정보보호 거버넌스: Difference between revisions

From CS Wiki
(새 문서: 분류:보안분류:IT경영 == 관련 표준 == * ISO/IEC 27014 == 6대 원리 == {| class="wikitable" |- ! 원리 !! 설명 |- | 책임 (Responsibility) || * 조직...)
 
 
(6 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류:보안]][[분류:IT경영]]
[[분류:보안]][[분류:경영학]]


== 관련 표준 ==
== 관련 표준 ==
* [[ISO/IEC 27014]]
* [[ISO/IEC 27014]] : 정보보호 관련 의사결정 권한과 책임의 할당, 비지니스와 전략적연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행체계 국제표준
 
== 프로세스 구성 ==
[[파일:정보보호 거버넌스.png]]
{| class="wikitable"
|-
! 프로세스 !! 목적
|-
| 평가
(Evaluate)
||
* 향후 보안 목표 달성에 영향을 미칠 요소를 사전 평가
* 프로세스와, 프로세스 변경에 대해 전략적 목적 달성 평가
|-
| 지시
(Direct)
||
* 보안 목적 및 전략 달성에 필요한 사항 제시
* 자원 할당, 우선순위, 정책 승인, 위험관리 계획 등
|-
| 모니터링
(Monitoring)
||
* 보안관리 활동에 대한 진단과 점검
* 적절한 성과지표를 수립하여 상시 관제
|-
| 의사소통
(Communicate)
||
* 이해관계자의 필요에 따른 보안에 대해 소통
* Governing Body와 이해관계자의 정보 공유
|-
| 감사
(Assure)
||
* 감사 의뢰/결과에 대한 문서화 및 피드백
* 독립적인 Governing Body 위원회가 수행
|}


== 6대 원리 ==
== 6대 원리 ==
Line 10: Line 47:
|-
|-
| 책임
| 책임
(Responsibility) ||  
(Responsibility)  
||  
* 조직원은 주어진 책임과 권한을 이해하고 수용
* 조직원은 주어진 책임과 권한을 이해하고 수용
* 역할과 권한은 반드시 책임을 수반
* 역할과 권한은 반드시 책임을 수반
|-
|-
| 전략
| 전략
(Strategy) ||  
(Strategy)  
||  
* 정보보호 전략과 비즈니스 전략의 연계 필요
* 정보보호 전략과 비즈니스 전략의 연계 필요
* 전략적 연계는 현재와 미래의 요구와 전략을 고려
* 전략적 연계는 현재와 미래의 요구와 전략을 고려
|-
|-
| 획득
| 획득
(Acquisition) ||  
(Acquisition)  
||  
* 투명한 의사결정과 절차를 통해 정보보호 자산을 구매
* 투명한 의사결정과 절차를 통해 정보보호 자산을 구매
* 자원관리와 위험관리
* 자원관리와 위험관리
|-
|-
| 성과
| 성과
(Performance) ||  
(Performance)  
||  
* 요구되는 서비스의 수준과 품질을 유지
* 요구되는 서비스의 수준과 품질을 유지
* 비즈니스 요구에 부합하는 성과 제공
* 비즈니스 요구에 부합하는 성과 제공
|-
|-
| 준거
| 준거
(Conformance) ||  
(Conformance)  
||  
* 정보보호 법률 및 규제 준수
* 정보보호 법률 및 규제 준수
|-
|-
| 행동
| 행동
(Human Behavior) ||  
(Human Behavior)  
||  
* 정보보호 정책 및 실행을 위해 인간의 행동 방식 이해 필요
* 정보보호 정책 및 실행을 위해 인간의 행동 방식 이해 필요
|}
|}

Latest revision as of 02:29, 5 June 2023


관련 표준[edit | edit source]

  • ISO/IEC 27014 : 정보보호 관련 의사결정 권한과 책임의 할당, 비지니스와 전략적연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행체계 국제표준

프로세스 구성[edit | edit source]

정보보호 거버넌스.png

프로세스 목적
평가

(Evaluate)

  • 향후 보안 목표 달성에 영향을 미칠 요소를 사전 평가
  • 프로세스와, 프로세스 변경에 대해 전략적 목적 달성 평가
지시

(Direct)

  • 보안 목적 및 전략 달성에 필요한 사항 제시
  • 자원 할당, 우선순위, 정책 승인, 위험관리 계획 등
모니터링

(Monitoring)

  • 보안관리 활동에 대한 진단과 점검
  • 적절한 성과지표를 수립하여 상시 관제
의사소통

(Communicate)

  • 이해관계자의 필요에 따른 보안에 대해 소통
  • Governing Body와 이해관계자의 정보 공유
감사

(Assure)

  • 감사 의뢰/결과에 대한 문서화 및 피드백
  • 독립적인 Governing Body 위원회가 수행

6대 원리[edit | edit source]

원리 설명
책임

(Responsibility)

  • 조직원은 주어진 책임과 권한을 이해하고 수용
  • 역할과 권한은 반드시 책임을 수반
전략

(Strategy)

  • 정보보호 전략과 비즈니스 전략의 연계 필요
  • 전략적 연계는 현재와 미래의 요구와 전략을 고려
획득

(Acquisition)

  • 투명한 의사결정과 절차를 통해 정보보호 자산을 구매
  • 자원관리와 위험관리
성과

(Performance)

  • 요구되는 서비스의 수준과 품질을 유지
  • 비즈니스 요구에 부합하는 성과 제공
준거

(Conformance)

  • 정보보호 법률 및 규제 준수
행동

(Human Behavior)

  • 정보보호 정책 및 실행을 위해 인간의 행동 방식 이해 필요
Retrieved from "https://cswiki.net/index.php?title=정보보호_거버넌스&oldid=38446"