ADD A TITLE SLIDE

Transcription

1 ESMP Suite Enterprise Security Management Platform 제조사 : 통합보안관리플랫폼 판매사 :

2 0 보안포털 I Why What How I IV - ESMP Suite 특장점기대효과별첨 1. 컴플라이언스관리시스템 2. 자산위험관리시스템 3. 개인정보관리시스템 4. 개인보안지수시스템 5. 보안성검토시스템

3 ? Questions 보안플랫폼정의와필요기능 조직내의임직원에게보안과관련된업무나정보를쉽게제공하고 보안담당자들에게는모든보안업무를빠트리거나중복됨없이통합처리가능하고 관리포인트를한곳으로집중시켜업무효율성과효과성을높여주는시스템 정보보호관리체계의프로세스를기반으로보안업무를자동화하여운영할수있는솔루션 법규관리, 위험관리, 보안수준관리, 개인정보관리, 내부임직원통제, 감사기능, 보안성검토기능, 인식제고관련기능 Top-down 형식의업무협업기능 Bottom-up 형식의데이터입력및수집기능 C-level 관리자에게는대쉬보드형태의실시간보고기능필요 논리적인확장성 - 기능에대한확장성과로드맵필요 물리적인확장성 다른시스템과의연동으로각종업무의자동화및효율성측면 누가사용할것인가 - 조직의모든이해관계자들 무엇을볼것인가 - 조직내부의모든정보보호분야 어떠한관점에서볼것인가 - 정보보호관리체계 ( 보안거버넌스 ) 의관점 3 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

4 ! Answer 누가사용할것인가 조직의모든이해관계자들 조직의 R&R 에따라업무를진행하는모든임직원이각자의관점에서보안포털을사용 최고보안관리자 보안수준을전체적으로결정하고진행사항을실시간으로인지하고계십니까? - 정보보안관리체계확립과컴플라이언스준수와컨트롤타워 보안관리자 보안업무에대해계획대로관리하며적절하게보고하고하십니까? - 업무별담당자와세부업무지정관리의지속성, 실무적인유연한플랫폼과평가 보안담당자 중복적인부분을없애고자동으로업무를처리할수있는방법을찾고있나요? - 효율적효과적업무실행과현업부서와의협업 임직원들 운영실무자및개발자 보안이업무생산성을저해한다고생각하세요? 정보보호가생활화가되나요? - 실제적으로보안을실행해야하는대상들의인식제고점검과교육 각자의업무에보안프로세스가내재화되어서진행이용이한가? - 보안업무의편의성과쉬운가이드 협력업체직원 협력 ( 상주 ) 하고있는회사의보안정책을인지하고지키고있나요? - 보안정책에따라적절한보고와교육 4 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

5 ! Answer 무엇을볼것인가 조직내부의모든정보보호분야 여러보안분야에대한대책과솔루션들구축하면서 MECE (Mutually Exclusive and Collectively Exhaustive 중복과누락이없는 ) 를지향하여비용의중복이나업무의누락이없이관리 개인정보관리 정보자산관리 진단 / 감사 교육 비상계획 침해사고대응 인적관리 관리적보안 개인정보L/C 전사흐름관리 자산식별자산가치평가 취약점진단보안감사 교육계획수립교육수행 계획 / 대책수립대응조직구성 대응체계수립침해사고대응 임직원관리외주업체관리 실태점검 보안운영 정보자산평가 교육평가 모의훈련 보고체계구성 직무변경관리 인증 접근통제암호화해킹대응모니터링 악성코드 Network VoIP, 무선 F/W VPN 무선 IPS 네트워크접근제어 NMS IPS/Virus Wall (UTM) 기술적보안 System Application DB EAM( 통합인증관리 ) PMS 로그분석 EAM SecureOS 및시스템엑세스컨트롤 유해사이트차단 웹어플리케이션방화벽 OTP/Token SSL VPN 로그분석 소스코드분석및코드수정 DB 접근제어 VPN 무선 IPS DB 암호화 로그분석 ESM 자산관리시스템 스팸메일차단 컨텐츠필터링 이벤트모니터링 Anti-Virus Anti-Malware PC EAM( 통합인증관리 VPN 무선 IPS PC 방화벽, 네트워크접근제어 자산관리 안티키로깅 Anti-Virus 5 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

6 ! Answer 어떠한관점에서볼것인가 - 정보보호관리체계 ( 보안거버넌스 ) 의관점 지금까지많은기업들이기술적인보안의구축에힘을기울여왔지만그것들을어떻게운영할것인가에대한지침이나가이드를위해 컴플라이언스가대두되어전체적인정보보호관리체계의프로세스관점에서보안포탈을구성해야함 관리적보안 기술적보안 물리적보안 6 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

7 I Why What How 기업의고민보안담당자의고민기업보안현실과대안솔루션제안솔루션사상프레임워크

8 1. 기업의고민 I 외부적환경 : 보안사고및컴플라이언스관리 외부의사이버공격, 내부의개인정보유출과기술유출등현재모든기업과조직들이직면해있는많은보안위험속에서보안관리 자와담당자들은어떻게대응해야할것인가 사이버공격 ( 13 년 3 월 ) : 8600 억손해추정 기술의발전에따른다양한사이버공격증가 내부및외주인력에의한정보유출증가 개인정보유출 : 900 억손해추정 많은기업들의주요기술유출로인한피해 국가나관계사에서요구하는컴플라이언스 한수원등기술유출 : 2 조이상손해추정 정보보호관리체계구축과컴플라이언스대응 8 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

9 1. 기업의고민 I 내부적환경 : 내부통제및보안관리프로세스의문제점 전체정보유출사고의 90% 이상이내부직원에의한정보유출사고로보고되고있으며, 내부자사고는권한부여에의한정상적인업무수행중발생하는사고로관리적인보안의중요성이대두 100% 내부자정보유출사고 내부자정보유출사고증가및유출확산 내부직원에의한정보유출 92% 정보유출사고가기업에미치는영향확대 50% 충족시켜야할법적요구사항의강화 협력업체인력에의한보안사고증가 출처 : 중소기업기술정보진흥원조사 (2014) 정보보호정책수립및이행, 인식제고를통한전사적관점관리적보안필요 9 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

10 2. 보안담당자의고민 I 보안업무효율성과체계적인프로세스 상대적으로저평가된보안업무환경과과도한업무, 무거운책임등으로인해보안업무담당자의어려움이증가하고있음 50% 보안담당자의스트레스원인 다수의인증중복대응및증적자료작성으로인한업무효율성하락 과도한보안업무 지속적인보안업무의보이지않는수치 25% 수많은자료보관및공유의어려움증가 보안업무담당자의실적평가기준모호 출처 : 데일리시큐 (2014) 업무자동화와중복업무제거로담당자의업무효율성증대 10 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

11 3. 기업보안현실과대안 I ASIS TOBE 11 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

12 4. 솔루션제안 I 문제해결을위한솔루션 기업들의보안현실에대하여필요한대안을개념화하고, 이와같은개념을분석하여문제해결에필요한솔루션들을도출 12 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

13 4. 솔루션사상 I 기업의 IT GRC ( Governance, Risk, Compliance ) 기업은급변하는내외부경영환경변화에대해인적자원및주요프로세스, 기술을기반으로비즈니스전략에적합한목표를달성하기위해정책수립, IT 리스크관리와규제준수를빠르게대처해야할필요성이대두 13 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

14 5. 프레임워크 I 기술적 + 관리적보안업무의프레임워크 GC 3D SECURITY FRAMEWORK 방법론적용 보안기술적부분을기본으로하고, 정책지침에따른여러보안활동을프레임워크로기반으로개발된보안관리플랫폼 [ 정보보안컨설팅프레임워크 ] [Gartner 사의보안위험관리사이클 ] 14 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

15 ESMP Suite 제품개념 제품구성 프로세스

16 1. 제품개념 정보보안업무관리 기업의전략에맞춰보안업무를계획하고, 기술적관리적보안정보를통합하여보안수준과업무진행율등을관리하는솔루션 전사의정보보호업무에대한모든관리포인트를한곳에서효율적으로처리할수있도록만든시스템 16 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

17 1. 제품개념 수평적업무분할 보안업무를각업무담당자들과나누어작업하고그결과를정리하고공유하는것을가능하게해주는협업솔루션 인사과, 총무과 보안업무담당자 감사, C level 보안활동 인프라담당 : 취약점점검, 계정관리백업관리, 로그관리등 개인정보보호실무자 : 수집- 이용- 위탁 인사담당 : 사내입퇴사프로세스시보안서약서체크, 보안교육등 총무팀 : 물리적시설관리 기획팀 : 사업발주 결과취합및점검 취약점점검으로위험평가실행 계정생성및삭제현황점검 접근통제현황점검 개인정보흐름도, 흐름표작성 보안서약서취합및체크 보안교육계획및대상지정 물리적보안점검 사업발주시부터보안성검토 전사보안활동감사 정보보호거버넌스수립위한소통 정보보호예산조직권한확보 정보보호정책지침프로세스관리 정보보호위험관리 보안교육인식제고훈련관리 주요한시스템에대한주기적관리 - 계정권한모니터링탐지대응관리 보안사고관리 ESMP 17 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

18 1. 제품개념 수직적업무분할 : 메인조직중심의보안컨트롤타워구성 정책지침등을하달하고계획을짜면업무에대한증적으로보고를하는상하의소통구조플랫폼 Top - down Bottom-up 컨트롤타워 ( 총괄보안담당자 ) 정책지침등규정 ( 부문보안담당자 ) A 부문 B 부문 C 부문 업무증적 보안계획 사업부 ( 사업부보안담당자 ) 사업부 보고공유 모니터링 소명등소통 A 팀 B 팀 C 팀 A 팀 B 팀 사업본부 ( 현장보안담당자 ) A 팀 B 팀 C 팀 18 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

19 2. 제품구성 7 가지시스템이모여서이루어진 Suite 제품 협업시스템을중심으로 6 가지의시스템이모여서보안포탈로써플랫폼을이루고다른시스템과의연동으로시너지효과상승 GCMS 컴플라언스 GSQS 내부통제 각종법규와인증에대비하여업무와연관된가이드를제시하고정의된프로세스에따른결과들을유지관리 GRMS 위험관리 위험관리시스템 컴플라이언스관리시스템 개인보안지수시스템 임직원들각각의개인보안지수 (SQ) 를관리하는내부통제강화기능사내 PC 및인적위험관리가능 GSCS 보안성검토 자산의가용성, 무결성, 기밀성에법적준거성을고려한자산평가후에취약점점검결과로위험을평가하고관리 GPMS 개인정보 개인정보관리시스템 보안업무협업시스템 ( 티켓 ) 보안성검토시스템 상용서비스이전에기획, 사전설계, 개발, 이관및변경관리등관련프로세스내에서보안기능검증및취약성을점검하고관리하는시스템 GSUT 유틸리티 개인정보의수집, 이용, 제공, 위탁, 파기의라이프사이클관리및관련문서관리및개인정보영향평가를위한분석가능 보안관련유틸리티 온라인교육동영상모듈메일 APT 훈련모듈 19 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

20 3. 프로세스 - 보안업무계획 Plan Process 비교 보안업무관리자 ( 최고 ) 가과거기간, 데이터대비계획을세우고각부서장및업무담당자들이그에따라업무를확인하고조율하며일정등을확인하는업무과정에대한비교 1 PLAN Plan 2 Do 3 Check AS-IS 현재 보안업무형태 TO-BE 개선된 1. 과거계획, 실적문서파일참고 1. 중복법규정리 1. 각담당자가업무확인 조정 2. 올해바뀌어진법규체크 2. 각담당자에게업무배정- 메일, 파일 2. 메일과파일을이용하여수정된사항 3. 담당자들과의면담 3. 각관련업무자권한파일설정 들재공유 3. 각자일정확인및기록 보안업무관리자 ESMP 보안업무담당자 각담당자별업무확인 4 Act 보안업무형태 보안업무계획및지정 1. Compliance 맵핑및가이드저장 1. 필요한계획설정가능 2. 담당자지정가능 2. 담당자저장 3. 일정저장 4. 알림 1. 일정계획확인 - 로 notice 2. 각자의업무진행확인 20 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

21 3. 프로세스 - 보안업무계획 Plan Process 화면 보안업무관리자 ( 최고 ) 가과거기간, 데이터대비계획을세우고각부서장및업무담당자들이그에따라업무를확인하고조율하며일정등을확인하는업무과정에대한비교 공통업무도출 담당자지정 업무일정 1. 여러보안업무나중복된인증업무들중에서표준이되는업무를설정하고나머지업무들은표준항목에매핑함으로써중복된업무를한번에처리하여업무의효율성증대효과 2. 관련된데이터와증적관련문서들도실시간으로처리 1. 보안업무계획을세우면서 what who 를연결시키는화면 2. 보안업무항목들에대해담당자와관련업무에대해승인권한이있는관리자를지정하여업무의 R&R 을명확히하고업무의공유와승인보고등협업관련설정 1. 어떤업무에대해 when( 언제 ) 할것인가와알림메일등을설정 2. 전체적으로보안관련된업무와담당자와일정등으로한해의전체계획 21 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

22 3. 프로세스 - 보안업무운영 Do Process 비교 담당자가중복된업무를자동으로처리하거나솔루션에서효율적으로처리가능. 팀과의정보공유와관리자에게보고, 승인등의프로세스도히스토리관리하며한곳에서쉽게처리 1 Plan 2 Do DO 3 Check AS-IS 현재 보안업무형태 TO-BE 개선된 1. 담당자업무진행 1. 관리자가첨부파일이나프린트확인 1. 각담당자가업무확인 조정 2. 이력관리 2. 전체적으로업무진행율체크 2. 메일과파일을이용하여수정된 3. 정보공유와승인 사항들재공유 3. 각자일정확인및기록 보안업무관리자 ESMP 보안업무담당자 각담당자별업무실행 4 Act 보안업무형태 실행된업무확인 1. 업무결과확인 2. 업무진행율확인 업무진행및결과저장 보안지수처리 1. 배정된업무실행 / 확인 2. 시스템에서바로보고및공유 3. 업무진행율점검 22 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

23 3. 프로세스 - 보안업무운영 Do Process 화면 담당자가관련업무를처리하고팀과의정보공유와관리자에게보고, 승인등의프로세스를쉽게처리가능 각담당자업무배정확인및계획 자동으로솔루션에서작업 결과공유및승인 1. 각담당자에게배정된업무에대해각자확인을하고계획을세워서실행 2. 솔루션에서필요한부분조정가능 3. 이전에했던작업들참고가능 4. 필요한부분가이드제공 1. 자동으로처리가능한업무는자동으로처리 2. 필요한부분템플릿제공 3. 모든업무자료를데이터로다루어서필요시에원하는데이터로가공 1. 업무를처리하고나서업무공유와보고가 자동으로이루어지고필요한부분에서는승 인등의프로세스를진행가능 23 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

24 3. 프로세스 - 업무점검및보증 Check Process 비교 보안업무관리자가처리된업무에대해실시간으로보고받고공유된정보를점검하여진행율이나추가업무를조정하는과정에대한비교 1 Plan 2 Do 3 Check AS-IS 현재 보안업무형태 TO-BE 개선된 1. 처리된업무검토 1. 업무진행율조정통보 1. 각담당자가추가요청확인 2. 기준과처리된업무와의점검 2. 각담당자에게업무추가요청 2. 메일과파일을이용하여추가작성 3. 미흡한부분추가요청 - 메일, 파일 및수정요청내역검토 3. 추가수정일정계획수립 보안업무관리자 ESMP 보안업무담당자 조정된업무확인 4 Act 보안업무형태 업무승인및조정 1. 보고된업무승인 2. 추가업무지정 3. 업무진행율결정 조정된진행율저장 담당자에게알림및재분배 자동이력및통계관리 1. 조정된업무진행확인 2. 추가업무전달 24 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

25 3. 프로세스 - 업무점검및보증 Check Process 화면 보안업무관리자가처리된업무에대해실시간으로보고받고공유된정보를점검하여진행율이나추가업무를조정하는과정에대한비교 업무진행율검토 업무진행율조정 조정된업무진행율, 내용확인 1. 공통업무및각인증컴플라이언스별현재업무진행율을검토하는화면 2. 보고된업무에대하여기준과비교하여, 업무를검토할수있음 1. 각기준과비교하여, 미흡한부분에대하여업무진행율을조장하는화면 2. 업무진행율조정과동시에, 추가업무를지정하거나, 추가증적에대한요청가능 3. 메일발송, 문서발송등의번거로움없이시스템을사용하여저장하면, 각담당자에게자동으로메일 Notification 전달 1. 각담당자는메일, 시스템을이용하여 Notification 을확인 2. 조정된업무진행율에따라일정계획을재수립하여, 추가내용및추가증적작성검토 25 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

26 3. 프로세스 - 보안수준관리프로세스 Act Process 비교 조정된업무에대한추가작업및정보공유를하여업무의완료를결정하는기능에대한비교 1 Plan 2 Do 3 Check AS-IS 현재 보안업무형태 TO-BE 개선된 1. 메일을통해수신된추가현황및 1. 추가업무에대한부분을관리자에게 1. 추가 / 수정된일정계획에적합하게 증적검토 메일로발송 추가업무수행 2. 각담당자업무에대한진행율 2. 각담당자의진행율재설정 2. 추가업무문서의관리 완료여부기록 3. 각자추가업무문서기록 보안업무관리자 ESMP 보안업무담당자 추가업무수행및조정 4 ACT Act 보안업무형태 추가업무결제및업무완료결정 1. 추가된현황및증적검토 2. 업무진행완료 현황 & 증적추가및 진행율재반영 1. 업무현황추가 2. 업무증적추가 3. 업무진행율조정및보고 26 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

27 3. 프로세스 - 보안수준관리프로세스 Act Process 화면 조정된업무에대한추가작업및정보공유를하여업무의완료를결정하는기능에대한비교 추가업무수행 업무진행율재반영 업무완료 1. 조정된업무진행율및추가요청사항에따라추가업무를수행하는화면 2. 추가요청사항에맞춰미흡한부분만검토 / 수행이가능 3. 추가업무증적반영 1. 추가된업무수행내용및증적현황을반영하는화면 2. 업무진행율을재조정하여저장 3. 재조정한업무진행율및추가업무현황은관리자에게 Notification 1. 관리자는업무진행율및추가현황증적을 검토 2. 최종업무완료 27 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

28 1. 컴플라이언스관리시스템 Compliance Management System 배경및구축목적개요및소개주요기능업무프로세스주요시스템화면기대효과

29 컴플라이언스관리시스템 컴플라이언스관리솔루션구축 조직에서취득및유지해야하는각종법규및 ISMS, PIMS, PCI-DSS 등의인증에대한체계적인관리가가능한솔루션구축 인증과관련된규정, 보고서, 체크리스트, 증적등의효율적인관리를위한솔루션구축필요 의무, KISA 90 여개항목및 300 여개세부항목에대한준수 법적의무사항 의무, PCI 12 개요건및 310 여개세부항목에대한준수 글로벌보안기준 체계적이며효율적인인증관리 법규 ISMS PIMS PCI-DSS 정통망법개인정보보호법 조직이준수해야하는법령의관련조항, 세부내용을파악 최신성유지및준수여부지속적검토 자율, KISA 120 여개항목및 300 여개세부항목에대한준수 자율제도운영 개인정보사고발생시과징금경감 조직의보안수준향상및대내외서비스의신뢰성향상를통한기업경쟁력강화 29 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

30 컴플라이언스관리시스템 인증이후의문제점과해결책 ISMS 인증이후에지속적으로관리체계를유지하는데현실적으로인력, 비용, 기술등의여러문제에부딪혀서지속적인운영에어려움을겪음 ISMS 인증 인증후운영현실 조직정책자산개발접근암호침해복구 교육인적운영외부자물리적 정책조직교육 정책조직교육 인적자산인적 시스템취약점 외부자물리적 위험 외부자접근침해 접근 각조직에서보안업무관련인식 자산파악과취약점인지 산출물과증적문서 계획및로드맵 이상적인운영모델 정책조직교육정책조직교육인적자산인적시스템취약점위험외부자물리적접근외부자접근침해 시간이흐름에따라 증적누락및보관유실 내외부사항 ( 자산, 조직, 위험도 ) 변동반영어려움 ( 인력및지식부족 ) 기업의목표에맞춘 자동화전산화로업무효율성 ( 조직, 자산, 위험도 ) 반영 인증및체계적관리체계유지 30 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

31 컴플라이언스관리시스템 배경및구축목적 - 법적요구사항증대 정보유출사고등으로인한, 법적요구사항이증대함에따라상위기관감사등에대비하여기업의대응이필요함 정보유출사고가기업에미치는영향확대 최근주요사고사례 (KISA, 2014) 정보통신망법개정 (2015.4) 개인정보보호법개정 (2015.7) 전자금융거래법개정 ( ) 신용정보법개정 (2015.9) 충족시켜야할법적요구사항의강화 31 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

32 컴플라이언스관리시스템 배경및구축목적 - 기업인증취득증가 ISMS, PIMS, ISO27001, PCI-DSS 등기업의정보보호를위한인증취득이증가함에따라, 중복적인인증대응업무를수행함에있어정보보안조직의업무과잉및불편을초래 ISMS 최초인증취득변화추이 PIMS 최초인증취득변화추이 ISMS 인증현황 (KISA, 2015) PIMS 인증현황 (KISA, 2015) 1 ISMS 법적요구사항지정 중복적인인증대응업무수행으로인한업무과다 2 3 개인정보유출사고로인한관리적보안필요 기업이미지제고를위한인증획득 산재되어있는 Off-Line 이행증적 눈에보이지않는보안운영점수 32 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

33 컴플라이언스관리시스템 개요및소개 컴플라이언스시스템은각종법규와인증에대비하여업무와연관된가이드를제시하고, 정의된프로세스에따라결과들을유지및관리 보안관리자 GCMS ( 컴플라이언스관리시스템 ) 이란? 업무별 Compliance 등록 상위기관감사및인증대비 ISMS PIMS GCMS ( 컴플라이언스관리시스템 ) 는기업의각종컴플라이언스및인증항목, 법규, 보안업무의수행내역을관리하는시스템 정보보호활동에대한일정관리 보안담당자 업무수행및결과등록 / 검토 / 승인 업무수행및 Compliance 참고 / 확인 GCMS ISO27001 감사 PIPL 보안수준 ( 지수화 ) 모니터링 한번의업무수행만으로다수의컴플라이언스요건충족 임직원 준비도평가 법적요건및인증대비진행률확인 사규및 Compliance 참고 보안업무이행증적에대한히스토리관리 33 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

34 컴플라이언스관리시스템 주요기능 컴플라이언스시스템은정보보안업무에따라설정하여업무를수행하는데있어도움을주며, 눈에보이는보안업무수행이가능함 멀티 항목별담당자 정보보호 업무진행율 컴플라이언스관리 R&R 설정 문서관리 구현 컴플라이언스항목설정 항목에따른담당자지정 정책및지침관리 보안지수확인 기업에서필요한법규, 인증항목, 사규등을등록하여관리 컴플라이언스매칭을통해, 업무와의관계설정 컴플라이언스요건충족 업무와의관계및매칭을통한, 중복업무제거 각항목별관리를통한컴플라이언스요건충족 컴플라이언스항목별수행담당자지정 담당자의역할및책임부여 일정및업무관리 주기별보안수행업무등록및관리, 수정 일정별업무알림 부서별수행업무등록 정보보호정책, 지침, 절차, 매뉴얼등규정문서등록및승인관리 이행증적및문서관리 보안업무결과등록 관련자료증빙등록 인증및감사대응 정보보호문서컨트롤타워역할 경영자및책임자관점에서의보안수준확인 관리자관점에서의업무진행율검토및측정 업무관리및감독 컴플라이언스항목별, 보안업무별, 미흡한업무에대한관리 / 감독 업무진행율에따른체계적인인증, 감사대비 34 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

35 컴플라이언스관리시스템 업무프로세스 컴플라이언스관리시스템은 P-D-C-A 기반의사이클에적합하도록구성되어있으며, 컴플라이언스에따라보안업무를수행하고진행율확인이가능 Plan Do Check Act 보안관리자 보안담당자 보안관리자 / 책임자 보안담당자 / 관리자 01 기업이준수해야할컴플라이언스확인 01 체계적인정보보호업무수행 01 보안지수 ( 업무진행율 ) 확인 01 보안업무개선및재수행 02 필요한컴플라이언스등록 02 이행및승인요청 02 검토및승인 02 업무내역재검토 03 컴플라이언스항목별담당자 R&R 설정 35 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

36 컴플라이언스관리시스템 주요시스템화면 Dashboard 등록되어있는 정보보호문서현황을 한눈에볼수있게구성 주요직무자및협력업체 인력에대한 인적보안현황을구성 컴플라이언스 ( 인증 ) 에 대한도메인별 현재보안지수 컴플라이언스 ( 인증 ) 각도메인에따른주요 Task 에대한보안지수 36 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

37 컴플라이언스관리시스템 주요시스템화면 멀티컴플라이언스관리 ( 컴플라이언스및항목관리 ) 조직과유관한컴플라이언스및사규, 인증항목등을 Tab으로구성 메뉴별컴플라이언스 항목설정 37 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

38 컴플라이언스관리시스템 주요시스템화면 항목별담당자 R&R 설정 담당자및관리자를 설정하여업무수행및 검토에대한권한을부여 컴플라이언스항목을 선택하여담당자를지정 보안담당자로역할이지정되어있는인원중항목에적합한담당자를등록 38 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

39 컴플라이언스관리시스템 주요시스템화면 정보보호문서관리 ( 정책및지침, 표준문서, 보안업무수행 ) 메뉴별권한에따라, 관리자에게승인을요청 정보보호정책및지침, 주요보안문서, 업무수행증적을관리 39 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

40 컴플라이언스관리시스템 주요시스템화면 업무진행율 ( 보안지수 ) 확인 각컴플라이언스별 현재업무진행율 ( 보안지수 ) 을확인 각항목별보안지수및 미흡한부분에대한 확인가능 40 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

41 컴플라이언스관리시스템 기대효과 컴플라이언스시스템은특히보안담당자의정보보안업무능력향상, 인증대비진척도확인등과같은효과를기대할수있습니다. 수행능력향상 컴플라이언스항목에적합하도록보안업무수행 자체보안업무운영을통한보안조직의정보보안업무처리능력향상 수행필요시기에따른적절한업무배정 인증및감사대응 컴플라이언스항목에따른운영현황을한곳에서확인 인증컴플라이언스에따른현재진척도및미흡한부분확인 정보보호및개인정보보호인증획득, 관리용이 법규준수 개인정보보호법, 정보통신망법, 금융규정, 교육, 의료등다양한정보보안법규에대한가이드라인제공 매핑을통한업무와법규에대한관계설정 정보보호관련법적요구사항에대한대응 보안지수시스템화 전사정보보안체계를관리 / 지원하는시스템마련 지속적으로운영가능한정보보안포탈구축 컴플라이언스에따른현재진척도및미흡한부분에대한확인가능 41 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

42 2. 자산위험관리시스템 Risk Management System 배경및구축목적개요및소개주요기능업무프로세스주요시스템화면기대효과

43 자산위험관리시스템 배경및구축목적 - 새로운위협및취약점의증가 2015 년위협통계에따르면, 1 분에 362 가지위협이새로생겨나고있으며새로운취약점이증가함에따라정보자산의취약점및위험식별, 관리의필요성이증가 맥아피연구소악성코드 zoo 는 2014 년 4 분기부터 2015 년 1 분기까지 13% 증가했습니다. 이제, 샘플수만해도 4 억개를돌파했습니다. 전송된스팸은 2015 년 1 분기에도 6 조건을유지했습니다. 새로운악성코드샘플의수가 2014 년 4 분기부터 2015 년 1 분기까지의기간동안 49% 나급증했습니다. 새로운주의대상 URL 도다시급증하기시작해 2014 년 4 분기부터 2015 년 1 분기까지 81% 나늘어났습니다 년 5 월위협통계 ( 출처 : 맥아피 ) 1 1 회성취약성점검이아닌, 지속적인취약성점검을통한조직의잔존하고있는위협의대응필요 2 HW 뿐만이아닌 SW(Web, URL) 자산, 무형의 DATA 자산의위협및취약점대응필요 43 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

44 자산위험관리시스템 배경및구축목적 - 보안사고로인한안전한 IT 인프라환경구축 DDoS 공격, HW 장비취약점및악성코드등으로인한보안사고가증가함에따라안전한인프라환경을구축하는필요성이증가 2014 년주요침해사고 ( 출처 : 2015 국가정보보호백서 ) 3 조직내서비스에따른체계적인자산관리, 취약점관리를통한안전한 IT 인프라환경제반구축 4 위험을대응하기위한현실적인대응책을수립하여, 이행점검까지의 P-D-C-A 취약점관리프로세스마련 44 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

45 자산위험관리시스템 개요및소개 자산위험관리시스템은조직의자산에대한위험을수용할수있는수준으로유지하고, 위험으로부터자산을보호하기위해비용대비효과적인보호대책을담당자에게제공 자산관리 system GRMS 사내시스템연동 계정관리 system 주요기능 위험관리 취약점관리 GRMS ( 자산위험관리시스템 ) 이란? GRMS ( 자산위험관리시스템 ) 는기업의자산취약성을식별하고, 위험으로부터자산을보호하도록보호대책을마련하여, 효율적으로자산을관리하는시스템 수동및자동취약점점검 사내시스템및취약점점검시스템과의연동 서비스에따른정보자산목록구성 취약점점검시스템 자산관리 자산의위험현황을실시간으로모니터링 취약점및위험관리의이력관리 자동화된취약점분석및위험평가, 대책수립 관리대상 Server 45 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

46 자산위험관리시스템 주요기능 자산위험관리시스템은정보자산에대한자동화된취약점점검및위험분석이가능하며, 현실적인정보보호대책마련을지원함 서비스에따른 취약점 위험분석및 대책방안 자산관리 이력관리 평가 수립 조직내서비스등록 / 관리 자동화된취약점점검 자동화된위험평가 현실적인대응방안제공 부서체계및대외 / 대내서비스별자산관리 자산분류체계마련 HW, SW, NW, Data 등정보보안대상자산에분류체계수립 자산분류체계에따른자산에계정및로그, 백업등관리가능 월간자산점검가능 스크립트를이용한자동화된취약점점검수행 취약점현황내용및취약점체크리스트제공 커스텀체크리스트사용가능 취약점히스토리관리 수행되었던취약점결과에대한이력을관리하여주요취약점을도출 비밀성, 무결성, 가용성, 법적요구사항에따라위험분석및평가수행 보고서제공 취약점분석결과보고서 위험평가결과보고서 정보보안세부계획서 필요한데이터를보고서로제공 다양한위협에대한현실적인대응방안을제공 구체적인이행계획수립을지원 이행점검수행및관리 조치자, 확인자에따른이행점검및취약점조치완료에대한이력관리 단 / 중 / 장기위험관리 46 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

47 자산위험관리시스템 업무프로세스 자산위험관리시스템은 P-D-C-A 기반의사이클에적합하도록구성되어있으며, 취약점에따라위험분석및평가를수행하며, 자동화된위험분석결과및대응방안의확인이가능 Plan Do Check Act 보안관리자보안담당자 / 자산담당자 보안관리자 / 보안책임자 보안담당자 / 자산담당자 01 정보자산에대한분류체계마련 01 자산등록및가치산정 01 위험도평가결과확인 01 취약점조치및이행점검수행 02 자산등록요청 02 취약점점검및등록 02 대책방안적정성검토 02 대책방안재검토 03 취약점리스트선택 03 위험분석및이행계획수립 03 검토및승인 47 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

48 자산위험관리시스템 주요시스템화면 Dashboard 등록되어있는 정보보호문서현황을 한눈에볼수있게구성 컴플라이언스 ( 인증 ) 에 대한도메인별 현재보안지수 48 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

49 자산위험관리시스템 주요시스템화면 서비스에따른자산관리 ( 서비스및자산분류체계에따른등록및관리 ) 기업 / 조직내 대내 / 외서비스에따른 HW, SW, NW 자산등록 서비스의담당 / 관리부서 및담당자등록 49 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

50 자산위험관리시스템 주요시스템화면 취약점이력관리 취약점점검결과에따른히스토리관리 과거취약점점검내역에 대한확인이가능 최종진단결과에따른 과거대비보안수준 증 / 감확인 레포트출력시, 컨설팅결과보고서와 동일한구성으로출력 50 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

51 자산위험관리시스템 주요시스템화면 취약점이력관리 취약점수동및자동점검 취약점항목에따라 Y, N, N/A 로수동점검 및응답가능 취약점현황을수동으로기입하거나, 진단결과 Upload를통해자동기입 Script, Config 등 진단결과 Upload 를통해 일괄적인점검이가능 51 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

52 자산위험관리시스템 주요시스템화면 위험분석및평가 ( 위협요소및취약성요소에따른비밀성, 무결성, 가용성, 법적요구사항에대한평가수행 ) 기밀성, 가용성, 무결성, 법적요구사항에따른 위험도평가수행 취약성과매핑된 위협요소자동화 Default 대응책을 현실성있는 대응방안으로제공 52 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

53 자산위험관리시스템 주요시스템화면 대책방안수립 ( 이행계획설정및대책방안수립, 이행점검등 ) 취약등급, 위험등급, 위험도를식별하며, 위험도정렬에따라 View 이행계획대비 이행날짜를기입하여 이행점검프로세스마련 위험조치및확인자를 등록하여역할및책임을 부여 53 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

54 자산위험관리시스템 기대효과 자산위험관리시스템은특히체계적인취약점관리뿐만아니라, 자동화된위험평가사이클에따라보안조직의수행능력향상등과같은효과를기대할수있습니다. 수행능력향상 취약점관리및위험평가의자체적인능력배양으로인한수행능력향상 소요시간및예산, 필요자원절감효과 자체보안취약성점검및위험분석업무를통한보안조직의정보보안업무처리능력향상 취약점관리 과거및현재취약점이력관리를통한기업내주요취약점에대한체계적관리 취약점에따른현실적인조치가이드제공 취약점점검시스템과의연동을통해, 기존항목과의매핑수월 위험평가자동화 자동화된취약점점검 자동화된위험평가및분석사이클에따라소요자원감소 위협및취약점매핑을통한정량적 / 정성적시나리오베이스위험분석으로적정성있는위험분석수행 레포트제공 Excel, Word 등다양한보고서제공 인증심사, 상위기관감사, 내부보고등필요시즉시대응가능 조직내부보고서사용시, 커스터마이징가능 54 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

55 3. 개인정보관리시스템 Privacy Management System 배경및구축목적개요및소개주요기능업무프로세스주요시스템화면기대효과

56 개인정보관리시스템 배경및구축목적 - 개인정보유출사고의증가 개인정보침해신고및상담건수가지속적으로증가함에따라, 유출사고를미연에방지하기위한개인정보의관리적 / 기술적보호조치의필요성이대두 출처 : 개인정보침해신고센터 (KISA, 2015) 출처 : 개인정보침해신고센터 (KISA, 2015) 1 개인정보침해신고건수가점차증가하고있으며, 유출사고를미연에방지하기위한조치가필요 2 개인정보유출은빈번하게일어나지만, 정작우리조직의개인정보는파악이되고있지않으며, 개인정보관리에대한필요자원이부족함 56 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

57 개인정보관리시스템 정보보안사고사례 점점잦아지는공격횟수와대규모화되는피해규모에따른보안사고의책임과대응문제 현대캐피탈싸이월드넥슨 EBS KT 국민롯데농협카드 5 년간약 446% 침해사고증가 옥션 GS 칼텍스 과징금또는과태료영업정지대표이사사퇴등막대한손실로이어짐 자료 : 한국인터넷진흥원개인정보침해신고센터 57 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

58 개인정보관리시스템 배경및구축목적 - 개인정보관련법적요구사항충족 개인정보보호의중요성이증가함에따라개인정보보호법, 정보통신망법등의관련법적요구사항이지속적으로개정되고있음이에따른, 법적요구사항을충족및대응하여야하는필요성이존재 관리계획미수립 고유식별정보관리미흡 위수탁계약및관리미흡 보안솔루션적용미흡 접근통제관리미흡 파기미흡 안전성조치위반 암호화미흡 서식미흡 비밀번호암호화미흡 접속기록관리미흡 출처 : 한국인터넷진흥원 (KISA, 2015) 3 4 개인정보보호법및정보통신망법의관리적 / 기술적법적요구사항의증대에따른대응필요 안전성조치, 서식, 파기등관리적보호조치항목이주로충족하지못하였으며, 이와관련한관리적인프로세스의수립이필요함 58 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

59 개인정보관리시스템 개요및소개 개인정보관리시스템은개인정보의수집, 이용, 제공, 위탁, 파기의라이프사이클관리및관련문서관리, 전자개인정보관리를위함흐름도를구현하여제공 개인정보보호관리자 개인정보 Life-Cycle GPMS ( 개인정보관리시스템 ) 이란? 통합개인정보관리 수집및관리 이용및제공 GPMS ( 개인정보관리시스템 ) 는기업전사개인정보의흐름을수집, 이용, 제공, 위탁, 파기의라이프사이클에따라관리하며, 관련문서를통합관리하는시스템 개인정보 Life-Cycle ( 개인정보운영관리 ) 개인정보보호담당자 파기 위탁 전사개인정보흐름분석 체계적인개인정보보호관리 개인정보실태점검 운영관리 GPMS 개인정보생명주기에따른현황관리 부서별개인정보보호담당자 전사개인정보의흐름파악 부문별, 부서별, 수탁사등개인정보실태점검 보유개인정보등록 전사개인정보흐름관리 59 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

60 개인정보관리시스템 주요기능 개인정보관리시스템은중앙에서전사개인정보에대한관리가가능하며, 개인정보실태점검및관리적보호조치등을통하여기업내개인정보의보호를지원함 개인정보 전사 / 부문별 개인정보 개인정보 생명주기관리 개인정보흐름 관리적보호조치 실태점검 수탁사점검 개인정보 Life-Cycle 관리 수집, 이용, 제공, 위탁, 파기에따른부서 / 부문별개인정보등록및관리 개인정보단위업무관리 개인정보파일별단위업무를설정 단위업무및개인정보생명주기에따른관리 단위업무별흐름도 개인정보단위업무별흐름도자동화 입력한개인정보생명주기운영현황에따른흐름도생성 수집, 저장, 이용 / 제공, 위탁, 파기등생명주기별주요 Issue 사항자동처리 개인정보취급자관리 개인정보취급자현황관리 개인정보보호교육이수관리 영상정보처리기기관리 CCTV 현황관리 영상정보청구현황관리 개인영상정보파일관리 수탁사점검계획수립및점검관리 수탁사현황및인력관리 개인정보실태점검 실태점검계획및체크리스트수립 / 관리 실태점검결과및위반자관리 실태점검결과에따른이행점검 60 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

61 개인정보관리시스템 업무프로세스 개인정보관리시스템은 P-D-C-A 기반의사이클에적합하도록구성되어있으며, 개인정보단위업무에따라 Life-Cycle 관점에서의등록및관리가가능하고, 전사적인개인정보의흐름관리가가능 Plan Do Check Act 개인정보보호관리자 개인정보보호담당자 개인정보보호관리자 개인정보보호담당자 01 전사개인정보단위업무정의 01 단위업무별개인정보생명주기등록 01 개인정보흐름및업무관리 01 관리적보호조치통상업무수행, 검토 02 실태점검계획수립 02 실태점검수행및결과등록 02 점검에따른위반자확인 02 점검결과에따른이행점검수행 03 수탁사점검계획수립 03 관리적보호조치수행 03 Issue & Risk 검토 61 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

62 개인정보관리시스템 주요시스템화면 Dashboard To-Do List, 개인정보관련공지, 결재내역등주요 Issue 개인정보보호실태점검 결과 ( 항목별 ) 전사클린오피스 점검결과 ( 항목별 ) 62 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

63 개인정보관리시스템 주요시스템화면 개인정보생명주기관리 개인정보단위업무및 생명주기에따른 정보관리 개인정보단위업무에 따른생명주기정보등록 및히스토리관리 파기대상개인정보에 대한등록, 승인, 관리 63 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

64 개인정보관리시스템 주요시스템화면 전사 / 부문별개인정보흐름 개인정보단위업무및 생명주기에따른 전사개인정보흐름파악 개인정보흐름도의 자동적구현 64 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

65 개인정보관리시스템 주요시스템화면 개인정보관리적보호조치 ( 개인정보취급자관리 ) 개인정보취급자의 보안서약서및이력관리 개인정보취급자의 접근시스템, 권한관리 65 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

66 개인정보관리시스템 주요시스템화면 개인정보관리적보호조치 ( 영상정보처리기기관리 ) 조직내 CCTV 현황에 대한관리 ( 관리책임자, 촬영범위등 ) 정보주체및타기관으로 부터의영상정보청구 현황관리 66 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

67 개인정보관리시스템 주요시스템화면 개인정보실태점검 ( 실태점검계획수립및이행관리 ) 개인정보실태점검계획 수립및승인 ( 실태점검 Checklist 관리 ) 각이행관리부서는 조치결과를등록하고 이행점검을완료 실태점검결과미흡으로 도출된부분은 이행점검을통해개선 67 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

68 개인정보관리시스템 주요시스템화면 수탁사관리 ( 수탁사현황관리및점검 ) 수탁사현황관리 ( 개인정보제공형태및 담당자, 관리부서등 }) SLA, MOU 등계약서, 약정서, 업무협약서관리 ( 폐기시, 확인서관리 ) 68 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

69 개인정보관리시스템 기대효과 개인정보관리시스템은통합관리를통해산재되어있는개인정보위험에대한식별이가능하며, 기술적 / 관리적보호조치를지원함으로써, 개인정보업무의효율성향상을기대할수있습니다. 수행능력향상 개인정보보호전담조직의개인정보업무능력향상 부문별개인정보보호담당자의관리및감독 개인정보보호업무일정관리를통한체계적인업무수행 전사통합개인정보관리 자동적인개인정보흐름도구현을통한전사개인정보식별가능 개인정보단위업무에따른 Life-Cycle 관리에따른중앙컨트롤타워역할 개인정보관련문서에대한통합관리 관리적보호조치구현 법적요구사항에따른개인정보보호관리적보호조치적합 내부관리계획, 영상정보처리기기, 수탁사관리, 개인정보보호교육등이력관리 개인정보파기및보존에대한프로세스화 실태점검을통한개선 주기적인개인정보보호실태점검을통한미흡한부분에대한개선기회적용 이행점검을통한전사적인개인정보보호인식제고 실태점검항목의자유로운커스터마이징 69 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

70 4. 개인보안지수시스템 Security Quotient System 배경및구축목적개요및소개주요기능업무프로세스주요시스템화면기대효과

71 개인보안지수시스템 배경및구축목적 - 내부통제및보안관리프로세스의문제점 전체정보유출사고의 90% 이상이내부직원에의한정보유출사고로보고되고있으며, 내부자사고는권한부여에의한정상적인업무수행중발생하는사고로관리적인보안의중요성이대두 100% 내부자정보유출사고 내부직원에의한정보유출 92% 50% 출처 : 중소기업기술정보진흥원조사 (2014) 71 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

72 개인보안지수시스템 배경및구축목적 - PC 및인적보안안전성확보 2010 년부터 2014 년도까지의주요침해사고의원인은악성코드및웹쉘, 계정유출, 파일업로드취약점등으로나타났으며, 주요침해사고원인인악성코드감염및계정유출의사례는개인용 PC 가약 15% 정도에해당하는것으로나타남 출처 : KISA (2014), 침해사고원인 1 개인업무용 PC 의안전성확보를위하여 PC 보안체계및모니터링 / 관리시스템의구축필요 2 해킹주요사고의원인이단순한취약점을통해공격하는사고이므로, 취약점을미연에방지할필요성존재 72 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

73 개인보안지수시스템 배경및구축목적 임직원인식제고 개인정보보호법및정보통신망법등에서요구하는개인정보취급자, 주요직무자에대한관리 / 감독방안마련필요또한, 정보보호에대한임직원들의인식제고가요구됨 출처 : CIO/CISO, CISO 애로사항 (2014) 출처 : 보안뉴스, 개인정보유출에효과적인대응방안 (2014) 3 개인정보취급자및주요직무자의관리적 / 물리적 / 기술적안전성확보조치필요 4 임직원의정보보안및개인정보보호의인식제고필요 73 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

74 개인보안지수시스템 개요및소개 개인보안지수시스템은임직원들각각의개인보안지수 (SQ) 를관리하는내부통제강화기능으로서, 서버나시스템에대한보안관리외에사내의개인시스템 (PC) 및임직원들의인적위험관리를가능하게해주는시스템 GSQS ( 개인보안지수시스템 ) 이란? GSCS ( 개인보안지수시스템 ) 은사용자별로각사용하는 Port 가분리된 3 Layer 구조로서, 보안관리자 / 담당자 / 임직원의내부통제및인적보안관리를가능하게지원함 개인보안지수체크리스트등록및점검 점검및결과정리, 소명처리검토 / 승인 점검결과확인및소명처리 실시간임직원보안관리 내부통제강화 인적위험관리 74 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

75 개인보안지수시스템 주요기능 개인보안지수시스템은정보보안포탈및컨트롤타워로서의역할로개인보안지수를확인하고, 임직원의보안관련창구역할을할수있도록지원함 정보보안포탈 개인보안지수 위반사항및 차단현황관리 보안알림 정보보안포탈역할 로그인후보안업무수행 사내 PC 보안솔루션을비롯한프로그램다운로드 기업의사내보안공지사항및보안규정등포탈운영 정보보호실천수칙관리 문서해제및방화벽신청 My-SQ 보안체크리스트에따른보안준수율확인 사내보안솔루션에따른보안준수율확인 월별보안준수율변화추이확인 소명처리및예외처리신청 보안교육참여현황확인 개인보안위반사항관리 PC 보안및솔루션보안위반사항관리 사내전체보안준수율에따른위반사항 Top 에대한알림 웹사이트차단현황관리 사내방화벽을통한악성사이트및불필요사이트차단현황알림 오늘의할일 개인별 Day/Week/Month To-do List 구현 팀별 To-do List 구현 보안협조요청 공문처리및보안관련업무에대한협조문처리 관련수신메일확인 75 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

76 개인보안지수시스템 업무프로세스 개인보안지수시스템은 P-D-C-A 기반의사이클에적합하도록구성되어있으며, 각임직원개별보안지수에대한관리가가능 Plan Do Check Act 보안관리자임직원보안담당자보안관리자 01 보안공지사항작성및게시 01 보안공지사항및정보확인 01 소명처리에대한승인및관리 01 위반사항에대한 PC 보안위험조치 02 PC 보안 Check-List 관리 02 기업내보안솔루션설치 02 점검결과관리 02 위반사항에대한인적보안위험조치 03 임직원보안점검계획수립 03 개인보안준수율확인및소명처리 03 위반자확인 03 지속적인모니터링을통한보안지수향상 76 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

77 개인보안지수시스템 주요시스템화면 정보보안포탈 사내보안솔루션설치 파일및매뉴얼제공 보안공지사항및뉴스 확인, 정보보안포탈사용 FAQ 사내웹사이트차단현황 공지및정보보호실천 수칙을통한인식제고 자주쓰는메뉴에대한 Quick Link ( 문서해제, 방화벽신청등 ) 77 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

78 개인보안지수시스템 주요시스템화면 Dashboard (SQ) 개인 / 팀별 To-Do List 를통한일정관리기능 개인별 PC 보안, 솔루션 등보안준수율확인 사내위반사항 Top 에 대한공지를통해인식 제고기반구현 78 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

79 개인보안지수시스템 주요시스템화면 보안관리자화면 개인보안점검항목등록 체크리스트별 중요도및가중치관리 PC 보안및각영역별 보안체크리스트관리 79 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

80 개인보안지수시스템 주요시스템화면 보안관리자화면 정보보안실천수칙등록 등록된정보보안실천 수칙은스크롤화되어 대시보드에구현 정보보호상식또는 정보보안실천수칙등록 및관리 80 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

81 개인보안지수시스템 기대효과 개인보안지수시스템은임직원들에대한전사적인점검을효율적으로수행할수있을뿐만아니라, 임직원들의정보보호인식을제고함으로써, 개인보안체계를강화시킬수있습니다. 개인보안체계강화 개인위반사항확인을통한개인보안 KPI 관리 개인위반사항누적결과를통한빈번하게발생되는위반사항관리 개인보안지수체계수립으로인한 PC 보안안전성확보 정보보호인식제고 기업정보보안정책인지및자율적인실행가능 정보보호공지및알람문구를통한기업내정보보호문화확대 정보보호포탈로서의기업문화정착 인적위험관리 인적보안사고예방및위험도감소 개인 PC 점검을통한내부자유출사고예방 효율적전사점검 시스템을이용한점검시간감소 소명처리및예외처리의단순화 주기적인점검을통한임직원의보안준수율상승 81 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

82 5. 보안성검토시스템 Security Criteria System 배경및구축목적개요및소개주요기능업무프로세스주요시스템화면기대효과

83 보안성검토시스템 배경및구축목적 - 시스템안전성확보 2010 년부터 2014 년도까지의주요침해사고의원인은악성코드및웹쉘, 계정유출, 파일업로드취약점등으로나타났으며, 주요침해사고원인은웹서비스의소스코드차원의보안문제인것으로나타남 출처 : KISA (2014), 침해사고원인 1 서비스운영시스템의안전성과신뢰성을확보할수있도록정하는기준에의하여보안성심의를수행 2 해킹주요사고의원인이단순한취약점을통해공격하는사고이므로, 취약점을미연에방지할필요성존재 83 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

84 보안성검토시스템 배경및구축목적 법적요구사항 전자금융감독규정 / 정보통신망법등의법률, ISMS/ISO27001 등의인증에서의보안성심의 / 검증프로세스를요구함에따라보안성검토에대한필요성이대두 출처 : 전자금융감독규정 출처 : ISO27001_ 전자금융거래법및금융감독규정, ISMS, ISO27001, PCI-DSS 등다수의법률및인증에서의요구 84 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

85 보안성검토시스템 개요및소개 보안성검토시스템은정보화사업에서의안정성확보를위하여수행해야하는조치사항을표준화하여, 업무의편의성및효율성을증대시키고사업의지속적인보안활동을지원함 GSCS ( 보안성검토시스템 ) 이란? GSCS ( 보안성검토시스템 ) 는신규도입되는자산과서비스에대한보안점검체계를강화하여운영전및운영중인서비스의보안안전성강화를지원 사전설계검증 보안성검증및취약점점검 변경및이관관리 사전설계검증을통한보안안전성확보 보안성검증을통한운영단계구현 사전보안성검증을통한법적요구사항구현 85 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

86 보안성검토시스템 주요기능 보안성검토시스템은개발구현 Cycle 에기반하여, 사전설계단계부터이관단계까지의개발보안전체흐름을지원하며, 취약성점검및관리를통하여안전성확보를조치할수있도록지원함 사전설계검증보안성검증취약점점검 변경및이관 관리 보안요구사항반영 법적요구사항반영 사용자인증에대한보안요구사항정의 암호화방법정의 전송시암호화정의 코딩표준마련 시큐어코딩가이드수립으로인한기업내표준가이드마련 보안성검증체크 로그인관리검증 사용자계정관리검증 취약점관리 운영전단계에서의기술적보안취약점점검 SW 보안취약점제거 기술적보안취약점점검을통한취약점제거 변경이력관리 개발소스및관련증적관리 요구사항정의서, 설계서, 테스트보고서, 검토보고서등의증적관리 이관이력관리 보안관련로그및감사증적확보 접근권한부여기능구현 비밀번호관리검증 접근제어및암호화 감사, 입 / 출력관리 계정관리, 파일관리 서비스관리, 로그관리 이관 ( 운영 ) 담당자지정을통한이관단계에서의보안성관리 이관시발생할수있는문제점보완 86 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

87 보안성검토시스템 업무프로세스 보안성검토시스템은 P-D-C-A 기반의사이클에적합하도록구성되어있으며, 개발업무구현 Cycle 에따라관리가가능 Plan Do Check Act 사업관리자 개발담당자 보안담당자 / 보안관리자 사업관리자 / 운영자 01 사업목표에따른기능설계 01 개발수행 01 보안성구현검증 01 변경관리수행 02 적용서비스대상분류 02 보안표준코딩가이드참조 02 기술적취약성점검을통한안전성테스트 02 형상관리수행 03 보안성항목에대한의견조율 03 사업목표에따른기능구현 03 취약점조치 03 이관 / 이력관리및소스코드보안 87 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

88 보안성검토시스템 주요시스템화면 사전설계검증 사전설계검증대상 사업등록및조회 / 관리 적용서비스대상자산, 개발담당자관리 88 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

89 보안성검토시스템 주요시스템화면 보안성검증 사전설계검증및개발 구현이완료된대상으로 보안성검토수행 로그인, 계정, 비밀번호, 로그등점검항목에따라 보안성검증구현체크 89 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

90 보안성검토시스템 주요시스템화면 취약점관리 보안성검증및개발 테스트완료서비스를 대상으로취약점점검 기술취약점점검 체크리스트에따른점검 및조치수행 90 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

91 보안성검토시스템 주요시스템화면 변경및이관관리 보안성검증, 취약점점검후조치가완료된대상은운영서비스전변경관리수행 개발소스및형상관리, 유지및변경관리 91 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

92 보안성검토시스템 기대효과 보안성검토시스템은도입되거나변경되는자산, 서비스, 개발건에관하여지속적인관리와더불어이력관리, 보안조치로인한서비스연속성확보등의효과가있습니다. 보안점검체계강화 정보자산의도입부터변경까지지속적인관리가가능 사전취약성점검을통한인프라서비스점검체계의강화 개발프로세스에적합한검토및점검체계수립 형상유지및관리 정보자산의변화를일관성있게통제하고관리가가능 변경관리를비롯한형상관리를효율성있게유지 이관및변경유지관리의증적을손쉽게관리 안정적서비스제공 사고예방및정보자산의서비스중단위험최소화 보안성검증및도입전취약성점검을통하여보다안정적인인프라서비스제공 효율적보안업무수행 취약성점검및보안성검증을통한보안조치최소화 위험평가를위한취약성점검을사전에함으로써, 보다효율적인업무수행 법률에서요구하는사항에대해대응가능 92 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

93 I ESMP Suite 특장점 컨설팅프레임워크반영보안솔루션연동 - 업무자동화보안지수화 수준관리솔루션의특징과장점구성도프레임워크

94 1. 솔루션특징과장점 I 컨설턴트에의한실무적인솔루션 고객사에특화된추가사항제안과향후타솔루션과의연동으로넓은확장성제공 다양한유사대규모사이트구축경험및역량보유 94 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

95 2. 보안솔루션연동 업무의자동화 I 확장성 : 논리적 + 물리적 - 시스템연동 여러시스템과의연계를통하여보다수동입력, 중복업무에대한편의를제공하고, 실시간데이터반영으로침해사고시빠른대응이가능하도록관제시스템들과의연계도가능 Griffin Solutions Map 위험관리시스템 규제관리시스템 개인정보관리시스템 보안성검토시스템 대용량로그분석시스템 관제시스템 연동가능솔루션 취약점점검시스템 자산관리시스템 계정관리시스템 PC 점검툴 백업관리시스템 대용량로그분석시스템 관제시스템 HR/ Groupware 종합플랫폼 1. 컨설팅의 knowhow 를각종보안업무의 Needs에맞추어 2. 연동을이용한확장성으로업무자동화와 3. 협업플랫폼을제공하여효율화로보안수준향상을위한종합플랫폼 95 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

96 3. 보안지수화 수준관리 I 기업보안의과거 + 현재 + 미래의 Roadmap History 관리 취약점및보안상태기록현재보안업무의진행상태표시이행계획이나년간보안계획 planning 가능 96 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

97 4. ESMP Suite 구성도 I 구성도와확장성 ESMP Suite 의엔진부분은서버에 web service 가능하면동작 다양한사내시스템등과연계가능하여확장성이풍부 많은연동이이루어질수록수동업무는줄어들고 ESMP 에서모든결과종합가능 97 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

98 5. ESMP Suite 프레임워크 I 내부프레임워크.NET Framework 으로구성되어있으며 DB 는비의존적 다양한확장성을가지고개방형구조로개발 98 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

99 IV 기대효과 인력및비용절감효과 기업보안수준 통합보안관리

100 1. 기대효과 IV 솔루션기대효과 정보보안포탈플랫폼으로써조직내협업지원, Dashboard 를제공하며, 성과측정및생산성증대를기대하는자동화솔루션 효과적인업무처리과정관리를통해보이지않았던보안프로세스 ( 업무처리과정 ) 의가시화및성과측정정량화 기업내공동목표전략실행에집중할수있도록업무처리과정확립및생산성높은보안업무정착 업무분장현황관리, 이력관리, 통계기능등을이용하여조직내 Resource 의효과적수집및운영 100 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

101 2. 인력및비용절감효과 IV 부족한예산과보안인력에대한해결책 Best Practice 를적용한시스템으로시행착오를줄이고최대한의효과 외부인력을통한컨설팅에소요되는비용절감과중복업무감소 문제발생시해결을위한비용역시충분한절감효과 ESMP Suite 지속적으로컨설팅을위해나가는비용대비 ESMP 를도입하였을때 상대적인비용절감효과 컨설팅 총예상비용 : 34 총예상비용 : 25 CASE 비용비교 최초비용 ( 심사 ) +1년 ( 사후심사 ) +2년 ( 사후심사 ) +3년 ( 갱신심사 ) 컨설팅지속비용 ESMP 도입비용 13 3 ~ 4 3 ~ 4 3 ~ 4 절감효과 ( 누적 ) -3 (-3) +3 (0) +3 (+3) +6 (+9) 101 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

102 3. 기업보안수준 IV 측정가능 ( 지수화 ) 되어야관리 보안성숙도향상가능 현재기업의보안수준실시간측정가능 미래의상황예측가능해짐에따라위험예방계획수립가능 계획대비현재진행율을실시간으로체크가능하며, 유연한계획수정이가능 102 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

103 4. 통합보안관리 IV 정보보호프레임워크구성요소들에기초한통합보안관리 관리적 / 기술적 / 물리적보안을통합한보안관리솔루션 통합컴플라이언스및각종컴플라이언스를지원하는정보보호포탈플랫폼 103 Copyright(c) 2016 Griffin Consulting, corp. All rights reserved

104 THANK YOU Griffin Consulting Corporate sustainability is a business approach that creates long-term consumer and employee value by creating a "green" strategy aimed toward the natural environment and taking into consideration every dimension of how a business operates in the social, cultural, and economic environment. It also formulates strategies to build a company that fosters longevity through transparency and proper employee development. ( 주 ) 티앤디소프트 경기도성남시분당구판교로 253, 판교이노밸리 C 동 802 호 T : / sales@tndsoft.com