| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 웹 개발
- union sql injection
- CTF
- 게시판 만들기
- php
- 뇌피셜
- Los
- file upload
- 웹 해킹
- 모의해킹
- sql injection
- 로그인페이지
- csrf
- 보고서
- Error based sql injection
- sql injection point
- lord of sql injection
- 웹개발
- 보안 패치
- ISMS-P
- FridaLab
- ISMS
- blind sql injection
- XSS
- cookie 탈취
- 세션
- MySQL
- JS
- 증적 사진
- 문제 풀이
- Today
- Total
Backouts_ Logbook
[ISMS 1영역] 관리체계 수립 및 운영에 대한 정리 본문
서론
이 글은 학습과정에서 이해한 내용에 대한 개인적인 이해입니다.
ISMS - P는 크게 3가지의 영역으로 나뉜다. (2023 ISMS - P 안내서 기준)
그중 1 영역은 관리체계 수립 및 운영으로
1.1 관리체계 기반 마련
1.2 위험관리
1.3 관리체계 운영
1.4 관리체계 점검 및 개선
으로 세부 영역이 나뉜다.
1.1 관리체계 기반 마련이란
회사 내부의 정책과 운영 전반에 대한 보안 관리 체계를 의미한다고 이해했다.
- 경영진은 보안 관련 회의에 직접 참여해야 하며,
해당 회의는 회의록 등 기록으로 남아야 한다. - 보안에 대한 최고책임자를 지정해야 하며,
이 책임자는 사고 발생 시 인사·행위 등에 대한 결정 권한을 가져야 한다. - 보안을 전담하는 조직이 필요하고,
각 운영 부서별로 보안 담당 인원이 존재해야 한다고 이해했다. - 보안의 범위를 명확히 지정해야 하며,
핵심 서비스뿐 아니라 핵심 서비스와 연관된 시스템까지 포함해야 한다. - 지정된 범위를 기준으로 관리 정책을 수립하고,
해당 정책을 수행하기 위한 인력과 예산을 할당해야 한다.
1.2 위험 관리란
우선 위험(Risk)은 세 가지 요소로 구성된다고 이해했다.
자산, 취약점, 위협이다.
- 자산은 보호해야 할 대상이고,
- 취약점은 자산이 가지고 있는 약점이며,
- 위협은 그 약점을 공격할 수 있는 상황이나 행위를 의미한다.
ISMS-P에서는 이러한 위험을 다음과 같은 절차로 관리하도록 설명하고 있다.
정보자산 식별
핵심 서비스와 그와 연관된 개인정보 등을 식별해야 하며,
단순한 시스템 기준이 아니라 행위 기반으로 분류해야 한다고 이해했다.
현황 및 흐름 분석
개인정보가 어디서 수집되고, 어디에 저장되며,
누구에게 제공되는지 그 흐름을 분석한다.
시스템 간 데이터 흐름 역시 함께 분석해야 한다.
위험 평가
각 자산에서 사고가 발생했을 때
회사에 미치는 영향도를 기준으로 위험도를 산정한다.
보호대책 선정
자산별 사고 발생 가능성과 영향도를 고려하여
위험에 대한 대응 방안을 선택한다.
(회피, 감소, 이전, 수용)
보호대책의 종류
회피
회피는 사고가 발생할 경우 해당 서비스를 중단하거나 변경하여,
사고 자체가 발생하지 않도록 하는 방식이라 이해했다.
감소
감소는 사고 발생 가능성을 낮추거나,
사고 발생 시 피해를 최소화하기 위한 보완 대책을 적용하는 것이라 이해했다.
이전
이전은 사고가 발생할 수 있는 자산이나 책임을
외주나 외부 서비스 등으로 이전하는 방식으로,
사고에 대한 책임을 외부로 이전하는 것이라 이해했다.
수용
수용은 사고 발생 가능성과 영향을 감안했을 때
감내 가능한 수준이라 판단하여 위험을 받아들이는 것으로,
중요하지 않은 자산이거나 특별한 사유가 있는 경우에 한해 가능하다고 이해했다.
1.3 관리체계 운영이란
관리체계 운영이란,
앞선 과정을 통해 마련된 정책을 토대로
실질적인 보호대책을 구현하고, 이를 지속적으로 운영·관리하는 부분을 의미한다고 이해했다.
이 부분을 보면서 ISMS는 단기적인 보안 조치보다는,
장기적으로 운영 가능한 보안 구조를 갖추고 있는지를
점검하는 항목이라는 생각이 들었다.
실제로 ISMS 인증을 받기 위해서는
수립한 정책을 어떻게 구현했는지,
현재 운영 중인지,
그리고 해당 보호대책을 어떻게 관리하고 있는지에 대해
보고서 등 기록으로 남겨야 한다고 느꼈다.
또한 각 보호대책과 운영에 대한
책임 소재 역시 명확해야 한다고 이해했다.
1.4 관리체계 점검 및 개선
이 부분에서 나는 관리체계는 한 번 만들고 운영한다고 해서 끝나는 것이 아니라고 이해했다.
법과 제도는 변경되거나 새롭게 생기기도 하기 때문에,
주기적으로 법적 요구사항을 검토해야 하며
그에 따라 기존 관리체계를 점검하고 개선해야 한다.
또한 관리체계의 변경 사항에 대해서는
직원들에게 교육 및 안내가 이루어져야 하며,
이때 교육 대상에는 정보자산에 접근이 가능한
외부 인력(청소 인력, 외주 업체 등)도 포함된다고 생각했다.
마지막으로 관리체계가 실제로 제대로 실행되고 있는지를 확인하기 위해
주기적인 내부 감사를 실시해야 하며,
내부 감사 결과와 그에 따른 조치 사항 역시
기록으로 남겨두어야 한다고 이해했다.
후기
ISMS의 1영역인 관리체계 수립 및 운영에 대해 공부한 내용을 정리해보았다.
공부하면서 나온 자세한 단어들(ex 위험분석 보고서, 자산실사 내역 등)과 같은 어려운 단어들은 제외하고
기본적으로 ISMS의 의도가 무엇인지,
1영역은 어떤 목적과 순서로 만들어졌는지를 파악하려 애쓰며 공부했다.
틀린 내용도 있을 수 있으니 나중에 검토가 필요한 내용
'로그북 > 뇌피셜' 카테고리의 다른 글
| VM 구조에 대한 이해 (0) | 2026.01.15 |
|---|---|
| [ISMS 2영역] 보호대책 요구사항에 대한 정리 2 (0) | 2026.01.10 |
| [ISMS 2영역] 보호대책 요구사항에 대한 정리 1 (0) | 2026.01.09 |
| 카데고리 설명 (0) | 2026.01.08 |