크램

CISA (74)

[CISA 이론 정리 - 5장] 10 정보 보안 감사

CISA/5. 정보 자산의 보호 크램 2017. 9. 13. 14:19

1. 정보 보안 관리 프레임워크 감사 점검 항목① 정책, 절차, 표준이 적절히 문서화되어 있고 건실한가?② 각자의 정보 보안 책임과 권한이 명시되어 있고 효과적인 인식 교육이 이루어지는가?③ 정보 자산의 소유자/관리인이 지정되어 있고 역할/책임이 명확하게 정의되어 있는가?④ 접근 권한은 알 필요성에 따라 부여되며 직무 변경 및 퇴사 시 권한도 변경되는가?⑤ 보안 관리자, 네트워크 관리자, 시스템 소프트웨어 관리자에게 부여된 책임과 역할은 적절하며 최선의 보안 실무를 반영하고 있는가?⑥ 적절한 위험 평가, 인증/패치, 백업/복구 절차, 취약점 관리, 불필요한 서비스 제거, 악성 코드 대책 등 기본적인 보안 기준선이 적절히 제시되고 적용되는가?⑦ IT 직원의 숙련성, 장기 근속, 전시간 근무 여부, 정책 숙..

[CISA 이론 정리 - 5장] 09 환경 및 물리적 통제 (2/2)

CISA/5. 정보 자산의 보호 크램 2017. 9. 13. 14:14

2. 물리적 접근 통제(1) 물리적 접근 노출① 외부인은 물론 내부인도 승인 받지 않은 물리적 접근의 주체일 수 있다.② 승인 받은 접근 주체라 하더라도 접근 승인을 얻은 후에 권한 밖의 행위를 할 수 있다.③ 컨설턴트, 퇴사한 직원, 경쟁업체의 산업 스파이, 우연히 접근 권한을 얻게 된 사람 등 다양한 주체가 물리적 접근을 할 수 있다.④ 이들은 정보/문서/매체/장비/집기/현금을 열람/공개/취득/오용/파괴/변경할 수 있다.⑤ 부당하게 획득한 자산은 협박하거나 부당 이득을 얻기 위한 수단으로 사용될 수 있다. (2) 물리적 접근 통제① 담장, 잠금 장치, 조명, 경비원, 경비견, 침입 경보 시스템, CCTV 등이 포함된다.② 방문자는 신분 확인과 검증(identification & authenticati..

[CISA 이론 정리 - 5장] 09 환경 및 물리적 통제 (1/2)

CISA/5. 정보 자산의 보호 크램 2017. 9. 13. 14:09

1. 환경 통제(1) 의의① 환경 통제(Environment Control): IPF(정보 처리 시설)의 기술적 성능에 영향에 주는 환경 요인들에 대한 통제를 가리킨다.※ 환경 통제와 통제 환경(1장 참조)이라는 단어는 완전히 다른 의미를 가지고 있다.② IPF의 기술적 성능은 공급되는 전기/수도 공급의 품질, 전산실 내부의 온도/습도/먼지/환기, 주변에서 발생하는 진동/자기장 등에 영향을 받는다.③ 따라서 이러한 환경적 요소들을 최적의 상태로 통제해야 할 필요가 있다.④ 한편 이러한 환경 요소들은 자연적 요인(예: 홍수, 지진, 낙뢰 등), 인간적 요인(예: 절도, 훼손, 방화 등), 기술적 요인(예: 장비 오작동, 정전, 합선 등)으로부터 영향을 받는다. (2) 부지 및 건물의 선택① 과거 자연 재해..

[CISA 이론 정리 - 5장] 08 안전한 통신 서비스

CISA/5. 정보 자산의 보호 크램 2017. 9. 12. 00:56

1. 통신 보안 프로토클(1) 암호화 프로토콜SSH• Secure Shell의 약자로서 응용 계층에서 작동한다.• 안전한 명령 라인 쉘 세션을 개설한다.• Telnet, rlogin(remote login), rsh(remote shell), FTP 등을 보완한다. SSL• Secure Socket Layer의 약자로서 전송 계층에서 작동한다.• 클라이언트와 서버 간 인증 및 안전한 연결을 생성한다.• 인증, 데이터 암호화, 무결성 체크, 세션 감시 등을 수행한다. S-HTTP• Secure HTTP의 약자로서 응용 계층에서 작동한다.• 세션 연결 없이 개별 메시지의 전송 보안을 제공한다.• SSL이 실행되려면 먼저 S-HTTP가 실행되어야 한다. IPSec• IP Security의 약자로서 네트워크 계..

Copyright © 크램 All Rights Reserved
Designed by JB FACTORY

티스토리툴바