SK커뮤니케이션즈 보안컨설팅 추가 제안 사항

Size: px

Start display at page:

Download "SK커뮤니케이션즈 보안컨설팅 추가 제안 사항"

지혜 비
5 years ago
Views:

1 daum.net 정보보호관리체계 다음커뮤니케이션 박나룡

2 목차 Daum.net 현황 KISA-ISMS필요성 준비단계 심사진행 심사결과 ISMS인증효과

3 Company Overview

4 서비스내용 130 여서비스

5 지표로보는 Daum 다음가입자 (Registered User) : 3,800 만 다음전체 (4 개부문포함 ) 등록가입자 : 6,100 만 H/W 는? 직원수? 월평균 PV : 240억일평균 UV : 1,100만일평균 PV : 8억3천만일평균 Log-in 수 : 2,000만일일 Log-in 유저 : 800만하루 300만 UCC 생성 월 400 만건커머스 / 금융트랜젝션 < >

대외적필요성 정보보호관리체계인증획득을통한지속적인정보보호활동시행 경영층의정보보호요구사항반영 정보시스템의효율적인보호대책수립 장애및사고처리프로세스의정립 관련법규충족및감독기관신뢰성제공 경영환경의변화 정보시스템의중요성증가 대외신뢰도저하 관련법규의강화 인터넷환경에따른새로운패러다임형성 E-Business 활성화 지식경영조류의확산 CRM EIP/EKP SCM

6 대외적필요성 정보보호관리체계인증획득을통한지속적인정보보호활동시행 경영층의정보보호요구사항반영 정보시스템의효율적인보호대책수립 장애및사고처리프로세스의정립 관련법규충족및감독기관신뢰성제공 경영환경의변화 정보시스템의중요성증가 대외신뢰도저하 관련법규의강화 인터넷환경에따른새로운패러다임형성 E-Business 활성화 지식경영조류의확산 CRM EIP/EKP SCM 정보시스템에대한비즈니스의존도증가 시간과공간제약이없는실시간업무처리필요 정보시스템손상시비즈니스프로세스마비 내부직원에의한고객정보유출및보안사고증가 외부자에의한전자적침해행위의증가 금융감독원의전자금융업무감독규정 정보통신기반보호법의제정 통신비밀보호법제정 개인정보보호방침제정 정보보호인증제도 : 정보보호인증제도란공인된기관이정보자산의비밀성, 무결성, 가용성을실현하기위한절차와과정을체계적으로수립ㆍ문서화하고지속적으로관리ㆍ운영하기위한표준을제시하고표준의준수여부를심사하여인증을부여하는제도임

7 내부적필요성 모든매출이인프라를통해발생 대규모인프라사용 프로세스구축미비 정보보호에대한인식미비 담당자에대한정보보호인식개선필요 현재수준에대한객관적검증 크로스체크를통한수준평가 ( 아웃소싱등 ) 정보보호안전진단면제-ISMS최초인증시

8 인증범위 어느부분까지인증을받을것인가? [ 다음인터넷서비스인프라운영 ] - 인프라본부대한정보보호관리체계

9 진행개요 수행단계 관리 / 물리 / 기술적정보보호현황분석및인증기준대비 GAP 분석 수행대상 정보보호정책 / 지침 정보보호조직 정보보호감사 관리적 / 물리적자산 정보보호자산분류 정보보호교육 / 훈련 수행내용 업무현황및정보자원파악 주요서버, N/W 장비, 보안시스템취약성진단 어플리케이션취약성진단 모의해킹수행 ( 다양한침투시나리오기반 ) 취약성진단결과에의한위험평가및개선대책수립 관리 / 물리적보안취약점분석 인증기준통제사항대비 GAP 및위험분석 정보보호대책및마스터플랜수립 인증심사진행 중요정보자산 N/W 장비 ( 라우터, 스위치 ) 서버 보안시스템 (F/W, IDS 등 ) 어플리케이션 정보보호정책 / 지침수립 정보보호활동이력기록관리 단 / 중 / 장기적정보보호계획수립 인증심사진행담당자 인증준비를계획 인증후사후심사 인증심사사후심사계획수립등

10 ISMS 인증업무주요내용 단계절차주요내용 준비단계 심사단계 신청및접수인증심사계약문서심사기술심사 신청서류의접수및보완요청 인증심사계획의협의및통보 제출문서의검토및확인 세부심사방법및절차확인 네트워크및시스템취약점점검 심사기준에따른심사 (checklist) 취약점분석, 평가및위험분석의결과확인 관련기록및문서확인 보호대책수립및구현이행여부확인 현장이행점검및관계자면담 심사결과에대한확인

11 ISMS 인증업무주요내용 단계절차주요내용 심사보고서작성 심사결과보고서작성및제출 인증단계 인증위원회 심의 ᆞ 의결 심사결과의통보 인증위원회의심사결과검토 ᆞ 심의 인증결과통보 인증서교부 인증서유효기간 : 3 년 사후관리 단계 사후관리심사 재심사및 갱신심사 인증의유지상태주기적확인 : 매년 1 회 최초심사후인증범위등에변경이있는경우 유효기간만료시

12 일정계획 1. 기준이행및증적유지 기준번호기준명이행증적담당부서담당자준비방법주기 인증준비이행계획 AG02 MG03 MG04 MG05 MG08 MG09 DG02 일상감사결과 IT감사인홍길동신규발생사항에대한지속적인업데이트수시 IT내부감사보안정기감사계획 IT감사인홍길동신규수립년간보안정기감사결과 IT감사인홍길동신규수립년간 IT조직및직무보안담당직무기술서 IT기획부서홍길동년간기존기록유지관리보안업무분장표 IT기획부서홍길동년간인력채용, 전환배치및퇴직시점검표해당부서홍길동신규발생사항에대한지속적인업데이트수시 IT 인력관리 IT 교육관리 외주관리 사업연속성관리 개발방법론적용 업무인수인계서작성해당부서홍길동신규발생사항에대한지속적인업데이트수시퇴직자면담결과서주관부서홍길동신규발생사항에대한지속적인업데이트수시신상및근무경력신고서주관부서홍길동신규발생사항에대한지속적인업데이트수시 IT보안교육과정 IT보안통제담당홍길동기존기록유지년간보안교육계획 IT보안통제담당홍길동신규수립년간보안교육실적관리대장 IT보안통제담당홍길동교육후기록유지교육후외주인력보안서약서주관부서홍길동신규발생사항에대한지속적인업데이트수시외주인력접근권한요청서주관부서홍길동신규발생사항에대한지속적인업데이트수시 외주보안점검보고서주관부서홍길동신규발생사항에대한지속적인업데이트수시제3자인력채용, 전환배치및퇴직시점검표해당부서홍길동신규발생사항에대한지속적인업데이트수시재해복구조직도, 긴급연락망 ( 외부기관포함 ) 재해복구계획책임자홍길동변경사항발생시변경수시 재해복구절차서해당부서홍길동기존기록유지 - 재해시개인별책임및역할정의서재해복구계획책임자홍길동변경사항발생시변경수시 모의훈련계획서 ( 예산포함 ) 재해복구계획책임자홍길동기존기록유지년간훈련일지, 모의훈련결과서재해복구계획담당자홍길동기존기록유지년간 Illustrative 교재, 교육실적관리대장재해복구계획담당자홍길동기존기록유지년간전산센터보관및사본소산보관재해복구계획책임자홍길동기존기록유지 - 사용자인증설계서프로젝트팀홍길동기존기록유지수시로그온설계서프로젝트팀홍길동기존기록유지수시 접근통제설계서프로젝트팀홍길동기존기록유지수시감사추적설계서프로젝트팀홍길동기존기록유지수시암호화설계서프로젝트팀홍길동기존기록유지수시입력생성통제설계서프로젝트팀홍길동기존기록유지수시테스트데이터관리대장프로젝트관리자홍길동기존기록유지수시단위시험계획서 (case,input, 기대 output 등 ) 프로젝트관리자홍길동기존기록유지수시 1,11팀주무대리 ( 김종단위시험결과서프로젝트팀기존기록유지수시훈원성연 ) 2. 인증준비일정 Phase Task 수행주체 일정 (12 월 ) 비고 증적이행및유지기준이행및증적유지 홍길동 기준이행및증적유지참고 문서심사서류보완 홍길동 인증준비일정 문서심사보안교육 1차모의심사 2차모의심사 문서심사서류자료출력문서심사문서심사사후조치서버보안네트워크보안 BS7799 소개및인증준비 IT전략팀, IT인프라운영팀 CM, ATM 콜센터 IT전략팀, IT인프라운영팀 CM, ATM 콜센터 홍길동홍길동홍길동홍길동홍길동홍길동홍길동홍길동홍길동홍길동홍길동홍길동 Illustrative 경결함지적사항에대한사후조치 IT 교육관리기준에의한보안교육 IT 교육관리기준에의한보안교육 IT 교육관리기준에의한보안교육 IT 감사기준에의한보안감사병행 IT 감사기준에의한보안감사병행 IT 감사기준에의한보안감사병행 미비점보완 홍길동 심사자료준비 홍길동 본심사 본심사 홍길동 본심사후속조치 홍길동 경결함지적사항에대한사후조치

13 인증심사준비 - 문서화 정보보호관리체계를수립하기위하여아래와같이정보보호관리과정과세부통제사항에맞추어정보보에대한문서화가필수 사후관리 정보보호정책및조직수립 범위설정및정보자산식별 B. 세부통제사항 정보보호정책 정보보호조직 정보자산분류 정보보호교육및훈련 구현 A. 정보보호관리과정 위험관리 시스템외부자인적물리적암호개발보안보안보안통제보안 접근통제 운영관리 전자거래보안 보안사고관리 검토, 모니터링, 감사 업무연속성관리 C. 문서화요건 문서요건 / 문서의통제 / 운영기록의통제

14 정책및지침 공지 : 그룹웨어 -> 업무규정 CEO 승인 ( 주기 : Y) 최초제정 : 최신버젼 : 현재버젼 : 5.0

15 심사진행 정책, 지침서리뷰, 담당자인터뷰, 산출물, 근거리뷰 근거자료, 산출물관리 전자결재 ( 요청, 승인내역 ) 공지사항 시스템로그 화면캡쳐 출입자기록 진행 : 보안담당 2명.( 추가자료 -> 관련팀에요청 )

16 결함사항에대한조치 심사결과

17 심사후변화 기술적부분 취약성분석개선 탐지및대응체계개선 관리적부분 정보보호조직 인프라자산관리 임직원보안인식 물리적부분 외부인력통제및 IDC 운영장비체크 물리적통제프로세스업데이트 정보보호지침과 실무의일원화

18 전체시스템대상, 주기적인위험평가 / 분석 / 리포팅효과분석개선 취약성분석

19 탐지및대응체계 탐지접수및통보원인분석결과점검보고서 외부 침해사고탐지 담당자 침해사고탐지 침해사고확인 필요정보확인 결과보고서적용 SWAT 침해사고탐지 침해사고접수및통보 Remote 원인분석 결과점검 결과보고서작성 관련팀 침해사고탐지 Local 원인분석 필요시추가분석 추가분석실시 산출물 사고처리보고서

20 조직구성 - 참여인원 인사총괄본부장 CTO 등..

21 자산관리 - 인프라종합포탈 H/W 자산 문서자산 IP 관리 위치관리 성능관리...

22 임직원보안 주기적인전임직원보안교육 백신, 패치관리 : 자동업데이트솔루션운영 인쇄물보안적용 정기적보안감사활동 화면보호기설정 부팅패스워드설정 백신및패치상태 노트북도난방지장치지급

23 장비관리개선 Before After [ 결함 ] 전산기계실사용에대한 SLA 작성시부대설비관리부분을반드시명시해야함. 전산기계실사용에대한 SLA 작성및월간보고시부대설비관리부분에대한현황보고명시

24 출입시스템업데이트및출입통제관리강화 출입통제관리강화

25 ISMS 효과 대외경쟁력확보및안정적이고경쟁력있는 Business 영위 정보보호관리체계의확립 정보보호전담조직에의한정보보호활동의주관 지속적인정보보호관리체계수립, 시행, 감독및개선의프레임워크구축가능 정보보호를위한중장기적계획수립및이행 전임직원의정보보호활동생활화 임직원의능력및업무특성을고려한수준별정보보호활동가이드라인 지속적인정보보호교육및홍보활동 임직원의정보보호의식향상 정보보호관리체계인증획득 대고객및감독기관신뢰도향상 안정적인 E-Biz 사업의전개 KISA-ISMS 인증획득을통한회사이미지향상 대외비즈니스경쟁력강화 정보시스템의취약점제거및보완프로세스확립 효율적인장애및재난관리프로세스확립 정보시스템의가용성, 무결성확보 안정적인정보시스템의운영

26 Security is Process

27 정보보호활동

28 감사합니다. 정보보호우수사이트 Q & A : tree@daumcorp.com

벤처연구사업(전동휠체어) 평가

벤처연구사업(전동휠체어) 평가 정보보안 (Information Security) 정보보호관리체계 (ISMS) 2013. 8 표월성 passwd74@naver.com 010-4303-5006 Cherub.sungkyul.ac.kr < Agenda > Ⅰ. 정보보호관리체계개요 1.1 정보 (Information) 1.2 정보윤리와정보보호의필요성 1.3 정보보호 (Information Security)