정보보안 평가 프로세스

1. 평가(Assessment)

  1) 정보보안 평가의 목적
    ■정보자산의 가치를 결정하기 위해
       ○그러한 자산의 비밀성, 무결성, 가용성, 그리고/또는 책임추적성에 대한 위협을 결정하기 위해
       ○ 조직의 현재 관행에 존재하는 고유의 취약성을 결정하기 위해
       ○ 정보 자산에 관련해서 조직에 내포된 위험을 확인하기 위해
       ○ 받아들일만한 수준으로 위험을 줄이는 현재 관행에 대한 변경을 추천하기 위해      
    ■적절한 보안 계획을 세우기 위한 기초를 제공하기 위해
  
  2) 5가지 일반적인 유형의 평가
    ■시스템 수준(System-Level) 취약성 평가
    ■네트워크 수준(Network-Level) 위험 평가
       ▼ 네트워크상의 시스템의 종류와 수
       ▼ 운영 체제와 버전
       ▼ 네트워크 토폴로지(스위치, 라우터, 브리지 등)
       ▼ 인터넷 접속 포인트
       ▼ 인터넷 사용
       ▼ 방화벽의 형태, 수, 그리고 버전
       ▼ 전화 접속 점
       ▼ 원격 접속의 형태
       ▼ 광역 네트워크 토폴로지
       ▼ 원격 사이트에 접근 점
       ▼ 다른 조직에 대한 접근 점
       ▼ 웹 서버, ftp서버, 메일 게이트웨이의 위치
       ▼ 네트워크에 사용되는 프로토콜
       ▼ 네트워크를 통제하는 사람

       ▼ 모든 인터넷 접근 점에 대한 라우터 접근 통제 리스트와 방화벽 규정
       ▼ 원격 접속에 대해 사용되는 인증 매커니즘
       ▼ 다른 조직으로의 접근 점에 대한 보호 매커니즘
       ▼ 정보의 전송과 저장에 사용되는 암호화 매커니즘
       ▼ 이동 컴퓨터를 보호하기 위해 사용되는 암호화 매커니즘
       ▼ 서버, 데스크탑, 그리고 전자우편 시스템에 적절한 안티-바이러스 시스템
       ▼ 서버 보안 설정

    ■조직 전반(Organization Wide ) 위험 평가
       ▼조직의 네트워크
       ▼조직의 물리적인 보안 측정
       ▼ 조직의 현재 정책과 절차
       ▼ 조직이 가진 예방조치가 올바른 위치에 놓여 있는 것
       ▼ 보안 문제에 대한 고용인의 인식
       ▼ 조직의 고용인
       ▼ 고용인의 업무 부하
       ▼ 고용인의 태도
       ▼ 현재의 정책과 절차에 대한 고용인의 충실도
       ▼ 조직의 업무


    ■감사
    ■침투 테스트

2. 정책(Policy)

3. 실행(Implementation)

4. 훈련(Training)

5. 감사(Audit)