지 특정 분야에만 편중해서 지식을 쌓는다면 편협한 지식으로 올바른 대책을 수립하기 어렵습니다.
==================================================
정보보호 컨설팅 수행절차
1. 환경분석 : 환경 및 자산 식별/중요도 평가
2. GAP분석(취약점 진단) :
- K-ISMS 통제항목, ISO27001 통제항목 등을 이용하여 현 조직의 GAP에 대한 분석
- 서버, 네트워크장비, 보안장비, DB 등에 대한 기술적 취약점진단
- 웹어플리케이션에 대한 모의해킹
3. 위험식별 및 평가
- GAP분석을 통해 도출된 자산와 취약점 진단 결과를 활용하여 조직이 직면한 위험 식별
- 식별된 위험이 조직에 미칠 수 있는 영향을 고려한 위험평가
4. 정보보호체계 수립
- 정보보호정책지침 수립 : 업무 수행 시 준수해야 할 보안 통제절차를 규정
- 마스터플랜 수립 : 중장기(3년)적으로 정보보호 수준의 지속적 제고를 위해 수행해야 하는 활동
통상적으로 정보보호 관리체계 수립은 4단계로 걸쳐 실행이 되며 인증 획득이 필요한 경우 인증문서의 작성 등의 절차를 추가하게 됩니다.
조직은 각 조직이 처한 현실을 고려하여 4단계를 모두 수행할 수도 있고 기술적 취약점 진단, 모의해킹 등의 세부 모듈의 일부만 수행할 수도 있습니다.
다음에는 각 단계 별로 상세한 활동에 대해 알아보도록 하겠습니다.
댓글 없음:
댓글 쓰기