1. IT 거버넌스 및 IS 통제의 프레임 워크로 사용되는 모형
내부통제 - COSO 모형
IS통제 - COBIT 모형
2. 정보보호관리체계(ISMS)에 대한 내용
조직 내 정보자산을 보호하기위한 것
정보보호관리 절차와 과정을 체계적으로 수립하여 지속적 관리, 운영하기 위한 종합적 체계
3. ISMS 정보보호관리 5단계 활동
- 정책 수립 및 범위설정
정책은 공개하되 나머지는 기밀로 해야한다.
범위는 회사의 데이터 분석을 통해 적용한다.
- 경영진 책임 및 조직 구성
ISMS의 최종책임은 경영진이 맡는다.
보안최고 책임자는 CISO
- 위험관리
위험식별 - 위협, 취약점 분석, 자산 분류, 식별
위험분석 - 정량적, 정성적 피해평가 -> (위험 감소, 위험 전가, 위험 회피, 위험수용을 고려)
위험완화 - 위험감소, 위험전가, 위험회피, 위험수용중 선택
- 정보보호 대책구현
관리, 기술, 물리적 보안 구현
내부 공유 및 교육 : 인식교육, 직무교육
- 사후 관리
법적 요구사항 및 준거성 검토, ISMS 운영현황 관리, 내부감사
4. 감사에 대한 정의
통제 시스템이
1. 적절하게 설계되었는지 평가
2. 원래의 의도대로 작동되는지 테스트
3. 통제 목적이 달성되지 않을 위험을 실증하는 과정 및 절차
감사는 적발통제이다.
5. 응용통제와 일반통제의 비교
- 일반통제
IS 구입, 구현, 유지보수, 통제 등 정보처리환경통제
통제의 평가로 통제테스트를 한다.
통제 테스트란, 속성샘플링, 즉 집단의 특성의 데이터를 기준으로 하는 테스트이다.
- 응용통제
정보의 무결성을 확보한다.
완전성, 정확성, 타당성, 무결성을 통제한다.
통제 평가로 실증테스트를 한다.
실증 테스트란, 변량샘플링, 즉 금액, 무게, 측정단위를 기준으로 판단하는 테스트이다.
6. IS 감사 기능의 주 목적
7. 예방통제, 탐지통제, 교정통제의 의미와 종류
예방 : 신입사원채용, 직무분리, 물리적 접근통제
적발 : 해시합계, ECHO 체크, 감사(Audit)
교정 : BCP/DRP, 백업절차, 체크포인트
8. IT 거버넌스, EA, SA, ISMS의 의미
- IT 거버넌스
방향을 설정, 다양한 행위 주체들이 공동의 목표달성을 위해 상호협력 및 조정을 이루어가는 과정
5가지 중점영역
1. 기업의 전략, IT 전략과의 연계
- EA
전사적 아키텍쳐, 정보화 설계도라고도 할 수 있다.
- SA
CIA를 강화하기 위한 보안영역 구성요소와의 관계 구체화
조직 내 보안수준 진단, 보안영역, 보안 요구사항 파악
- ISMS
정보보호관리 절차와 과정을 체계적으로 수립하여 지속적 관리, 운영하기 위한 종합적 체계
9. 암호시스템의 개요 : 비밀키, 공개키
암호시스템의 제공
기밀성, 무결성, 인증, 부인방지, 접근통제
대칭키 |
비대칭키 |
|
키 대칭성 |
ke = kd |
ke /= kd |
키 구성 |
비밀키 |
암호키(공개키), 해독키(개인키) |
장점 |
계산속도가 빠름 알고리즘이 다양 공격에 강함 |
키의 공유 불필요 통신대상의 추가 용이 키 관리가 용이 |
보안기능 |
기밀성만 제공 |
기밀성, 인증, 부인방지 |
단점 |
키 관리의 어려움 관리대상의 키가 많음 |
계산속도가 느림 공격에 약함 무결성 기능이 없음 |
사용 알고리즘 | DES, AES, IDEA | RSA, DH, ECC |
10. BCP/ DRP 비교
BCP
업무의 심각한 중단상황과 이후의 비즈니스 운영의 영속성을 위한 계획
- 특징
핵심 업무 프로세스를 다룰 수 있다.
장기, 단기 모두 다룬다.
또 다른 계획을 포함할 수 있다.
DRP
비상사태 발생 후 대체사이트에서의 IT 중심의 계획을 세운다.
- 특징
장기간에 걸친 복구계획
소규모는 다루지 않는다.
11. BCP/ DRP가 제공하는 보안서비스
가용성
12. 데이터센터에서 사용되는 장치
HVAC - 냉 난방공기조절장치
UPS - 무정전 전원공급장치
CVPSU = Power Conditioning - 정전압 공급장치
13. 저장장치 재사용을 위한 표준
overwrite : 3
format : 7
14. 상용 2차사이트 비교
가용성 수준
mirror > hot > warm > cold
15. 소화약재와 기능
물 : 온도
드라이파우더 : 산소 억제
CO2 : 산소억제
소다산 : 연료
halon 대체물 : 화학반응
16. 전산실 적정온도, 적정습도, 정전기 발생 조건
적정 온도 - 18 ~ 22도 사이
적정 습도 - 40 ~ 60%
60 초과시 액화, 응결
40이하시 정전기가 증가
17. 물리적 보안의 최후의 방어선
18. BIA 수행목적
- 핵심업무프로세스와 workflow 식별
- 핵심프로세스에 필요한 자산식별 : 자원요구사항 식별
- 업무중단으로 인한 영향의 정량적, 정성적 평가 및 위험분석
- MTD 산정
- 우선순위결정, 복구전략 개발
19. 물리적 통제수단
가동률 계산
MTTR + MTTF = MTBF
MTTF / MTBF * 100
전체 자동 증분 백업 방식의 백업시간과 복구시간 비교
백업시간 - 전체 > 차등 > 증분
복구시간 - 전체 < 차등 < 증분
범죄예방을 위한 환경디자인
CPTED
디스크 관리 기술
RAID 0 - STRIPING
RAID 1 - MIRRORING
RAID 2 - BIT, HAMMING CODE
RAID 3 - BYTE, PARITY DISK
RAID 4 - BLOCK, PARITY DISK
RAID 5 - PARITY CODE 사용
ISMS 한문제