정보보안의 3요소
보안은 기밀성, 무결성, 가용성이라는 세 가지 핵심 요소로 구성됩니다.
기밀성 (Confidentiality)
인가된 사용자만이 정보에 접근할 수 있도록 암호화 및 접근제어로 노출을 막아 보호합니다.
무결성 (Integrity)
인가된 사용자만이 인가된 방법으로만 정보를 변경할 수 있도록 변조 및 파괴를 방지합니다.
가용성 (Availability)
인가된 사용자가 필요로 할 때 정보에 대한 접근과 사용이 적절하게 이루어지도록 보장합니다.
이 3가지 요소를 최대화 하는 것이 보안의 목표입니다.
보안
보안은 사슬이다.
사슬의 가장 약한 고리만큼만 안전하다.
적절한 보안 프로세스가 보장될 때, 조직/개인의 목표에 역시 안전하게 도달할 수 있습니다.
우리를 둘러싸고 있는 정보보호 환경은 매우 복잡합니다.
이것은 곧 불안정하다는 의미이며, 취약점은 피할 수 없고, 보안 제품은 늘 완전할 수 없기 때문에 조직에 맞게 정립된 프로세스가 가장 중요합니다.
조직에 맞는 프로세스를 정립하기 위해서는 다음 세 가지를 최우선적으로 고려해야 합니다.
첫째, 위험관리를 통해 적절한 보호대상을 찾아 적합한 보안대책을 마련해야 합니다.
둘째, 보안정책의 지배구조를 정확히 하여 자원을 적절하게 사용할 수 있도록 의사 결정 권한과 책임 구조를 갖추어야 합니다.
셋째, 각종 법과 규제 및 권고 사항에 대해 언제든지 철저하게 대응을 할 수 있어야 합니다.
ISMS(Information Security Management System, 정보보호 관리체계)는 조직의 정보보호 활동을 체계적으로 수행하기 위한 관리 체계입니다. 최근에는 PIMS(Personal Information Management System, 개인정보보호 관리체계)를 통합하여 ISMS-P로 발전하였으며, 국제 표준인 ISO/IEC 27001 인증 체계도 함께 활용되고 있습니다.
기존의 정보보호 활동이 부분적·일회적·산발적으로 이루어졌다면, ISMS-P와 같은 관리체계 구축을 통해 균형 잡힌 보안 관리, 지속적인 개선, 그리고 체계적인 대응이 가능해집니다.
또한, ISMS-P는 단순히 인증 취득을 위한 절차가 아니라, 조직의 정보보호 수준을 근본적으로 향상시키는 기반이 됩니다.
Security is a Process. Not a Product.
균형적이고. 지속적으로 관리 가능하고, 체계적 대응
정보보호는 조직이나 개인이 목표까지 안전하게 도달하게 하기 위해 더 이상 선택이 아닌 필수조건입니다.
보안은 제품이 아니라 그 자체가 process이다.
안전을 보장하기 위해서는 process를 만들기 시작해야 한다.
브루스 슈나이어
디지털 보안의 비밀과 거짓말(2001)
세상에는 두 종류의 기업이 있습니다.
해킹을 당한 기업과 해킹을 당한 사실 조차 모르고 있는 기업입니다.
존 챔버스
시스코 회장, 2015 세계경제포럼
보안 전문가와 상담하세요
귀하의 조직에 맞는 최적의 보안 솔루션을 제안해 드립니다