보안관리 절차는 일반 기업에서의 일반 기업활동과 유사하다.
미리 미리 1년간의 정기적인 활동 계획을 수립하고 점검하는 활동을 반복해야 한다.
그래서 매년 계획된 내용에 대한 업무 수행을 하며, 관련하여 보안실태 점검(취약점 점검) 이나 내부 구성원 교육 등 변화관리를 지속적으로 수행해야 한다.
보안 조직은 평상시 음지에서 일하면서 항상 성실하게 취약점 점검이나, 외부 공격에 상시적으로 대응하지 않으면 언제 어떤 해킹 사고가 날지 모르기 때문에 평상 시 일상적으로 준비해야 한다.
일상적으로 이런 관리적, 기술적 보호조치를 취해 놓으면, 혹시 모를 보안사고가 발생하더라도 법인에 대해서 처벌이 경감되기도 한다
이런 정기적인 활동을 수행하고, 매년 각 조직에 대한 보안 관리를 평가하여, 취약한 점이 없는지 점검하고, 해당 조직에 취약점을 알려주고 수정하도록 요청한다.
매년 말에는 올해 보안사고가 어떤 내용이 났는지 분석하고 차기 년도에 어떤 내용을 넣을지 계획을 수립한다
보통 12월까지 차년도 보안 계획을 수립하며, 계획을 수립할 때는 올해 발생한 보안감사 결과 나 보안사고 사례를 반영하여 보안 실사 계획을 수립한다.
당해에 발생한 개정된 법률도 사내 규정에 반영하는 계획도 수립한다.
1년 내내 수행할 활동 중 하나는 새로운 기술에 대한 시스템 도입 계획과 내부 구성원들에 대한 조직별 보안 실태 점검 계획을 수립한다.
매년, 내부 구성원에 대하여 개인정보보호와 내부 정보보안에 대한 교육계획도 수립하여,
내부자의 취급 부주의로 인한 사고가 발생하지 않도록 준비한다.
마지막으로 한 해의 보안 활동 영역별로 달성 평가를 하고 차년도 반영할 부분을 도출하여 계획을 수립한다.
사실 언론에 잘 드러나지 않아서 그런면이 있지만, 기업에서는 내부적으로 보안 사고가 끊임없이 발생 한다.
해커들이 지속적으로 취약점이 없는지 Scanning Tool을 돌려보고 패킷을 보내며, 정보를 빼가려고 한다
보안은 수도관과 유사한 것 같다.
아무리 튼튼한 수도관도 바늘 구멍만한 구멍(취약점)이 있다면, 물(정보)이 밖으로 흐르기 때문이다.
그런 구멍을 하나라도 없애기 위해서는 지속적인 취약점 점검 활동을 끊임없이 해줘야 할 것이다.
왜냐하면, 조직은 생물처럼 계속 움직이기 때문에 그것에 따라서 취약점도 지속적으로 발생하기 때문이다.
특히, 우리나라는 북한 이라는 대형 해커 집단이 있기 때문에 지속적으로 북한으로 의심되는 사고들이 많이 발생한다.
다른 나라와 달리 우리를 상시 공격을 할 수 있는 해커 집단을 보유하고 있는 것이다.
그러므로, 기업들 특히, 주요 기술이나 개인정보, 금융 정보를 보유하고 있는 기업들은 정보보안에 대하여
가벼이 여기지 않고 평상시 만반의 준비를 하였으면 한다
'정보보안 > 기본지식' 카테고리의 다른 글
| 문서보안에 필요한 문서 생성주기 관리 (0) | 2018.10.02 |
|---|---|
| 문서보안 (0) | 2018.09.15 |
| 문서보안의 관리적, 기술적 보안 (2) | 2018.07.24 |
| 보안관련 법률 (2) | 2018.05.09 |
| 보안관리 목표 3 요소, 보안관리대상 3가지 (1) | 2018.05.07 |
