정보보호컨설팅 방법론-인포섹

인포섹은 고객사가 궁극적으로 추진하고자 하는 비즈니스 비젼과 정보시스템 인프라 구축 전략에 적합한 최적의 정보보안 컨설팅을 제공하고자 고객의 상황을 고려한 다양한 컨설팅 서비스를 제공하며, 정보보안 컨설팅을 통해 기업의 정보시스템에 대한 비밀성, 무결성, 가용성을 적정수준 이상으로 구현할 수 있도록 통합된 정보보안 체계를 구축하여 체계적이고 효율적으로 보안관리를 수행할 수 있도록 합니다.

인포섹의 "전사 보안 체계 컨설팅 방법론(Infosec Security Consulting Methodology : ISCM)"은 미국의 ALC의 위험평가방법론, ISO, BS7799 의 보안관리체계, 국내 정부/감독기관의 관리체계 등을 수용한 체계적인 보안컨설팅 방법론을 기초로, 다양한 보안 프로젝트 수행을 통해 축적된 경험과 지식이 반영된 인포섹㈜ 고유의 정보보호컨설팅 방법론입니다.

보안컨설팅 수행절차에 따른 활동의 결과로서 각 단계별 주요 산출물은 다음과 같습니다. (* 컨설팅 수행범위에 따라 각 단계별 산출물은 달라질 수 있음.)

단 계 주요 산출물 설 명 프로젝트 준비 - 세부 추진 계획서 - 컨설팅 세부 일정, 작업요소 및 주요 담당자 정의 IT보안환경 및 요구분석 - 업무환경 및 요구사항 분석서 - 조직의 특성 및 업무환경 정보보안 설계의   요구사항과 설계에 반영될 요소들을 정리 취약성 분석 및 위험평가 - 취약성 분석 및 수준평가   보고서 - 모의해킹 보고서 - 위험평가 보고서 - 조직의 보안수준을 관리적, 물리적, 기술적   영역에서 분석 및 평가 - 네트웍, 시스템, 어플리케이션, 데이터베이스 등   시스템 전반에 대한 위험정도를 설문/인터뷰 조사,   Scanning 도구 및 실제 침입시험을 통해 분석 - A기업 정보시스템의 자산분석, 위협분석, 취약성   분석을 통하여 위험수준을 평가 중간보고 - 중간보고서 - 현황평가, 취약성 분석 및 위험평가 단계에서의   평가 결과를 설명 전사 보안 체계 수립 - 정보보안 체계 설계서 - 정보보안 지침서 - 관리적, 물리적, 기술적 영역별 보안 체계 제시 - 관리적, 물리적, 기술적 영역별로 준수해야 할   구체적인 보안 정책 및 지침을 정의 보안 솔루션 선정 - 이행계획서   (Master Plan) - 보안 솔루션별로 요구되는 기능과 선정시 고려   해야 할 사항들을 정의 이행계획 수립 - 태스크 내용, 목적, 세부작업 및 진행계획, 예상   기간, 비용 등 정보보안 구축 계획을 제시 완료보고 - 최종 보고서 - 전사 보안 체계 및 중,장기 이행 계획 수립에 대한    컨설팅 결과 설명

· 실무자와의 실무적/기술적 문제해결의 한계 · 경영층의 관심유도 미팅, 세미나의 강화 · 위험에 대한 인식 강화 · 조직의 구성 정당성 강화

· 보안실무에 있어서 제품개발자의 Approach가 아닌 System Administrator로서의 Approach · 공격자 만큼 방어자/관리자의 역할 부각 · 보안이론이 아닌 실무보안관리

· 이행권고가 아닌 이행 template의 제시(관리, 기술 모두) · 보안제품설계 뿐 아니라 보안이행구조설계

· 결국 대상 조직의 자체 이행, 유지보수 가능케 지원 · 세부분야는 지속적인 지원, 유지보수

· 고정적인 방법론 체계에 묶이지 않고 확장가능성 유지

http://www.skinfosec.co.kr/service/consulting.htm