정보보호제품을 선정할 때에 고려해야 할 사항으로 NIST 800-36 중에 나온 검토 항목들을 참고하여 기준을 만들면 도움이 될 것으로 보여 적어본다.
* 조직 관련
- 사용자 커뮤니티
- 정보보호 제품과 조직의 미션간 관계
- 데이터의 민감도
- 조직의 보안 요구사항, 정책, 절차, 운영 이슈(운영, 유지보수, 훈련 등)
* 제품 관련
- 전체 라이프 사이클 비용 (해당 정보보호 솔루션의 획득과 지원을 포함한)
- 사용 편의성
- 확장성
- 상호운용성 요건
- 테스트 요건
- 알려진 취약성
- 관련된 패치의 적용 요건
- 현재 있거나 계획중인 조직의 프로그램, 정책, 절차, 표준 대비 제품 스펙을 검토하기 위한 요구사항 및 방법
- 다른 제품과의 보안 관련 의존성
- 현재의 인프라와의 상호작용
* 벤더 관련
- 특정 제품의 선택이 향후 정보보호를 선택하는 데에 있어서 뭔가 제한하는 것이 있는지
- 해당 제품의 벤더 경험
- 해당 제품의 보안 겸함에 대한 벤더의 대응 이력
'Work Log > As Cybersecurity Consultant' 카테고리의 다른 글
| IoT 보안, 네트워킹 관점에서의 참조할만한 표준 문서들 (0) | 2014.09.17 |
|---|---|
| 인터넷 뱅킹 시 인증과정에 대한 이해 (0) | 2014.09.04 |
| 정보보호 컨설팅의 개요, 모델(Cybersecurity Consulting Model), 그리고 한 분야에 집중하는 최근의 흐름에 대한 단상. (0) | 2014.07.02 |
| 산업용제어시스템(ICS, Industrial Control System)의 사이버보안과 기존 정보보안과는 무엇이 다를까? (0) | 2014.06.17 |
| 통합로그관리시스템(통합로그분석시스템, SIEM) 도입 시 고려사항 (0) | 2014.06.17 |
