본문바로가기

컨설팅 방법론

㈜시큐리티허브의 정보보호 컨설팅 방법론은 모든 인증기준에 부합하며, 기업 정보보호 담당자의 지속이행 가능성을 고려하여 만들어졌습니다.

  1. Step 5. 지속 관리 및 운영 (Coordination)
  2. Step 1 . 환경 분석
    • 비즈니스 환경 식별

      중요 서비스 식별

      서비스 운영 조직 식별

      내·외부 이해관계자 식별

      정보보호 및 비즈니스 관련 법률 식별

    • 정보보호 범위 설정

      정보보호 관리체계 적용 범위 설정

      정보보호 범위정의서 작성

  3. Step 2 . 요구사항 / Gap 분석
    • Context 식별

      내부 이해관계자 요구사항

      외부 이해관계자 요구사항

      관리체계 운영 요구사항

      Compliance 요구사항

    • Gap 분석

      요구사항 별 통제적용 및
      대응방안 분석

      정보보호 수준분석

      Compliance 분석

    • Gap 분석 결과조치

      Gap 분석 결과 별 조치계획 수립

      이행조치 지원

  4. Step 3 . 위험 분석
    • 보안이슈 도출

      문제점 이행조치 미흡사항

      위험조치 미흡사항

    • 위험도 산정

      보안이슈 발생가능성 평가

      보안이슈 별 위험도 산출

    • 위험 결정

      허용위험수준 결정

      각 위험 별 통제 방향 결정

  5. Step 4 . 위험 처리 / 인증지원
    • 위험조치 과제수립 및 이행

      위험처리 방안 결정 및 세부
      조치과제 수립

      관리체계 이행증적 수집

    • 위험관리 재검토

      위험조치 과제 이행 확인

      제3자에 의한 정보보호 관리체계 검토

    • 정보보호 관리체계 인증지원

      인증문서 및 증적 확보

      인증심사 지원

방법론의 특장점

㈜시큐리티허브의 정보보호 컨설팅 방법론은 모든 인증기준에 부합하며, 기업 정보보호 담당자의 지속이행 가능성을 고려하여 만들어졌습니다.

시큐리티허브 방법론 기존 위험관리 방법론
핵심논리 업무관련자가 업무 수행 중 체감하는 사항을 보안 이슈 및 요구사항을 위험으로 결정하고 처리

보안 이슈 및 요구사항을 위험으로 식별하므로 전문가가 아닌 정보보호담당자가 위험 식별, 평가, 분석, 관리가 가능함
각 정보자산이 가지고 있는 취약점에 따라 위협이 발생할 경우 발현되는 위험을 평가

정보자산이 다수이므로 방대한 양의 위험을 식별하고 처리하여, 위험관리 전문가가 아닌 경우 취약점 및 위험을 도출하지 못할 가능성 농후
보호의대상 업무 및 조직 (위험자산그룹)

예 : Company_All, Service_X, Procedure_Y 등

단, 위험자산그룹에 발생 가능한 모든 보안이슈 및 요구사항을 도출하는 방식이 아니며 보안이슈 및 요구사항이 적용되는 위험자산그룹만 식별하여 그 대상으로 선정

정보자산

예 : 데이터, 서버, DB, 네트워크, 보안시스템, 응용프로그램, 소프트웨어, 전자문서, 인력 등

상호배제와 전체포괄의 원칙에 따라 모든 정보자산을 식별해야 하나 그 구분이 모호한 경우 발생 (서버와 WEB/WAS, 데이터와 전자문서 등)

국제기준의준용 ISO27005(정보보호 위험관리)에서 안내하는 자산 식별의 기준을 준용함

중요자산 : 업무 프로세스 및 활동, 정보

지원자산 : 하드웨어, 소프트웨어, 네트워크, 인력, 물리적 장소 등

정보자산은 ISMS 구축 운영 가이드 內 예시에 의존하여 분류

예 : 데이터, 문서, 소프트웨어, 서버, PC, 네트워크, 시설, 지원서비스, 인력, 매체 등

위험시나리오 보안이슈 및 요구사항이 위험 시나리오로 적용되어 정보보호 담당자가 아닌 현업부서 임직원도 발생 가능한 모든 시나리오를 도출할 수 있음 각 정보자산의 분류 유형에 따라 발생 가능한 위험 시나리오를 정보보호 담당자가 도출해야 하나, 발생 가능한 모든 시나리오를 도출하지 못하는 경우 실제 발현 중인 위험을 식별하지 못할 가능성 존재
개인정보보호 관리체계
(PIMS)의 적용
PIMS에서 작성해야 하는 개인정보 흐름도에서 도출되는 개인정보 업무 흐름을 정보자산으로 식별하고 위험관리 체계에 반영 가능 PIMS의 경우 개인정보 흐름분석이 위험관리 체계에 포함되지 못하여, 개인정보 흐름도 및 흐름표가 위험관리 체계에 반영되지 못함