1. 위험을 보유한 대상
- 취약점 : 자산 내부에 있는 물리적 기술적 관리적 결점
- 위협 : 자산에 손실을 가하는 현실적 사건이나 행위
- 위험 : 위협에 의해 비정상적인 사건이 발생할 수 있는 가능성
- 자산 * 취약점 * 위협 = 위험
2. 통제 : 취약점을 억제하기 위한 일련의 제어
- 예방(FW), 탐지(IDS), 교정(IPS)
3. 위험관리
- 자산분석 > 위험 분석 > 취약점 분석 > 위험 평가 > 위험 처리
3-1) 위험분석
- 기준선 접근법(베이스라인) : 점검항목 기반(Checklist)
- 비정형 접근법 : 개인 전문성 및 주관
- 상세 위험분석 접근법 : 전수 조사, 과도한 비용
- 통합 접근법
3-2) 위험평가
정성적
- 델파이법 : 전문가
- 시나리오법 : 일정 조건 아래 발생가능성을 추정
- 순위결정법 : 위험 요인의 우선 순위
정량적
- 자산 가치(AV) * 노출 계수(EF) = 단일 손실 예상액(SLE)
- 연간 발생률(ARO)
- 단일 손실 예상액(SLE) * 연간 발생률(ARO) = 연간 손실 예상액(ALE)
4. 위험 처리 종류
- 수용
- 회피 : 위험이 있는 사업을 포기
- 감소 : 솔루션 도입(FW설치, 경비원 고용등)
- 전이 : 제3자 전가
5. 재난복구 서비스 종류
- 미러(A/A) > 핫(A/S) > 웜(중요정보 부분보유) > 콜드
6. 포렌식
- 무결성의 원칙 : 수집한 증거는 위변조가 없어야 한다. (증거분석 시 원본자료로 분석하지 않음)
7. 개인정보 보호법
개인정보의 수집 이용 동의(제15조)
- 개인 정보의 수집 이용 목적
- 수집하는 개인 정보의 항목
- 개인 정보의 보유 이용 기간
- 동의를 거부할 권리가 있다는 사실
- 동의 거부에 따라 불이익이 있는 경우 그 불이익 내용
CCTV의 안내판 설치(제25조)
- 설치 목적 장소
- 촬영 범위 시간
- 관리 책임자의 성명 연락처
개인정보 처리방침 포함내용(제30조)
- 개인정보 처리 및 보유기간
- 제3자 제공에 관한 사항
- 개인정보 보호책임자 및 조직정보
개인정보보호 책임자의 지정(제31조)
- 임원이 수행함이 원칙(대표자등)
- 임원이 없을 시 부서장이나 CISO
개인정보 영향 평가(제33조)
- 처리하는 개인 정보의 수
- 개인 정보의 제3자 제공 여부
- 정보 주체의 권리를 침해할 가능성 위험 정도
8. ISMS-P 위험관리 5단계
- 정책 수립 및 범위 설정
- 경영진 책임 및 조직 구성
- 위험 관리
- 정보보호 대책 수립
- 사후관리
9. 정보제공의 의무를 가지지 않은 자
- 정보보안 전문서비스 기업(X)
- 백신SW 제조사(O)
- 직접 주요 정보통신기반시설(O)
'중앙도서관 > 정보보안' 카테고리의 다른 글
| [정보보안기사] 3. 시스템 보안 (0) | 2020.07.27 |
|---|---|
| [정보보안기사] 2. 정보보안 일반 (0) | 2020.06.18 |
| [Anti-Virus] Symantec Endpoint Protection - ADC Lab (0) | 2020.05.27 |
| [Anti-Virus] Symantec Endpoint Protection - FW / ADC / Host Integrity (0) | 2020.05.22 |
| [Anti-Virus] Symantec Endpoint Protection - Virus & Spyware (0) | 2020.05.22 |
