본문 바로가기

Work Log/As Cybersecurity Consultant

정보보호 원칙


OECD 정보보호 원칙


 원칙

설명 

 책임추적성

 (Accountability)

 정보 시스템의 소유자, 공급자, 사용자 및 기타 관련자들의 책임과 책임추적성이 명확해야 한다.

 인식성

 (Awareness)

 소유자, 사용자 그리고 그 밖의 관련자들은 현존하고 있는  보안에 대하여 적절한 지식을 습득할 수 있어야 한다. 

 윤리성

 (Ethics)

 정보 시스템과 정보 시스템의 보호는 모든 사람의 권리를 기본적으로 존중하여야 한다.

 다중협력성

 (Multidisciplinary)

 정보시스템의 보안을 위한 대책, 실행, 절차 등에 있어서, 모든 관련된 사항을 고려하여야 한다.

 균형성

 (Proportionality)

 보호 수준, 비용, 방책, 실행수단 절차 등은 정보 시스템에 의존하는 가치와 잠재적인 손해의 심각성 및 발생가능성 등에 적합하고 균형 있게 이루어져야 한다.

 통합성

 (Integration)

 정보시스템 보안을 위한 대책, 실행, 절차는 보안의 일관성과 통합성을 위하여 서로 조화를 이루어야 하며 조직의 다른 대책, 실행, 절차를 포함하도록 설계되어야 한다.

 적시성

 (Timeliness)

 국가적, 국제적 차원에서 공공 부분과 민간 부분은 정보 시스템 침해 사고를 사전에 방지하고 대응할 수 있도록 적절한 협조 하에 대처하여야 한다.

 재평가

 (Reassessment)

 정보시스템 보안은 주기적으로 재평가 되어야 하고, 변화하는 보안 요구사항에 맞추어 개선되어야 한다.

 민주주의

 (Democracy)

 정보시스템 보안은 민주사회에 있어서, 정보 및 데이터의 흐름과 사용에 대하여 법, 규정에 부합되어야 한다.



GASSP(Generally Accepted Systems Security Principles)의 정보보호 원칙



원칙 

설명

 보편적 원칙

 (Pervasive Principles)

1. 책임추적성의 원칙(Accountability Principle)

2. 인식의 원칙(Awareness Principle)

3. 윤리원칙(Ethics Principle)

4. 다중협력의 원칙(Multidisciplinary Principle)

5. 균형성의 원칙(Proportionality Principle)

6. 통합성의 원칙(Integrated Principle)

7. 적시성의 원칙(Timeliness Principle)

8. 재평가의 원칙(Reassessment Principle)

9. 공정성의 원칙(Equity Principle)

 기능적 원칙

(Broad Functional Principles)

1. 정보보호 정책(Policy)

2. 보안 인식(Awareness)

3. 책임추적성(Accountability)

4. 정보관리(Information Management)

5. 환경관리(Environment Management)

6. 인력의 자격(Qualifications)

7. 무결성(Integrity)

8. 정보시스템 생명주기(Life cycle)

9. 접근통제(Access Control)

10. 업무연속성 계획(Contingency Planning)

11. 위험관리(Risk Management)

12. 네트워크와 기반구조 보호(Infrastructure Security)

13. 정보보호의 법률, 규제 및 계약상 요구사항(Legal, Regulatory, Contractual)

 상세원칙

(Detailed Security Principle)

1. Need to know 원칙

2. Need to go 원칙

3. Need to do 원칙

4. 최소권한의 원칙(Least Privilege Principle)

5. 임무분리의 원칙(Separation of Duty)

6. 임무 순환 원칙(Rotation of Duty)

7. 2인조 근무의 원칙(Two-man Principle)



NIST의 정보보호 원칙


 Keyword

원칙 

 경영목표의 지원

 컴퓨터 보안은 조직의 경영목표를 지원해야 한다

 견고한 관리를 위한 필수 

 요소

 컴퓨터 보안은 견고한 관리를 위한 필수 요소이다

 비용대비 효과를 고려

 컴퓨터 보안은 비용대비 효과가 고려되어야 한다

 명백한 책임 및 책임추적성

 컴퓨터 보안에 대한 책임과 책임추적성이 분명해야 한다

 보안책임의 범위

 시스템 소유자들은 그들의 조직 외부에 대해서도 보안 책임을 갖는다

 포괄적이고 통합적인 접근

 컴퓨터 보안은 포괄적이고 통합된 접근방법을 필요로 한다

 정기적인 재평가

 컴퓨터 보안은 정기적으로 재평가되어야 한다

 사회적 요인에 의한 제약

 컴퓨터 보안은 사회적인 요인에 의해 제약된다