1. 보안 프로그램
보안을 위한 관리적 통제이다. (컴퓨터에서 사용하는 백신 X)
2. 보안 정책
2 - 1. 정의
반드시 충족해야할 요구사항 또는 규칙에 대한 윤곽을 명시한 문서
(High-Level-Statement)
2 - 2. 서술 기법
간단명료하고 포괄적인 용어로 작성되어야함. (헌법같은 높은 레벨의 문서이기 때문에)
★3. 보안 정책의 종류
상위 정책 : 모든 조직에 적용되는 정책
하위 정책 : 부서, 장비별 적용되는 정책
ex) i. AUP(Acceptable Use Policy) : 회사의 장비는 사적으로 사용하면 안된다. (허가된 사용에 대한 정책)
ii. 계정정책
iii. 인증정책
iv. 원격접속에 대한 정책
v. 엑스트라넷 연결 정책
참고 )
인터넷 : 불특정 다수의 정보공유
인트라넷 : 사내통신망 + 인터넷 = 내부망
엑스트라넷 : 인트라넷끼리의 모음 + 방화벽
3 - 1. 보안정책의 주제별 분류
i. Organization - 최상위 레벨 문서, 조직의 전략적 방향제시, 자원 할당
ii. Issue-Specific - 발생한 상황에 따라 정책을 수립
III. System-Specific - 개별시스템에 대한 목적 정의, 접근 통제를 위한 규칙
3 - 2. 문서(?)
정책(Policy) - '무엇'을 보호할것인가에 대한 기술
표준(Standard) - 정책을 어떻게 달성할것인가를 위한 문서, 의무적(Compulsory) 사항
지침(Guideline) - 제안적인 사항(Suggestive)
절차(Procedure) - 포괄적으로 표현한 정책을 자세히 표현한 문서
참고 )
Due Care : 반드시 행동에 있어 책임을 져야한다. 위반시 처벌의 대상이 되어야함.(의무적)
Due Diligence : 일을 수행하는 데 있어 꼭 책임을 질 필요가 없다. 위반시 처벌의 대상이 되지않음.(제안석)