4. 정보보안개론

1. 보안교육

1 - 1.보안관리 절차

1) 자산 식별

2) 위험 관리( R = VAT != 0)

3) 보안대책 수립

심층적 보안 {

a. 관리적 보안 : 정책, 교육, 인적보안

b. 기술적 보안 : F/W,IDS, IPS, 암호화

c. 물리적 보안 : 시설보안

}

1 - 2. 보안교육의 목적과 목표

개개인의 보안의식을 높이기 위함.

그로인한 이점에는 직원태도개선, 책임추적성 증가, 부정감소, 허가받지 않은 행동 감소, 회사 자원의 개인적 사용 감소 등이 있다.

1 - 3.보안교육의 과정

보안 교육의 인식 : 보안이 무엇인지 인지시키는 것

훈련

직무교육

(1-1은 전부, 1-2, 1-3은 보안직원들이 받는다.)

★1 - 4. 보안 인식교육 주제

1) 보안정책

   ★2) PDA 보안통제 (Personal digital assistants) : 통신 장치 및 휴대용 장치의 보안통제

3) 패스워드 사용 및 설정

4) 악성코드, 사회공학, 불법소프트웨어

보안교육은 전 직원을 대상으로 이루어진다. (경영진부터 신입직원까지)

경영진의 보안교육이 성공하려면 자극시킬만한 동기가 필요하게 된다.

1)FUD(Fear(두려움), Uncertainty(불확실성), Doubt(의심)) : 실제 사례를 바탕으로

두려움, 불확실성, 의심을 높여 보안의 필요성을 높이는 방법이다.

2) Due Care(신의성실의 원칙) : 책임성을 강조한다.

3) Productivity(생산성)

4) Team Up

교육이 성공적으로 이루어지기 위해선 이러한 요소들이 필요하다.

1) 중요 보안 정책

2) 경영진의 예산 지원

3) 타겟 대상(직원끼리, CEO끼리, 맞춤 교육)

2. 인적 보안

비밀을 지킬 의무가 있음을 주시한다. 개개인에 대한 권한 및 소유를 통제한다.

그리고 모든 민감한 위치(보안을 아는 사람들)에 있는 대상은 인적배경을 확인해야한다.

인적보안은 크게 총 세분류의 통제가 필요하다.

1) 신입직원 : 서약서(각서), 신원조회

2) 업무통제 : 직무분리, 직무 순환. 강제휴가

3) 퇴직직원

2 - 1. 서약서

a. Non-Compete(비 경쟁 서약서) - 조직내 유일한 업무를 하는 직원은 파업이 불가하다.(그 직업 파업하므로써 손실이 아주 크기때문에)

b. Non-Disclosure(비밀 유지 서약) - 직무중 취득한 비밀은 누설하지 않겠다.

c. 이해 충돌 각서 - 퇴사 후 일정기간동안 동종업체에 취업이 불가하다.

★2 - 2. 고용실무(업무 통제)★

a.직무 분리

독점적 권한 행사를 방지하기 위해 직무를 분리시킨다.

KEY : 부정예방

b.직무 순환

KEY :  공모예방, 부정탐지

c.강제휴가

KEY : 부정탐지