보안컨설팅 학습4 (문제해결기법:페르미의 추정)

출처:  << 신수정박사의 보안컨설팅카페 >>
[보안컨설팅 강의자료]중에서 SK인포섹 대표이신 신수정박사님의 정보보호컨설팅 강좌 4편을 보고 정리해보았습니다.

보안컨설팅 강의4. 문제해결기법:페르미의 추정
원문: (신수정박사의 정보보호컨설팅 카페에서 확인하실 수 있습니다.)
http://m.cafe.naver.com/ArticleRead.nhn?clubid=21433471&articleid=207&page=1&boardtype=L

동영상 강의: (PC화면 녹화방식입니다.)

보안컨설팅학습3(정리기법2)

출처:  << 신수정박사의 보안컨설팅카페 >> [보안컨설팅 강의자료]중에서

SK인포섹 대표이신 신수정박사님의 정보보호컨설팅 강좌 3편을 보고 정리해보았습니다.  

보안컨설팅 강의2. 정리기법2
원문: (신수정박사의 정보보호컨설팅 카페에서 확인하실 수 있습니다.)
http://m.cafe.naver.com/ArticleRead.nhn?articleid=205&page=2&boardtype=L&clubid=21433471

동영상 강의: (PC화면 녹화방식입니다.)

ISO27001의 133개 통제항목에 대한 해설 및 실행지침서

image

  ISO27001은 정보보호관리체계( Information Security Management System)에 대한 기본적인 요구사항을 규정하여 표준화한 국제적인 규격입니다.   현재 사용되고 있는 최선의 정보보호의 Best Practice들로 구성된 11개 분야 133개 통제항목으로 구성되어 있습니다.

  원래  정보보호 관리체계의 국제규격이었던 BS7799에서 ISO27001이 파생되었습니다.  BS7799는 1999년 Part1, Part2로 나뉘어지게 되었고    실행지침 파트인 Part1이 2000년에 ISO17799로 전환되었고, 규격 파트인 Part2이 2005년에 ISO27001로 전환되어 현재까지 오게 되었습니다.   정보보호 관리체계에 대한 국제 인증을 받기 위해서는 Part1의 실행지침을 따라 자체적인 체계를 수립하고 일정기간 이행한 기록을 토대로 Part2규격을 따라 심사를 받게 됩니다.
image

  ISO27001의 통제항목 일부가 잘 이해되지 않아서 검색하다가  아래 문서를 찾게 되었습니다.  과거 지경부에 제출되었던 연구과제물이었습니다. (이오컨설팅에서 수행했네요..)  ISO27001의 통제항목에 대한 설명이 이해가 잘 되지 않는 경우에 이 문서를 보시면 큰 도움이 될 듯합니다. 꽤 자세히 적혀 있다는 것이 문서의 장점입니다.  세부통제항목 란에 보시면  ISO27001 통제항목의 일련 번호가 포함되어 있으니 참고하시기 바랍니다. 

아래 자료는 ISO/IEC27001:2005를 기반으로 한 것입니다.  

  << 중소기업의 기술보호를 위한 세부 보안통제실행 지침서 (ISO27001 기반) >>
 << 개인정보보호 경영포털의 ISO27001자료실 (회원가입 필요)  >>

image

  아래는 위 문서에서 발췌한 ISO27001 통제항목의 구성입니다.    11개 도메인, 133개 통제항목이 망라되어 있습니다. 참고하세요

image

법령, 시행령, 시행규칙 3단 비교하기

   어제는 국가법령정보센터에서 법령,시행령,시행규칙을 PDF로 출력하는 방법에 대해 포스팅했었습니다 .오늘은 법령,시행령,시행규칙을 3단 비교하는 방법 및  비교내용을 파일로 저장하는 방법을 소개해드리려고 합니다.  최신 법령등을 PDF로 저장하는 방법은  다음 URL을 참고하세요.
 <<  정보보호에 관한 관련 법규 출력하기  >>  

■  법령, 시행령, 시행규칙의 차이
먼저  법령, 시행령, 시행규칙의 차이를 알아야겠죠?   이 세가지는 모두 법적 구속력을 가집니다.  법령을 출력하실 때  꼭 세가지를 모두 확인하셔야 합니다.

법령: 국회에서 제정, 법률은 모든 내용을 구체적으로 명시하는데 어려움이 있고 현실적인 집행을 하는데 한계가 있기에 법률에서는 원칙적인 사항이나 반드시 준수되어야할 사항을 명기하고 나머지는 시행령이나 규칙에서 규정하도록 하는 유보조항을 두고 있습니다.  "~한 사항은 대통령령으로 정한다"이런 식으로 하위법인 명령에 그 세부사항을 적시하도록 위임하고 있지요
시행령: 법률이 있을 때 해당 법률의 시행하기 위한 상세한 내역을 규율하는  명령으로써 대통령령으로서 제정됩니다. 
시행규칙: 시행령이 있을 때 그에 대한 상세한 내역을 규율하기 위한 것입니다. 실제 시행과 관련된 행정부서에서 제정됩니다.

먼저 국가법령정보센터 사이트에 가셔야 합니다.
■ 국가법령정보센터 사이트: http://law.go.kr

image

법률검색을 하시면 나오는 화면에서  중앙에 보이는 [3단 비교] 버튼을 클릭하세요
image

■ 3단 비교하기 및  비교내용 파일로 저장하기
그러면 3단비교(법률기준) 창이 새로 뜨게 됩니다.  여기서는 법률기준으로 해당하는 시행령과 시행규칙을 같은 라인에 함께 비교해주므로  한눈에 법률, 시행령, 시행규칙의 세부내역을 확인하실 수 있어서 매우 편리합니다. 역시 여기서도 파일로 내보내기를 지원합니다.   HWP, 엑셀, HTML 파일로 내보내기를 하실 수 있습니다. 
 image

도움이 되셨나요?   무슨 법이든  법률, 시행령, 시행규칙을 함께 확인하시는거 잊지마세요 ^^

정보보호에 관한 관련 법규 출력하기

  국가법령정보센터 싸이트에 가시면 최신 정보보호 관련 법규를 확인하실 수 있습니다.  이 사이트에서는 최신 법령을 쉽게 검색할 수 있을 뿐 아니라   조회중인 법령을 PDF나 문서파일로 저장할 수 있으며  즉시 프린트도 가능합니다. 

■ 국가법령정보센터 사이트: http://law.go.kr

image

  오늘 국가법령정보 사이트에서 정통망법과 개인정보보호법을  PDF파일로 내려 받아  소책자를 만들어 보았습니다. ^^   항상 최신 법령자료들을 쉽게 다운로드할 수 있어서 참 좋은 것 같습니다.  바로 웹페이지에서 프린트도 가능합니다만  보관 및 좀더 깔끔한 인쇄를 위해서 PDF파일로 내려받는 것을 추천합니다. ^^

image

■  정보보호 관련 법규 리스트

– 정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙  <<보기>>  
– 개인정보보호 법, 시행령, 시행규칙 <<보기>> 
– 부정경쟁방지 및 영업비밀보호에 관한 법률, 시행령  <<보기>>  

■  정보보호 관련 법규 PDF로 만드는 방법

1. 국가법령센터에서  법령을 검색한 후 나오는 법령을 더블클릭합니다.
image

2. 출력하기 원하는 법령을 클릭한 후 오른쪽 상단의   디스켓 모양 image 버튼을 클릭합니다.
image

3. 출력하기 원하는 문서 포맷으로 지정하고  저장버튼을 클릭합니다. (HWP, PDF, DOC 세가지 옵션)

image

image

4. PDF로 저장된  법령을 확인하세요

image

사용자 보안의식이 정말 문제일까요?

  최근 낮은 사용자 보안의식이 문제라는 기사들이 많이 보이더군요. 10여전 전부터 항상 사고가 발생하면 이런 기사들이 많이 나오더라구요. 사용자 보안의식이 정말 문제일까 생각해보았습니다.

  사용자 보안의식을 높이기 힘든 이유는 무엇일까요? 많은 보안사고들이 발생하고 있지만 정작 기업의 업무현장에선 보안이란 ‘남의 일’이 되고맙니다. 직원들의 보안의식이 부족하다고 말을 많이 하지만 정작 직원입장에선 철저히 성과에 의해 평가받고 있기 때문에 일을 신속하게 처리해서 외적 성과를 내는 것만이 중요하게 인식됩니다. 대부분의 기업에 있어서 보안은 성과지표에 거의 영향을 미치지 않는다고 봐야합니다.

  사용자 보안의식이 부족하다며 책임을 직원에 전가하기 보다는.. 경영자가 기업내 조직원들이 보안에 자발적으로 참여할 수 있도록 보안준수에 대한 성과지표를 제시하고 반영하는 것이 효과적인 지식정보보호가 가능해지는 지름길이란 생각이 듭니다. 물론 쉬운 일은 아니겠지만 ‘보안을 중요하다고 생각해라’라고 주입식으로 교육하는 것보다 ‘보안이 직원에게 의미가 있다’라는 것이 느껴질 수 있는 기반을 다지는 것이 더 중요하다는 생각이 듭니다.