 |
 |
안철수연구소 특유의 정보보호컨설팅 수행을 위한 방법론 ASEM(AhnLab Security Engineering Methodology)은 과학적이며 체계적인 기법을 이용하여 기업이나 조직의 위험을 분석하고 대책을 수립하는 방법을 제시합니다.
본 방법론은 [계획수립-위험분석-대책수립-구현관리]의 4단계의 과정에서는 각 단계마다 실제 컨설팅 수행을 위해 사용될 수 있는 프로세스와 표준 템플릿이 제시되며, 마지막 5단계의 [마스터 플랜 및 프로젝트 관리]에 이르기까지 단계별 하부 프로세스가 존재합니다. |
|
 |
 |
|
 |
|
 |
|
 IT현황분석
대상 정보 시스템의 전반적인 현황 분석 요구분석
고객의 보안 요구 사항과 요구 수준을 분석 조직구성
컨설팅을 위한 추진 조직과 컨설팅 수행 조직을
확정 범위조정
최종적인 수행 범위를 조정하고 확정
|
|  | 사업 수행계획서
- 프로젝트 수행 목적
- 수행방안 및 범위
- 프로젝트 수행계획과 관리방안
- 품질보증 계획 프로젝트 팀 구성도 프로젝트 관리 체계 |
|
|
|
 |
|
보호수준 평가
기업의 전반적인 보안 수준을 설문조사를 통해
평가 자산분석
사업 및 업무 지원을 위한 응용시스템과 연관
시스템을 조사하고 중요도를 산정함으로써
취약점 분석 대상 선정 및 정보시스템 등급에
따른 보호수준 결정에 활용 위협분석
사업 및 업무 지원을 위한 정보시스템에
미칠 수 있는 위협을 식별하고 이에 대한 발생
가능성과발생시 피해 정도를 산정하여 위협을
최소화 할 수 있는 위협대응 시나리오 도출 취약점 분석
자산분석을 통해서 선정된 자산을 7개의 Sub
Process를 이용하여 소프트웨어, 서버, 네트워
크, PC의 물리적/관리적 취약점 분석, 제거,
개선할 수 있는 대책 제시 위험평가
자산 분석을 통해 도출된 중요도와 정보시스템
취약점 분석을 통해 산출된 취약도를 종합하여
위험도를 산출하며위험 수용치에 기준으로
대책수립 및 우선순위결정에 활용 |
| | 보안수준 평가 보고서
- 관리자 및 경영진, 운영자 면담 및
설문을 통한 보안수준 평가 GAP 분석 보고서 정보자산 분석 보고서 정보자산리스트
- 비즈니스에 따른 정보자산의 중요도
분석 (무결성, 기밀성, 가용성)
- 정보자산 중요도 분석 리스트 위험분석 보고서
- 보호관리 취약점 분석 보고서
- 서버 보안 진단 보고서
- 네트워크 보안 진단 보고서
- 어플리케이션 보안 진단 보고서
- 정보보호시스템 진단 보고서
- 위험 평가 보고서
|
|
|
|
|
 |
|
보호 전략 수립
정보보호의 비젼을 제시하고 정보보호의 목표
를 수립하며 정보보호 목표를 달성하기 위한
정보보호 전략 수립 보호 체계 수립
기업이나 조직의 업무나 사업을 안전하게 유지
하고 위험을 최소화하기위해 만들어진 외형적
구조, 정보보호를 위한 프로세스의 조합인 정보
보호체계를 수립 세부 대책 도출
도출된 대책들을 수행하거나 구축하는데 필요
한 조직, 인력, 기술적용가능성, 타당성, 기대
효과, 도입 및 구현비용 등의 세부 요건들을
도출하고 이에 필요한 총비용 분석 추진 계획 수립
세부 대책 수행을 위한 실행전략과 추진일정
계획을정보보호전략 및 보호대책의 우선 순위
에 근거하여 수립 |
| | 정보보호 대책수립 보고서
- 정보보호전략 수립
- 정보보호체계 수립 마스터 플랜
- 추진 전략
- 비용 분석
- 기술 적용 가능성 분석
- 요구 솔루션 비교분석
- 수행 우선 순위 평가
- 기대 효과 분석
- 단기, 중기, 장기 계획
- 일회성, 주기성 대책 수행 계획
- 단기 계획에 대한 세부 일정
- 중장기 계획에 대한 추진 일정
- 보안 솔루션 도입 일정 계획
- 외부 전문 기관 협력 계획 |
|
|
|
|
 |
|
정책수립
기존 보안 정책/지침의 검토와 함께 이행여부
를 점검하여 현재 운영 상황에 맞는 정보보호
정책을 수립하고 검토 및 수정, 승인을 과정을
통해 정보보호정책을 확정 솔루션 구현
도출된 대책들에 대한 비용, 기술, 조직 등의
타당성 분석 교육
대책수립 과정에서 도출된 기술적 대책의 요구
조건을 수용하는 정보보호솔루션을 도입하여
정보시스템 인프라에 최적화될 수 있도록 검증
및 테스트 과정을 거쳐 구현 점검
수립된 정보보호 정책 및 구현된 정보보호 솔루
션에 대한 전반적인 교육을 실시하고 필요 시
실무자를 대상으로 전문적인 교육 수행 |
| | 정책/지침
- 정보보안정책
- 정보보안조직운영지침
- 보안문서 관리 지침
- 인사보안지침
- 보안감사지침
- 정보자산분류지침
- 출입통제지침
- 클라이언트보안지침
- 재해복구지침
- 침해사고대응지침
- 서버보안지침
- 응용프로그램보안지침
- 네트워크보안지침
- 개발보안지침 정보보호솔루션 구현 보고서 정보보호 교육 수행 보고서 보안감사 보고서 |
|
|
|
|
 |
| ASEM은 [그림]에서와 같은 5가지 항목의 수행을 통해 결과를 도출합니다. |
 |
조직(기업)의 핵심사업 및 업무를 지원하는 응용시스템을 가장 우선적으로 분석 평가하고 이에 연관된 정보인프라의 위험을 분석함으로써 핵심사업의 안전성과 신뢰성을 위한 정보보호 대책을 제시한다. |
Plan(계획), Do(수행), See(점검), Control(통제) 측면에 대한 분석·평가를 수행함으로써 정확하고 세밀하게 현황을 파악하고 최적의 정보보호 대책을 도출한다. |
| | | Management | What(Noun) | Do(Verb) | | | Plan | | Policy,
Procedures | | 있는가?,
명문화되었는가? | | | Do | | Education,
Perfomance | | 시행(수행,실시)되었는가?,
어느정도 수행되었는가? | | | See | | Review,
Authurization,
Report | | 검토(시험, 조사, 분석) 되었는가?
승인되었는가?
보고되었는가? | | | Control | | Decision Making
Control (feedback)
Control (feedforward) | | 의사결정이 이루어졌는가?
반영되었는가? | |
|
각각의 프로세스를 모듈화 함으로써 다양한 환경에 대한 적용성이 뛰어나고 기업환경에 적합한 정보보호컨설팅 수행이 가능, 투자 대비 효과의 극대화
정보보호모델에 의해 보안수준과 보안수행목표를 설정하고 보안수행이 기업이나 조직의 사업목표나 전략수행에 미치는 기여도 측정지표(KPI)를 제시
기업이나 조직에 미칠 수 있는 위협에 대한 식별과 이에 대한 5단계의 대응 시나리오에 의해 도출된 정보보호대책을 검증함으로써 최적의 정보보호대책을 제시 |
| 출처:http://b2b.ahnlab.com/consulting/consulting_method.html |
