인적 보안 대책 수립하기

정보보호 담당자 직무 수립

조직 내 중요 정보자산을 취급하는 직무를 정의

- 조직 내 중요 정보를 식별

        > 구분/분리된 조직을 조사하여 전체 조직 구성을 확인

        > 확인된 조직 구성을 바탕으로 각 개별 조직의 수행 업무를 조사

        > 조사된 업무에 적용되는 중요 정보를 식별

        > 식별된 중요 정보의 취급 방식을 조사

- 조직 내 중요 정보자산을 취급하는 방식을 조사

        > 중요 정보를 생성하는 담당자를 확인

        > 중요 정보에 대한 조회, 수정, 삭제 가능한 담당자를 확인

        > 중요 정보를 저장/관리하는 담당자를 확인

        > 조사된 방식에 사용되는 지원 시스템을 조사

        > 중요 정보를 생성, 조회, 수정, 삭제, 저장, 형상 관리 과정 등에 적용되는 취급 방식을 조사

- 중요 정보자산에 대한 연관 직무를 도출

        > 중요 정보자산을 생성, 조회, 수정, 삭제하는 직무를 조사

        > 중요 정보자산을 관리하는 직무를 조사

        > 중요 정보자산을 저장/관리하기 위한 지원 시스템의 직무를 조사

- 직무에 따른 적용 권한을 정의

        > 중요 정보에 대한 직무별 권한을 설정

        > 설정된 권한을 현재 업무에 적용을 가정한 가상 시뮬레이션을 수행

        > 시뮬레이션 결과에 따라 중요 정보에 대한 직무별 권한을 조정

        > 조정된 직무별 권한을 실제 업무에 적용

정보보호 관련 직무 분리 기준을 수립

- 정보보호 관련 업무를 확인

        > 업무 지침서에 기술된 정보보호 활동 업무를 확인

        > 정보보호 활동에 대한 수행 방법 및 산출물을 확인

- 정보보호 관련 업무별 수행 절차를 확인

        > 정보보호 활동 절차를 조사

        > 절차 수행 중 적용되는 산출물의 생성/수정/완료 시점을 확인

- 확인된 업무 수행 절차에 따라 직무 분리 기준을 수립

        > 정보보호 활동을 수행 순서에 따라 단위업무로 구분

        > 구분된 단위업무에 대해 전후 업무의 권한과 비교하여 절차적인 의존성을 확인

기준	내용
기획과 시행의 분리	특정 업무 수행을 위한 기획과, 기획을 바탕으로 시행하는 직무의 분리
시행과 적용의 분리	특정 업무의 시행과 해당 업무 진행의 타당성을 확인하는 직무의 분리
적용과 감사의 분리	업무 종료에 대한 승인과 업무 종료에 대한 확인 주체 직무의 분리

정보보호 직무 별 역할과 책임을 지정

- 정보보호 관련 업무를 기획, 시행, 적용, 감사, 승인의 과정으로 구분

- 전체 조직에 대한 정보보호 관련 업무를 각 과정에 따라 역할을 할당

- 할당된 역할을 포괄할 수 있는 책임을 정의

정보보호 조직 구성원	역할	책임
정보보호 최고책임자	- 정보보호 관련 법령의 해석 및 접근 - 정보보호 시행 방향/목표/전략의 수립 - 정보보호 정책 수립 등	정보보호 항상성 유지
정보보호 의원회	- 정보보호 시행 근거 검토, 시행안 평가 - 정보보호 활동 심의 등	정보보호 업무 적용 감사
정보보호 관리자	- 정보보호 목표 달성 방법의 수립 - 사전 정보보호 대책 마련 - 취약점 분석/평가 및 개선 방향 수립 - 정보보호 관리체계 수립 - 침해 대응 및 분석 - 정보보호 업무체계의 수립 등	정보보호 업무의 적용
정보보호 실무자	- 취약점 분석/개선 시행 - 정보보호 체계의 이행 관리/감독 등	정보보호 업무의 적용
부서별 보안 담당자	- 부서 내 정보보호 체계의 적용 등	정보보호 업무의 구현

중요 정보를 취급하는 주요 직무자의 권한을 최소화

- 조직 내 중요 정보를 식별

        > 조직의 전체 업무에 대해 정보 취급 업무를 조사

        > 조사된 정보 취급 업무 중 정보가 분실/파손/임의삭제가 발생 할 경우 영향 정도가 심한 업무를 도출

        > 도출된 업무에 적용 중인 직무를 조사하고, 해당 직무에 사용되는 정보를 조사

        > 사용자/관리자 등에 따라 조사된 정보의 취급 방법을 조사

        > 조사된 정보 전체를 대상으로 우선순위를 선별

- 중요 정보에 대한 주요 직무자를 확인하고, 담당자별 적용 권한을 확인

        > 중요 정보에 대한 사용자/관리자 및 정보 관리 책임자를 확인

        > 사용자/관리자 및 정보 관리 책임자 별 적용 권한을 조사

- 주요 직무자에 대한 해당 권한을 최소화

        > 주요 직무자의 권한 평가 결과에 따라 삭제/변경 권한을 도출

        > 도출된 대안을 해당 직무에 적용

주기적으로 주요 직무자 현황을 관리

- 업무 지침서에 따라 주요 직무자에 대한 정보보호 활동(감사)를 계획

        > 정보보호 활동 대상 주요 직무자 및 대상 중요 정보 저장/유통 시스템을 조사

        > 정보보호 활동 시행에 대한 일정/장소/시행자를 계획

- 정보보호 활동 계획에 따라, 조직 내 중요 정보 처리 과정과 주요 직무자별 할당 권한을 조사

        > 조직 내 중요 정보를 처리/저장하는 시스템을 조사

        > 주요 직무자가 취급하는 중요 정보를 처리/저장하는 시스템에 할당된 승인 기준 권한을 도출

        > 중요 정보를 처리/저장하는 시스템에 적용 중인 주요 직무자의 권한을 조사

        > 중요 정보에 대한 주요 직무자 권한 할당 감사 결과를 생성

 

절차적 보안의 정의 및 요구사항

절차적 보안 정의

- 특정 목표 달성을 위한 업무 수행 시 해당 업무 과정상의 절차를 무시하거나 생략함으로써 발생할 수 있는 업무 위협을

  탐지/제거하기 위한 제반 활동

절차적 보안요구사항

- 직무 분리 : 특정 업무의 진행 과정상 양립할 수 없는 직무를 분리시키는 개념

- 최소 권한 : 업무 수행/임무 달성을 위한 최소한의 권한만 할당

 

인적 보안 절차 수립

임직원의 퇴직 및 직무변경 시 인사부서의 이행 절차를 수립

- 임직원의 퇴직/직무변경 시 해당 임직원의 직무 변경에 의한 업무 영향 범위를 산정

        > 전체 조직 구성을 확인하고, 단위 조직의 개별 임직원 별 직무를 확인

        > 각 조직 별 직무에 대한 보안업무 적용 직무 여부를 평가

보안업무 적용 직무에 대하여 퇴직/직무변경에 의한 보안 자산을 도출

- 보안업무 적용 직무에 대한 업무 장소, 시설, 장비, 산출물 등을 조사

- 보안업무 적용 직무에 적용되는 지원 정보 시스템을 조사

- 조사된 업무 장소, 시설, 장비, 산출물 및 지원 정보 시스템에 대한 악용 사례를 도출

- 악용 사례가 도출될 경우, 해당 자산을 보안 자산으로 결정

확인된 보안 자산을 회수하는 이행 절차 수립하고 산출물을 정의

- 확인된 보안 자산을 회수하는 이행 절차를 수립

        > 확인된 보안 자산을 회수하는 이행 절차를 수립

        > 보안 자산 유형에 대한 접근/활용 절차를 조사

        > 조사된 접근/활용 절차의 시작 지점을 확인

- 자산 회수 시 적용되는 산출물의 종류를 정의

- 자산 회수 시 적용되는 산출물의 작성자, 결재 경로, 제출처를 결정

- 자산 회수 시 적용되는 산출물의 양식을 작성

임직원의 퇴직 및 직무변경 시 시스템 운영 관련 부서의 이행 절차를 수립

- 임직원의 퇴직/직무 변경 시 해당 임직원의 직무 변경에 의한 업무 시스템을 확인

        > 전체 조직 구성을 확인하고, 조직 별 임직원의 직무를 확인

        > 각 조직 별 직무에 대한 업무 지원 시스템 적용 여부를 조사

- 조사된 업무 지원 시스템에 대한 관리자를 확인

        > 조직의 직무 별 적용되는 전체 업무 지원 시스템에 대하여 해당 시스템에 대한 사용자 계정을 관리하는

           관리 담당자를 조사

확인된 계정/권한을 회수하는 절차를 수립하고 관련 산출물을 정의

- 확인된 업무 시스템에 대한 접근 권한을 회수하는 절차를 수립

- 업무 시스템에 대한 접근 권한을 회수하는 절차에 적용되는 산출물을 정의

임직원 퇴직 및 직무변경 시 정보보호 조직의 이행 결과 확인 절차를 수립