정보 보호 (Informaiton Security)

> 정보(Iinformation) <

- 확률적으로 약속한 양 = ectropy = uncertainty(불확실성)

 

> 보안(security) <

* 자산이란 :: 인적 자산, 물리적 자산, S/W 자산, Paper 자산, 브랜드/이미지 자산, 정보 자산, 서비스 자산

 

* 자산을 지키기 위한 위험 평가 순서 ::

 

물리적 자산 분석 (일어날 가능성) 기술적 ⇒ 취약점 분석 ⇒ Concern(우려도) ⇒ ⇒ ⇒ RISK(위험) ⇒ 관리적 위험 분석 위험 분석 ⇒ DoA(Dgree of Assurence) 허용 수준 설정 ⇒ 위험 평가

 

* 정보 보호는!

자산, 취약점, 위협 분석을 통하여 일어날 위험 요소들을 찾고,

Risk 가 DoA 보다 작아 질 수 있게 만드는 PROCESS(과정) _ (RISK < DoA)

일어날 가능성을 DoA 보다 떨어뜨리는 것.

 

* 위험 분석 시 조직의 책임자는 DOA(위험 허용 수준)를 결정.

 

* 취약점이란 ??

오류 ⇒ 접근 가능 ⇒ 장악 / 정보 유출 :: 3가지가 동시에 성립 될 때 취약하다!

 

(오류가 생기며 그에 따라 접근이 가능하며 이를 장악해 정보 유출 할 수 있는 형태를 말한다.)

 

- 고객과 인터뷰를 통해 위험도는 측정 값이 달라질 수 있다.

 

* ISMS(Information Securty Management System) 국제 표준 :

영국표준 ⇒

BS7799 part 1 ⇒ ISO 27002

BS7799 part 2 ⇒ ISO 27001

↘ ISMS 의 표준.

 

* 완벽한 백신은 존재하지 않는다.


  • 카카오톡-공유
  • 네이버-블로그-공유
  • 네이버-밴드-공유
  • 페이스북-공유
  • 트위터-공유
  • 카카오스토리-공유

댓글을 달아 주세요