문의하기

SECURITYHUB

서비스소개

정보보호 컨설팅

  • 소개
  • 방법론 및 특장점
  • 수행사례

㈜시큐리티허브는 정보보호 컨설턴트로 구성된 전문가 집단이
고객사의 문화, 조직, 특징 등을 고려하여 고객사 환경에 맞는 안전하고 합리적인 방안을 제시합니다.

  • 고객 요구사항

    • - 정보보호 수준파악
    • - 임직원 인식제고
    • - 인증심사 대비
    • - 보안성 검토
    • - 내부 보안감사
    • - 법률 준거성 검토

  • 고객사 환경

    • - 일반IT
    • - 정보보호 정책 유무
    • - 클라우드
    • - 개인정보 처리 유무
    • - OT/ICS
    • - 이해관계자 구성 현황

안전하고 합리적인 정보보호 대책 제시

정보보호 컨설팅 서비스 종류

  • 관리체계 수립 및 인증지원

    • - ISMS
    • - ISMS-P
    • - ISO 27001
    • - BS 10021

  • 정보보호 기술 진단 컨설팅

    • - 웹 / 앱 취약점 진단
    • - 인프라 진단
    • - 모의해킹
    • - 보안성 검토

  • Compliance 컨설팅

    • - 주요정보통신기반시설
    • - 전자금융기반시설

  • OT/ICS 컨설팅

    • - OT/ICS 정보보호 수준진단
    • - ICS 인프라 취약점 진단

  • 정보보호 종합 컨설팅

    • - 정보보호 마스터플랜 수립
    • - 정보보호 수준진단

  • 모의훈련

    • - 스팸 메일 대응 훈련
    • - APT 공격 대응 훈련

  • 개인정보보호 컨설팅

    • - 개인정보 실태점검
    • - 수탁사 개인정보 운영현황 분석

  • 클라우드 컨설팅

    • - 클라우드 컨설팅

연계 추천 서비스

보안 코디네이션 서비스

고객의 정보보호 파트너, 시큐리티허브 보안코디네이터를 통한 지속가능한 보안운영·관리 서비스

컨설팅 방법론

㈜시큐리티허브의 정보보호 컨설팅 방법론은 모든 인증기준에 부합하며,
기업 정보보호 담당자의 지속이행 가능성을 고려하여 만들어졌습니다.

Section 05. 지속관리 및 운영 (Coordination)

  • Section 01. 환경분석

    • 정보보호 위험관리

      • · 경영진 Sponsorship 확인
      • · 정보보호 조직의 정보보호
        업무수행 수준 점검
      • · 임직원 정보보호 수준 측정

    • 비즈니스 환경 식별

      • · 중요 서비스 식별
      • · 서비스 운영 조직 식별
      • · 내·외부 이해관계자 식별
      • · 정보보호 및 비즈니스 관련
        법률 식별

    • 정보보호 범위 설정

      • · 정보보호 관리체계 적용 범위 설정
      • · 정보보호 범위정의서 작성

  • Section 02. 요구사항 / Gap분석

    • 요구사항 식별

      • · 내부 이해관계자 요구사항
      • · 외부 이해관계자 요구사항
      • · 관리체계 운영 요구사항
      • · Compliance 요구사항

    • Gap 분석

      • · 요구사항 별 통제적용 및
        대응방안 분석
      • · 정보보호 수준분석
      • · Compliance 분석

    • Gap 분석 결과조치

      • · Gap 분석 결과 별 조치계획
        수립
      • · 이행조치 지원

  • Section 03. 위험분석

    • 보안이슈 도출

      • · 문제점 이행조치 미흡사항
      • · 위험조치 미흡사항

    • 위험도 산정

      • · 자산 식별 / 평가
      • · 자산 및 이슈 매핑
      • · 보안이슈 별 위험도 산출

    • 위험 결정

      • · 허용위험수준(DoA) 결정
      • · 각 위험 별 통제 방향 결정

  • Section 04. 위험 처리/ 인증지원

    • 위험조치 과제수립 및 이행

      • · 위험처리 방안 결정 및
        세부 조치과제 수립
      • · 필수 이행과제 수행 및
        관리체계 이행증적 수집

    • 위험관리 재검토

      • · 위험조치 과제 이행 확인
      • · 제3자에 의한 정보보호
        관리체계 검토

    • 정보보호 관리체계 인증지원

      • · 인증문서 및 증적 확보
      • · 인증심사 지원
      • · 이행점검 수행 (필요 시)

방법론의 특장점

  시큐리티허브 방법론 기존 위험관리 방법론의 문제점
핵심 논리
  • · 업무관련자가 업무 수행 중 체감하는 사항을 보안 이슈 및
    요구사항을 위험으로 결정하고 처리
  • · 보안 이슈 및 요구사항을 위험으로 식별하므로 전문가가 아닌
    정보보호담당자가 위험 식별, 평가, 분석, 관리가 가능함
  • · 각 정보자산이 가지고 있는 취약점에 따라 위협이 발생할 경우
    발현되는 위험을 평가
  • · 정보자산이 다수이므로 방대한 양의 위험을 식별하고 처리하여,
    위험관리 전문가가 아닌 경우 취약점 및 위험을 도출하지 못할 가능성 농후
보호의 대상
  • · 업무 및 조직 (위험자산그룹)

    - 예 : Company_All, Service_X, Procedure_Y 등

    - 단, 위험자산그룹에 발생 가능한 모든 보안이슈 및 요구사항을
    도출하는 방식이 아니며 보안이슈 및 요구사항이 적용되는 위험자산그룹만
    식별하여 그 대상으로 선정
  • · 정보자산

    - 예 : 데이터, 서버, DB, 네트워크, 보안시스템, 응용프로그램,
    소프트웨어, 전자문서, 인력 등

    - 상호배제와 전체포괄의 원칙에 따라 모든 정보자산을 식별해야 하나
    그 구분이 모호한 경우 발생 (서버와 WEB/WAS, 데이터와 전자문서 등)
위험 시나리오
  • · 보안이슈 및 요구사항이 위험 시나리오로 적용되어 정보보호 담당자가
    아닌 현업부서 임직원도 발생 가능한 모든 시나리오를 도출할 수 있음
  • · 각 정보자산의 분류 유형에 따라 발생 가능한 위험 시나리오를 정보보호
    담당자가 도출해야 하나, 발생 가능한 모든 시나리오를 도출하지 못하는 경우
    실제 발현 중인 위험을 식별하지 못할 가능성 존재
적용가능 인증기준
  • · (KISA) ISMS / ISMS-P, ISO27001:2013

    - (KISA) ISMS-P에서 작성해야 하는 개인정보 흐름도에서 도출되는
    개인정보 업무 흐름을 정보자산으로 식별하고 위험관리 체계에 반영 가능

    - ISO27005(정보보호 위험관리)에서 안내하는 자산 식별의 기준 준용
  • · (KISA) ISMS / ISMS-P, ISO27001:2005

    - (KISA) ISMS-P의 경우 개인정보 흐름분석이 위험관리 체계에 포함되지 못하여,
    개인정보 흐름도 및 흐름표가 위험관리 체계에 반영되지 못함

    - 정보자산은 ISMS 구축 운영 가이드 內 예시에 의존하여 분류

정보보호 위험관리

㈜시큐리티허브는 ISO31000, ISO27001:2013 및 ISO27005 등에서 제시한 표준 정보보호 위험관리의 원칙과 프레임워크를 기반으로
국내 및 국제 기준에 완벽히 부합하는 위험관리 프로세스를 쉽고 빠르게 적용하도록 최선의 노력을 다하고 있습니다.

정보보호 위험관리 원칙

  • 가치를 만들고 보호하라.
  • 내외부 상황에 맞춰 구성하라.
  • 조직 프로세스의 일부에 속하도록 하라.
  • 인적 / 문화적 요인을 고려하라.
  • 의사결정의 일부가 되도록 하라.
  • 투명하고 포괄적이게 하라.
  • 명확히 하라.
  • 변화에 신속히 대응하라.
  • 적기에 체계적으로 이행하라.
  • 조직의 지속적 개선을 촉진하라.
  • 확실히 가용한 정보에 기인하라.

정보보호 위험관리 프레임워크 ; PDCA

정보보호 위험관리 프로세스

정보보호 컨설팅 서비스 수행사례

  • 현대카드

  • 현대캐피탈

  • 현대커머셜

  • 삼성중공업

  • 골프존카운티

  • 케이티커머스

  • 한국공항공사

  • 한국인터넷진흥원

  • 한전KDN

  • 화재보험협회

  • 뱅크웨어글로벌

  • 아톤

  • 이노그리드

  • 진두아이에스

  • 팍스넷

  • 코인빈

  • 나이스페이먼츠

  • 대우건설

  • ab180

  • 한국데이터거래소

  • 탑툰

  • 티몬

  • ㈜지아이티

  • 바이와이제이

  • 세종학당재단