내년 2010 년에는 전자정부 정보보호관리체계를 의무화 한다는 기사가 있었습니다.  본격적인 작업에 돌입이 되지 않나 싶네요.

정보보호관리체계에 관심이 있는 분들은 한번씩 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 반드시 한번씩 일독 하기를 권해드립니다.



세부적으로 하나씩 읽어보니 기존에 ISMS와 유사한 느낌이 나는데 얼마나 효과가 있을지에 대해서는 한번 지켜봐야 겠습니다.

제가 늘 말했듯이 보안과 편리성과는 trade-off 관계에 있습니다. 따라서 정보보호관리체계를 귀찮은 일로 생각하시면 오산입니다. 어쩌면 제대로 된 관리체계를 수립해 놓고 제대로만 운영을 하면 더 수훨하게 관리 할수도 있습니다.

저는 관리체계를 보통 "집안 대청소"에 비유을 합니다.

어느날 아이들이 장난감과 교구 그리고 방을 완전 쓰레기 장으로 만들어 놓았습니다.  그럴때 아버지는 아이들을 데리고 책은 책꽂이에 장난감은 장난감 통에 그리고 옷을 옷걸이에 차곡차곡 정리를 합니다.

그러다가 쓸모 없는 물건이나 옷들이 있으면 쓰레기나 재활용에 버립니다. 그렇게 아이들과 같이 집안 대청소를 하고 나면 한결 잘 정리가 되고 물건이 있어야 할 자리에 있으면 그 다음부터는 관리 하기도 쉽습니다.

마찬가지로 정보보호(보안)도 기존에는 아주 주먹구구식으로 운영이 되어 왔습니다. 예를들면 화면보호기를 몇분동안 지정을 해야 하는지 패스워드는 몇자리로 해야 하는지, 정말 정보를 보호해야 할 자산은 무엇인지. 무엇이중요하고 무엇이 중요하지 않은지에 대한 기준과  규칙이 없었다는거죠..

그러한 규칙을 하나하나씩 인증심사 기준에 맞추어 체계적으로 수립해 나갈때 커다란 하나의 틀 안에서 관리를 하게 되니까 잘 고관리가 될수 있는 것입니다.

아마도 이러한 측면에서 공공기관부터 정보보호에 대한 관리 틀을 다시 한번 수립해야 하지 않는가 하는 점에서 의무화는 당연하다고 생각합니다. 실제 인증 심사를 받기위한 관리체계라기 보다 정말 조직의 정보를 보호 한다는 차원에서 접근하면 그 의미도 남다르지 않을까 생각합니다. 정보보호, 보안관리자 여러분 화이팅 하시기 바랍니다. @엔시스.



Posted by 엔시스
직무1 개요
- Platform분야 보안 관리(Platform Security)
- 최신 보안 Issue 사항 조사분석
- 최신 해킹 경향분석 및 대응방안 수립
- 외부 해킹 공격에 대한 감시 및 대응
- OS(UNIX, Windows 등) 및 WEB 서버 보안 기술
직무1 내용
* 보안시스템 관리/운용
- Firewall/IDS/IPS 등 보안시스템 운용관리
- System, IP Network Security 분석
- 해킹/보안침해사고 대응을 위한 시스템/Network 개선
* 보안침해사고 대응/관리
- 보안침해사고 원인분석/대응체계 수립/시행
- 해킹유형 분석/대응
- Network, System의 보안등급 점검 및 침해사고 대응
====================================================================
직무2 개요
- Platform 보안관리
- Platform 시스템 보안대책 이행(방역) 수행
- 보안 장비 운용(Firewall, IDS,EMS 등)
- 침해 유형 사전 파악 및 구성원 교육
- 보안시스템 Rule 및 Log  분석 등
직무2 내용
* 기본운용
- 보안장비 운용((Firewall, IDS,EMS 등)
- Platform 서비스 시스템 보안 대책 적용(방역): UNIX,NT 등
- 침해 사고 사전 파악, 시스템 적용, 구성원 교육
* 최적화
- Firewall, IDS, ESM Rule 및 Log를 분석하여 최적화
- Virus 유형(Pattern)분석 및 예방 Process화
- 침해사고 복구 관련 운용 기준 정립
=====================================================================
직무3 개요
- 서비스 Application 보안진단 (IT보안)
- 데이터, 플랫폼 서비스를 위한 IT 장비의 Application 진단 마스터플랜 수립
- 개발자를 위한 서비스 Application 보안 Guideline 수립
- 서비스 Application 취약점 진단 및 대책 방안 제시
직무3 내용
* 서비스 Application진단 마스터 플랜 수립
- 서비스 Application 취약점 동향 분석
- 서비스 Application 보안 Guidline 수립
- 중/장기 마스터 플랜 수립
* 서비스 Application 취약점 진단
- Application 소스 코드 및 구조 분석
- 보안 Guildline에 의한 개발 프로세스 검증
- 장/단기 대책 방안 제시
=======================================================================
직무4 개요
 -모의해킹 수행 및 해킹증거 분석추적(IT보안)
- 해킹 동향 분석 및 모의해킹 마스터플랜 수립
- 포랜식(Forensic:해킹 사고분석 및 법적 증거 확보)업무 수행
직무4 내용
* 모의해킹 수행
- 이동통신망에서의 다양한 모의해킹 시나리오 개발
- 모의해킹에 의한 시스템 및  Network 보안 취약점 분석
- 종합적인 대책 방안 제시
* 포랜식 업무 수행
- 포랜식 Guidline  및 프로세스 수립
- 포랜식에 의한 해커 사고 분석 및 법적 증거 확보

최소한 실무에서 보안 중급,고급 관리자 요구 하는 스펙 정도가 되겠습니다.  혹시 보안실무자나 관리자는
자신을 한번 살펴 보시고 부족한 부분은 채워 나가시기 바랍니다.
Posted by 엔시스