본문 바로가기

Work Log/As Cybersecurity Consultant

정보보호제품을 선정할 때에 고려해야 할 사항 (NIST 800-36)

정보보호제품을 선정할 때에 고려해야 할 사항으로 NIST 800-36 중에 나온 검토 항목들을 참고하여 기준을 만들면 도움이 될 것으로 보여 적어본다.


* 조직 관련

- 사용자 커뮤니티

- 정보보호 제품과 조직의 미션간 관계

- 데이터의 민감도

- 조직의 보안 요구사항, 정책, 절차, 운영 이슈(운영, 유지보수, 훈련 등)


* 제품 관련

- 전체 라이프 사이클 비용 (해당 정보보호 솔루션의 획득과 지원을 포함한)

- 사용 편의성

- 확장성

- 상호운용성 요건

- 테스트 요건

- 알려진 취약성

- 관련된 패치의 적용 요건

- 현재 있거나 계획중인 조직의 프로그램, 정책, 절차, 표준 대비 제품 스펙을 검토하기 위한 요구사항 및 방법

- 다른 제품과의 보안 관련 의존성

- 현재의 인프라와의 상호작용


* 벤더 관련

- 특정 제품의 선택이 향후 정보보호를 선택하는 데에 있어서 뭔가 제한하는 것이 있는지

- 해당 제품의 벤더 경험

- 해당 제품의 보안 겸함에 대한 벤더의 대응 이력