차례:
- 기준선 설정은 조직을 시작점 또는 최소 표준과 비교하거나 시간 경과에 따른 조직 내 진행 상황을 비교하는 데 사용되는 표준 비즈니스 방법입니다. 보안 컨트롤을 사용하면 다음과 같은 유용한 방법으로 유용한 정보를 얻을 수 있습니다.
- 조직의 다른 부분과 기본 IT 시스템은 서로 다른 데이터 집합을 저장하고 처리하기 때문에 조직이 단일 제어 집합을 설정하고 모든 시스템에이를 적용하는 것은 의미가 없습니다 . 지나치게 단순화 된 데이터 분류 프로그램과 결과적으로 데이터의 과도한 보호 및 과소 평가와 같이 조직은 종종 자체를 논리 영역으로 나누고이 영역에 적용 할 컨트롤과 컨트롤 집합을 지정합니다. 또 다른 접근법은 상이한 IT 시스템 및 조직의 부분에 대한 제어 및 제어 세트를 조정하는 것이다. 예를 들어, 암호 강도에 대한 제어는 다양한 보안 수준을 갖는 시스템에 적용되는 범주를 가질 수 있습니다. 복합적인 IT 환경에 복잡한 제어 환경을 적용하기위한 두 가지 접근 방식 모두 유효합니다 - 실제로 동일한 목적을 달성하는 다른 방법 : 다양한 정보를 기반으로 다양한 시스템 및 환경에 적절한 수준의 제어 적용 처리 또는 기타 기준.
- ISO27002
비디오: (Korean) 데이터 보안 규정 준수 2024
보안 전문가로서 그게 당신 직업입니다. 정보 라이프 사이클 관리 (ILM)는 다음 5 단계를 통해 데이터를 다룹니다.
- 창조. 데이터는 최종 사용자 또는 애플리케이션에 의해 생성됩니다. 데이터는 중요도와 민감도를 기준으로 분류되어야하며 데이터 소유자 (일반적으로 항상 그런 것은 아니지만 일반적으로 작성자)를 할당해야합니다. 데이터는 문서, 스프레드 시트, 이메일 및 문자 메시지, 데이터베이스 레코드, 양식, 이미지, 프리젠 테이션 (화상 회의 포함) 및 인쇄 된 문서와 같은 다양한 형태로 존재할 수 있습니다.
- 배포 ("동작중인 데이터"). 데이터는 조직 내에서 내부적으로 배포 (또는 검색)되거나 외부 수신자에게 전송 될 수 있습니다. 배포는 수동 (예: 택배) 또는 전자 (일반적으로 네트워크를 통한) 일 수 있습니다. 전송중인 데이터는 위험에 노출되기 쉽기 때문에 데이터 분류를 기반으로 적절한 안전 장치를 구현해야합니다. 예를 들어, 공용 네트워크를 통해 특정 민감한 데이터를 보내려면 암호화가 필요할 수 있습니다. 그러한 경우 적절한 암호화 표준이 수립되어야합니다. 민감한 데이터의 의도하지 않거나 의도적 인 무단 배포를 방지하기 위해 DLP (데이터 손실 방지) 기술을 사용할 수도 있습니다.
- 사용 ("사용중인 데이터"). 이 단계는 최종 사용자 또는 응용 프로그램에서 액세스 한 데이터를 말하며 해당 사용자 또는 응용 프로그램에서 활발히 사용 (예: 읽기, 분석, 수정, 업데이트 또는 복제)합니다. 사용중인 데이터는 데이터의 분류 수준에 대해 권한이 부여 된 시스템에서만, 그리고 적절한 사용 권한 (허가)과 목적 (알 필요)이있는 사용자 및 응용 프로그램에서만 액세스해야합니다.
- 유지 보수 ("휴면 데이터"). "동작 중"또는 "사용중"이 아닌 데이터의 생성과 처리 사이의 모든 시간 동안 데이터는 "정지 상태"로 유지됩니다. 유지 관리에는 하드 드라이브, 이동식 USB 엄지 드라이브, 백업 자기 테이프 또는 용지와 같은 미디어의 저장 장치 및 데이터 (예: 디렉터리 및 파일 구조의 파일) 보관이 포함됩니다. 또한 데이터를 백업하고 백업 미디어를 안전한 오프 사이트 위치 ("전송중인 데이터"라고 함)로 전송할 수 있습니다. 분류 등급을 업그레이드해야하는지 (일반적인 것이 아닌지) 또는 다운 그레이드 할 수 있는지 결정하기 위해 데이터의 분류 등급을 정기적으로 검토 (일반적으로 데이터 소유자가 검토)해야합니다.
- 기밀 유지 (및 개인 정보 보호)를 보장하기 위해 적절한 안전 장치를 구현하고 정기적으로 감사해야합니다. 예를 들어 시스템, 디렉토리 및 파일 권한 및 암호화를 사용합니다.
- 무결성. 예를 들어,베이스 라인, 암호화 해시, 순환 중복 검사 (CRC) 및 파일 잠금 (여러 동시 사용자에 의한 데이터 수정 방지 또는 제어)을 사용합니다. 사용 가능 여부.
- 예를 들어, 데이터베이스 및 파일 클러스터링 (단일 실패 지점 제거), 백업 및 실시간 복제 (데이터 손실 방지)를 사용합니다.
- 마지막으로, 더 이상 가치가 없거나 더 이상 조직에 유용하지 않은 데이터는 기업 보존 및 폐기 정책 및 관련 법률 및 규정에 따라 적절하게 파괴되어야합니다. 특정 민감한 데이터는 데이터 소유자의 최종 처분 결정을 요구할 수 있으며 특정 파괴 절차 (예: 목격자, 기록 및 자기 제거 후 물리적 파괴)가 필요할 수 있습니다.
데이터 잔여성은 데이터가 "삭제 된"후에도 저장 매체 또는 메모리에 여전히 존재하는 데이터를 나타냅니다.
기준선
기준선 설정은 조직을 시작점 또는 최소 표준과 비교하거나 시간 경과에 따른 조직 내 진행 상황을 비교하는 데 사용되는 표준 비즈니스 방법입니다. 보안 컨트롤을 사용하면 다음과 같은 유용한 방법으로 유용한 정보를 얻을 수 있습니다.
- . 조직은 컨트롤 세트를 다른 조직과 비교하여 컨트롤에 어떤 차이가 있는지 확인할 수 있습니다. 시간 경과에 따른 내부 통제 비교
- . 조직은 일정 기간 동안 통제 집합에서 어떤 변화가 발생했는지 확인하기 위해 통제 집합을 기준으로 설정할 수 있습니다. 시간에 따른 통제 효과 비교
- . 조직은 통제 효율성에 대한 기록을 비교하여 진행 상황을 확인하고 더 많은 노력을 기울여 진행 상황을 파악할 수 있습니다. 범위 지정 및 맞춤
조직의 다른 부분과 기본 IT 시스템은 서로 다른 데이터 집합을 저장하고 처리하기 때문에 조직이 단일 제어 집합을 설정하고 모든 시스템에이를 적용하는 것은 의미가 없습니다. 지나치게 단순화 된 데이터 분류 프로그램과 결과적으로 데이터의 과도한 보호 및 과소 평가와 같이 조직은 종종 자체를 논리 영역으로 나누고이 영역에 적용 할 컨트롤과 컨트롤 집합을 지정합니다. 또 다른 접근법은 상이한 IT 시스템 및 조직의 부분에 대한 제어 및 제어 세트를 조정하는 것이다. 예를 들어, 암호 강도에 대한 제어는 다양한 보안 수준을 갖는 시스템에 적용되는 범주를 가질 수 있습니다. 복합적인 IT 환경에 복잡한 제어 환경을 적용하기위한 두 가지 접근 방식 모두 유효합니다 - 실제로 동일한 목적을 달성하는 다른 방법: 다양한 정보를 기반으로 다양한 시스템 및 환경에 적절한 수준의 제어 적용 처리 또는 기타 기준.
표준 선택
보안 전문가의 사용을 위해 여러 가지 우수한 제어 프레임 워크를 사용할 수 있습니다. 어떤 경우에도 처음부터 다시 시작할 필요는 없습니다. 대신, 업계 최고의 컨트롤 프레임 워크 중 하나를 사용하여 시작한 다음 조직의 필요에 맞게 개별 컨트롤을 추가하거나 제거하는 것이 가장 좋습니다.
제어 프레임 워크 표준에는
ISO27002
, 정보 보안 관리 실무 규범이 포함됩니다.
COBIT
- , 정보 및 관련 기술에 대한 통제 목적. NIST 800-53
- , 연방 정보 시스템 및 조직을위한 권장 보안 제어 암호화 (Cryptography)
- Crypto는 네트워크를 통해 움직이는 데이터 나 서버 또는 워크 스테이션의 정지 된 데이터에 대해 이야기하고 있든간에 데이터 보호에 중요한 역할을합니다. 암호화는 사람들이 민감한 데이터에 액세스 할 수있는 상황이 있기 때문에 데이터를 숨기는 것이 중요합니다. crypto는 암호 키와 암호 해독 방법을 소유하지 않는 한 액세스하는 사람을 거부합니다.
