5-2 정보 보호 대책 구현 및 운영 및 추가 내용

보안 개념 정리

• 1. 단계별 접근 통제
• 2. 수행 시점에 따른 통제
• 3. 대책 선정 제약사항
• 4. 업무 연속성 계획 (BCP)
• 5. OECD 정보보호 가이드라인
• 6. OECD 정보보호 8원칙
• 7. 보안 요구사항
• 8. 보증 요구사항
• 9. 국제 공통평가 기준 (CC)

1. 단계별 접근 통제

1단계: 식별 - 시스템에 자신이 누구인지 밝힘 (유일한 식별자 사용)

2단계: 인증 - 사용자의 주장 인정

3단계: 접근 권한 판별 - 접근 허용 여부 결정

4단계: 허가 - 권한에 따라 자원 접근

5단계: 감사 - 권한 내 작업 감시

2. 수행 시점에 따른 통제

1. 예방 통제: 오류/부정 발생 사전 방지

2. 탐지 통제: 문제 탐지 및 예측

3. 교정 통제: 탐지된 문제 해결

3. 대책 선정 제약사항

1. 시간적 제약

2. 재정적 제약

3. 기술적 제약

4. 사회적 제약

5. 환경적 제약

6. 법적 제약

4. 업무 연속성 계획 (BCP)

1. 범위설정 및 기획

2. 사업 영향 평가 (BIA)

3. 복구전략 개발

4. 복구 계획 수립

5. 테스트 및 유지보수

5. OECD 정보보호 가이드라인

1. 인식

2. 책임

3. 대응

4. 윤리

5. 민주성

6. 위험 평가

7. 설계 및 이행

8. 관리

9. 재평가

6. OECD 정보보호 8원칙

1. 수집 제한의 원칙

2. 정보 정확성의 원칙

3. 목적 명확화 원칙

4. 이용 제한의 원칙

5. 안전 보호 원칙

6. 공개의 원칙

7. 개인 참가의 원칙

8. 책임의 원칙

7. 보안 요구사항

1. 식별 및 인증

2. 접근 통제

3. 책임성

4. 감사

5. 객체 재사용

6. 정확성

7. 신뢰성

8. 데이터 교환

8. 보증 요구사항

1. 효용성 기준

2. 정확성 기준

9. 국제 공통평가 기준 (CC)

공통평가 기준은 ISO 국제표준으로 보안 제품의 상호 인증을 위한 평가 기준

평가 원칙

1. 적절성

2. 공정성

3. 객관성

4. 반복성 및 재생산성

5. 완전성