IT Knowledge/Security/images/24-보안-정책과-거버넌스-diagram.svg
보안 정책과 거버넌스 (Security Policy & Governance)
보안 정책 수립과 거버넌스 프레임워크를 이해합니다.
📌 학습 목표
- 보안 정책 계층 구조 이해
- 거버넌스 프레임워크 이해
- ISO 27001, NIST, COBIT 프레임워크 알기
- 위험 관리 프로세스 이해
- 보안 정책 작성 방법 습득
1. 보안 정책 계층
계층 구조
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Level 1: 정책 (Policy)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
목표, 원칙, 의향 선언
Level 2: 절차 (Procedures)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
단계별 수행 방법
Level 3: 표준 (Standards)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
구체적인 기술적/관리적 요구사항
Level 4: 가이드라인 (Guidelines)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
권장 사항, 최적 실천
Level 5: 체크리스트 (Checklists)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
점검 항목, 확인 사항
정책 예시
1. 정보 보안 정책 (Information Security Policy)
정책 번호: ISP-001
버전: 2.0
유효 기간: 2024-01-01 ~ 2027-12-31
1. 목적
이 정책은 회사의 정보 자산을 보호하기 위한
목적과 원칙을 명시합니다.
2. 범위
- 회사의 모든 직원
- 모든 정보 자산
- 모든 시스템과 네트워크
3. 책임
- CISO: 보안 정책 전체 책임
- 부서장: 부서 보안 책임
- 직원: 정책 준수 책임
4. 기밀성
- 권한 없는 자는 접근 불가
- 분류 등급: Public/Internal/Confidential/Secret
5. 무결성
- 데이터 위변조 방지
- 주기적 무결성 검증
6. 가용성
- 99.9% 가용성 목표
- 재해 복구 계획 수립
7. 규정 준수
- 개인정보보호법
- 정보통신망법
- ISO 27001 표준
8. 위반 조치
- 경고, 정직, 해고
- 법적 조치 가능
서명:
CEO: ___________________ 날짜: _______
CISO: __________________ 날짜: _______
2. 암호 정책 (Password Policy)
정책 번호: PP-001
버전: 1.5
1. 패스워드 길이
- 최소 12자
- 최대 128자
2. 복잡성
- 대문자 1개 이상
- 소문자 1개 이상
- 숫자 1개 이상
- 특수문자 1개 이상
3. 수명 주기
- 90일마다 변경
- 재사용 불가 (최근 5개)
4. 계정 잠금
- 5회 실패 시 15분 잠금
5. 기본 패스워드 금지
- 출판된 단어
- 회사명, 사용자명
- 연속된 숫자/문자
6. 공유 금지
- 패스워드 공유 금지
7. 저장 금지
- 종이, 텍스트 파일 저장 금지
2. 거버넌스 프레임워크
NIST Cybersecurity Framework (CSF)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. 인식 (Identify)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- 자산 식별
- 위협 식별
- 위험 식별
- 취약점 식별
2. 보호 (Protect)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- 액세스 제어
- 교육 및 훈련
- 데이터 보안
- 유지보수
3. 탐지 (Detect)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- 이상 활동 탐지
- 보안 이슈 탐지
- 테스트 및 연습
4. 대응 (Respond)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- 대응 계획
- 의사소통
- 분석
- 완화 및 완화
5. 복구 (Recover)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- 복구 계획
- 개선
- 의사소통
ISO 27001
11개 도메인
| 도메인 | 설명 |
|---|---|
| A.5 정보 보안 정책 | 보안 정책 수립 및 유지 |
| A.6 정보 보안 조직 | 내부 구조, 역할 및 책임 |
| A.7 인력 자원 보안 | 직원 교육 및 접근 제어 |
| A.8 자산 관리 | 정보 자산 식별 및 보호 |
| A.9 액세스 제어 | 사용자 및 시스템 액세스 제어 |
| A.10 암호화 | 암호화 정책 및 표준 |
| A.11 물리적 보안 | 물리적 보안 통제 |
| A.12 운영 보안 | 운영 절차 및 보안 |
| A.13 시스템 취득/개발/유지보수 | 보안 요구사항 통합 |
| A.14 공급자 관계 | 공급자 보안 관리 |
| A.15 사건 대응 | 사고 대응 절차 |
COBIT 2019
5원칙
- 제공 보장: 가치, 위험, 리소스 균형
- 전체적 접근: 전체 조직 보장
- 거버넌스 팀워크: 거버넌스 및 관리 통합
- 헬리컬 통합: 통합 프레임워크
- 동적 거버넌스 시스템: 지속적 개선
40거버넌스 목표
────────────────────────────────────────────────
Governance (G) 목표
────────────────────────────────────────────────
G01: 거버넌스 프레임워크 유지보수
G02: 정보 전략 정렬
G03: 방향 및 통신 제공
...
────────────────────────────────────────────────
Management (M) 목표
────────────────────────────────────────────────
M01: 운영 계획 수립 및 유지보수
M02: 아키텍처 정의 및 유지보수
M03: 아키텍처 트랜스포메이션
...
────────────────────────────────────────────────
Evaluate, Direct, Monitor (EDM) 목표
────────────────────────────────────────────────
EDM01: 거버넌스 시스템 모니터링
EDM02: 방향 및 성과 평가
...
3. 위험 관리
위험 관리 프로세스
graph TD A[자산 식별] --> B[위협 식별] B --> C[취약점 식별] C --> D[위험 평가] D --> E{위험 수준} E -->|높음| F[완화 계획] E -->|중간| G[완화/전략] E -->|낮음| H[수용] F --> I[완화 구현] G --> I H --> I I --> J[모니터링 및 재평가] J --> D
위험 평가
1. 위협 식별
| 위협 유형 | 예시 |
|---|---|
| 내부 | 직원 오류, 악의적 직원 |
| 외부 | 해커, 랜섬웨어, 사회공학 |
| 자연재해 | 화재, 홍수, 지진 |
2. 취약점 식별
| 취약점 유형 | 예시 |
|---|---|
| 기술적 | 소프트웨어 버그, 구성 오류 |
| 물리적 | 건물 락, 서버실 보안 |
| 관리적 | 정책 미준수, 교육 부족 |
3. 위험 평가
graph LR A[위협] --> B[취약점] B --> C[위협 + 취약점 = 위험] C --> D[영향 × 발생 확률 = 위험 등급]
위험 매트릭스:
낮음 중간 높음 심각
──────┬────────┬────────┬────────┬
낮음 │ 낮음 │ 낮음 │ 중간 │ 중간 │
──────┼────────┼────────┼────────┼
중간 │ 낮음 │ 중간 │ 중간 │ 높음 │
──────┼────────┼────────┼────────┼
높음 │ 중간 │ 중간 │ 높음 │ 심각 │
──────┼────────┼────────┼────────┼
심각 │ 중간 │ 높음 │ 심각 │ 심각 │
──────┴────────┴────────┴────────┴
낮음 중간 높음 심각
(영향)
4. 위험 대응 전략
| 전략 | 설명 | 예시 |
|---|---|---|
| 완화 (Mitigate) | 위험 수준 낮춤 | 방화벽, 패치 |
| 전략 (Transfer) | 위험 이전 | 보험 가입, 아웃소싱 |
| 수용 (Accept) | 위험 수용 | 잔여 위험, 비용 대비 효과 높음 |
| 회피 (Avoid) | 활동 중단 | 위험한 시스템 폐기 |
4. 보안 거버넌스 구조
역할과 책임
| 역할 | 설명 | 책임 |
|---|---|---|
| Board of Directors | 이사회 | 거버넌스 승인, 책임 |
| CEO | 최고 경영자 | 보안 책임, 자원 할당 |
| CISO | 최고 정보 보안 책임자 | 보안 프로그램 리드 |
| CIO | 최고 정보 책임자 | IT 전략, 보안 통합 |
| CSO | 최고 보안 책임자 | 보안 전체 책임 |
| Security Team | 보안 팀 | 보안 운영, 모니터링 |
| IT Team | IT 팀 | 시스템 운영, 패치 |
| All Employees | 모든 직원 | 정책 준수, 교육 |
위원회
보안 위원회
- 구성: CISO, CIO, CSO, 부서장
- 목적: 보안 전략 검토, 의사결정
- 빈도: 월 1회
위험 관리 위원회
- 구성: CISO, 위험 관리자, 부서장
- 목적: 위험 평가, 대응 전략 수립
- 빈도: 월 1회
5. 보안 정책 작성 가이드
정책 작성 절차
-
요구사항 분석
- 법적 요구사항
- 규제 요구사항
- 비즈니스 요구사항
-
이해관계자 식별
- 경영진
- 직원
- 고객
- 파트너
-
정책 초안 작성
- 목적, 범위, 책임
- 절차, 표준
-
검토 및 승인
- 보안 팀 검토
- 법무팀 검토
- 경영진 승인
-
배포 및 교육
- 모든 직원 전달
- 교육 세션
-
모니터링 및 개선
- 준수 모니터링
- 정기적 검토 (연 1회)
정책 템플레이트
# [정책 이름]
## 정책 번호
POL-XXX
## 버전
1.0
## 유효 기간
YYYY-MM-DD ~ YYYY-MM-DD
## 목적
[이 정책의 목적과 필요성 설명]
## 범위
- [적용 대상]
- [제외 대상]
## 정책 내용
### 1. [섹션 제목]
[정책 내용]
### 2. [섹션 제목]
[정책 내용]
## 책임
| 역할 | 책임 |
|------|------|
| [역할] | [책임] |
## 위반 조치
[정책 위반 시 조치 설명]
## 관련 정책
- [관련 정책 링크]
## 참조
- [법적 참조]
- [규제 참조]
## 개정 이력
| 버전 | 날짜 | 변경 내용 |
|------|------|-----------|
| 1.0 | YYYY-MM-DD | 초안 작성 |
승인:
______________ ______________
CEO 서명 CISO 서명
날짜: ________ 날짜: ________🎯 실습 과제
1. 보안 정책 작성
비즈니스 시나리오:
- 50인 IT 스타트업
- 클라우드 기반 서비스
- 원격 근무 직원 20명
작성할 정책:
- 원격 근무 보안 정책
- 클라우드 보안 정책
- 암호 정책
2. 위험 평가 실습
시나리오:
- 웹 서버 1대
- 고객 데이터 10,000건 저장
- 웹 애플리케이션 SQL 인젝션 취약점
평가:
- 위협 식별
- 취약점 식별
- 위험 등급 평가
- 대응 전략 수립
3. 거버넌스 구조 설계
50인 스타트업에 적합한 보안 거버넌스 구조 설계:
- 역할 정의
- 위원회 구성
- 위험 관리 프로세스 설계
✅ 학습 체크리스트
- 보안 정책 계층 구조 이해
- NIST CSF 프레임워크 이해
- ISO 27001 표준 이해
- COBIT 거버넌스 원칙 이해
- 위험 관리 프로세스 이해
- 위험 평가 방법 습득
- 보안 정책 작성 방법 이해
- 거버넌스 구조 설계 능력
🔗 관련 노트
📚 참고 자료
다음 학습: IDS