1. 정보보호 관리

정보보호관리 개념

1. 정보보호의 목적 및 특성

• 정보보호의 정의 : 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기술적 수단(정보보호시스템)을 마련하는 것을 말한다.(국가정보화 기본법)
• 정보보호 ≠ 정보보안 : 정보보안은 Site(공간)이라는 개념이 더 들어간 넓은 개념이다.
• 정보보호의 목적 : 기밀성 / 무결성 / 가용성 / 인증 / 부인방지 / 신뢰성 등

2. 정보보호와 비즈니스

• 정보보호와 비즈니스 : IT 인프라에 대한 정보보호는 비즈니스의 보호뿐 아니라 비즈니스 가치의 증가로 이어진다.

3. 정보보호관리의 개념

• 정보보호관리 : 조직의 정보자산을 외부로부터 유출과 오용, 유실로부터 방어하고, 정보나 정보시실을 방어하는데 관련된 모든 일련의 활동
• 정보보호관리를 위한 5단계 활동 정보보호 정책수립 및 범위 설정 → 경영진 책임 및 조직구성 → 위험관리 → 대책구현 → 사후관리
• 정보보호관리체계(ISMS : Information Security Management System) : 위 활동들을 지속적으로 하기 위한 체계
• 비즈니스 연속성과 함께 지속되어야 하며 매출이 크거나 고객이 많은 조직은 법적으로 갖추어야 함

정보보호 정책 및 조직

1. 정보보호 정책의 의미 및 유형

• 정책 : 최고 경영진의 전략적인 사고를 문서화한 것
• 정책 중 가장 핵심인것을 “정책서”라고 한다.
• 하향식 유형(Top-Down) : 상위 정책으로부터 하위수준의 정책을 도출하는 방식
• 상향식 유형(Bottom-Up) : 기존의 정책들을 종합해 새로운 정책을 수립하는 방식
• 정책이 가지는 특징과 가져야할 특징
• 여러 다른 지침과 하위 수준간의 정책들이 일관성과 연관성이 필요함
• 최상위 정책은 전사적인 정책을 모두 포함해야 함
• 간결하고 명확해야하며 정보보호의 목표와 회사 비전을 포함해야 함
• 영향을 받는 임직원들에게 정책에 대한 설명을 해야함