정보 보호 (Informaiton Security)
> 정보(Iinformation) <
- 확률적으로 약속한 양 = ectropy = uncertainty(불확실성)
> 보안(security) <
* 자산이란 :: 인적 자산, 물리적 자산, S/W 자산, Paper 자산, 브랜드/이미지 자산, 정보 자산, 서비스 자산
* 자산을 지키기 위한 위험 평가 순서 ::
물리적 자산 분석 (일어날 가능성) 기술적 ⇒ 취약점 분석 ⇒ Concern(우려도) ⇒ ⇒ ⇒ RISK(위험) ⇒ 관리적 위험 분석 위험 분석 ⇒ DoA(Dgree of Assurence) 허용 수준 설정 ⇒ 위험 평가
* 정보 보호는!
자산, 취약점, 위협 분석을 통하여 일어날 위험 요소들을 찾고,
Risk 가 DoA 보다 작아 질 수 있게 만드는 PROCESS(과정) _ (RISK < DoA)
일어날 가능성을 DoA 보다 떨어뜨리는 것.
* 위험 분석 시 조직의 책임자는 DOA(위험 허용 수준)를 결정.
* 취약점이란 ??
오류 ⇒ 접근 가능 ⇒ 장악 / 정보 유출 :: 3가지가 동시에 성립 될 때 취약하다!
(오류가 생기며 그에 따라 접근이 가능하며 이를 장악해 정보 유출 할 수 있는 형태를 말한다.)
- 고객과 인터뷰를 통해 위험도는 측정 값이 달라질 수 있다.
* ISMS(Information Securty Management System) 국제 표준 :
영국표준 ⇒
BS7799 part 1 ⇒ ISO 27002
BS7799 part 2 ⇒ ISO 27001
↘ ISMS 의 표준.
* 완벽한 백신은 존재하지 않는다.
