반응형
우리나라의 중소기업은 정보보호의 사각지대에 놓여 있다고도 볼수 있다. 대기업도 보안에투자 하기가 쉽지 않은데 중소기업에서 투자 하기란 경영자의 마인드가 잘 갖추어져 있지 않으면 힘들다. 그래서 중소기업IT 보안은 어떻게 하면 될까? 라는 부분을 조금더 실천적이고 실용적인 면을 통하여 고민해 보기로 하자.
정보보호의 3원칙적인 측면에서 한번 살펴 보기로 하자. 흔히 우리가 말하는 정보보호는 관리적, 물리적, 기술적 보안으로 나누어 이야기 하기 때문에 각 측면에서 중소기업의 정보보호에 대한 면을 고민해 볼 필요성이 있는 것이다. 아래 사항들을 참고 해 보시면 좋겠습니다.
1. 물리적 보안
외부 방문자 관리
갑작스런 정전에 대비하는 UPS 마련
2. 관리적 보안
관리자 보안
임직원 보안
데이터 백업과 자료보관
비상복구 및 재해 복구
3. 기술적 보안
- 서버 접근에 대한 계정관리
-관리자 (모든 권한 1개)
-개발자 (읽기,쓰기)
-일반사용자(읽기)
- 개인 컴퓨터 운영에 관한통제
-CMOS 암호설정, 화면보호기, 컴퓨터내 개인정보삭제, 도난방지
-바이러스대비 백신 설치 의무화, 담당자 바이러스 우려되는 날짜에 메일 발송
- 개발과정에서 통제
-소프트웨어,하드웨어 반드시 문서 보관관리
-개발 관련 자료 문서 외부 유출 금지
-개발된 소프트웨어 모듈은 재사용가능
-개발된 소프트웨어가 제품화 되기까지는 보안채널을 통하여 접근
- 데이터 관리 통제
-기밀자료는 보안부서 책임하에 따로 관리
-기밀자료에 대한 변경 및 이용은 관리자 입회하에 관리대장 이용
-네트워크 보안 통제
-보안관리자 외부 공격에 대한 사례분석 사전 근절
- 내부 IP유출 안되게
- 사용자 임의 IP변경 통제
- 중요한 시스템은 인터넷으로 부터 분리
외부 방문자 관리
-외부인 출입시 방문자와 사전 방문예약
-외부인 방문시 모든 업무는 회의실에서 진행
-외부인 회의실 이탈시 함께 동행
-비상구를 통한 임의 이동시 내부에서만 개폐되도록 관리
갑작스런 정전에 대비하는 UPS 마련
2. 관리적 보안
관리자 보안
-정보보호에 관련된 외부기관에 정기적 교육 참여
-정기적으로 기업의 취약성과 위험에 대한 분석
-기업내.외적 문제점 경영진에 보고, 경영진은 적극 검토하여 사전대비
임직원 보안
-중요한 직원의 퇴사에 대한 보안관리
-회사내 자산이 될수 있는 모든 것 반
-기업 정보 누설하지 않는다는 동의서 사인
-퇴사자 면담
데이터 백업과 자료보관
-자료 접근시 권한에 따라 접근 (케비넷 관리자 승인하에 접근)
-시스템내 중요 자료에 대해서는 별도의 저장매체에 보관 (CD,테이프,외장형하드,테이프)
-문서관리와 같이 관리자가 직접 담당
-자료 접근시 관리자의 승인하에 접근하고 자료 유출에 따른 보안 동의서 작성
-천재지변에 따른 내부백업과 데이터센터 등 외부 백업
비상복구 및 재해 복구
- 재해 발생 위험 요소를 찾아 사전에 방지
-직원들의 내부 통제 강화
- 관리자가 정기적인 메일을 통해 위험요소 알림.
3. 기술적 보안
- 서버 접근에 대한 계정관리
-관리자 (모든 권한 1개)
-개발자 (읽기,쓰기)
-일반사용자(읽기)
- 개인 컴퓨터 운영에 관한통제
-CMOS 암호설정, 화면보호기, 컴퓨터내 개인정보삭제, 도난방지
-바이러스대비 백신 설치 의무화, 담당자 바이러스 우려되는 날짜에 메일 발송
- 개발과정에서 통제
-소프트웨어,하드웨어 반드시 문서 보관관리
-개발 관련 자료 문서 외부 유출 금지
-개발된 소프트웨어 모듈은 재사용가능
-개발된 소프트웨어가 제품화 되기까지는 보안채널을 통하여 접근
- 데이터 관리 통제
-기밀자료는 보안부서 책임하에 따로 관리
-기밀자료에 대한 변경 및 이용은 관리자 입회하에 관리대장 이용
-네트워크 보안 통제
-보안관리자 외부 공격에 대한 사례분석 사전 근절
- 내부 IP유출 안되게
- 사용자 임의 IP변경 통제
- 중요한 시스템은 인터넷으로 부터 분리
간단하지만 크게 관리적,물리적,기술적 보안으로 나누고 그 안에서 각자 기업 환경에 맞게 추가 하면서 만들어 가는게 중요하다고 하겠다.
사실 이러한 부분들은 일부 예시에 지나지 않고 정책,표준,지침,절차를 만들어 하나하나씩 세부 계획을 세워 가면 어떤 뼈대를 만들수 있는 것이다.
그런 부분들은 대기업은 인력과 예산이 있으니까 잘 구성이 되겠지만 중소기업은 그런 부분에 대한 관심조차도 없기 때문에 사실 어려운 것이다..그러기 위해서는 경영자의 적극적인 지지가 있어야 하고 담당자는 같은 동종업계에서 정보보호 유출로 인한 사건 사례를 파악하고 있어야 하며 그런 것을 경영자에게 적극 어필하여 정보 유출시 손실될 경제적 사항도 고려하여 지속적으로 보고를 해야 할 것이다.
간단한 지침과 절차를 예를 들어 본다면 [시스템운영지침] [보안시스템 운영지침] [PC보안관리 지침] 등 여러가지 지침과 절차에 따르도록 꾸준한 교육과 지속적인 계획도 중요 하겠다.
이런 측면에서 아주 귀중한 자료를 오픈해준 분이 계시는데 정보보호업체에 근무하시는 신수정전무님 개인 홈페이지를 참고 해 보시면 많은 자료를 오픈해 주셨다..참고할만한 귀중한 자료들이 많으니 한번 참고 해 보시기 바란다.
반응형
'Security Policy' 카테고리의 다른 글
| 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가? (0) | 2009.01.18 |
|---|---|
| 정보보호법안들 18대 국회에서도 통과는 될런지 (8) | 2008.12.31 |
| [제안] KISA, 블로그, 블로거 기자단 운영하면 어떨까? (2) | 2008.11.10 |
| 시큐어넷 싸이트, 통계 메뉴 있으나 마나 (0) | 2008.11.05 |
| 정보보호의 경제적 분석 연구 동향 (2) | 2008.11.03 |
