사건의 발생: 목표, 측정 및 기획 (part 3 of 3)
정보보안 사고는 불가피할 수 있습니다. NQA 지역 심사원인 Michael Harper의 안내를 받아 모든 어려움을 개선의 기회로 삼으십시오.
***
🔐 NQA는 제한된 기간 동안 모든 영국 내 기업 대상으로 ISO 27001:2022 전환을 무료로 진행하고 있습니다.
☎️ 빠르고 심플한 전환을 시작하세요. 오늘 연락주세요.
성명서
이 시리즈(및 다음 시나리오)는 사고 및 사고 대응에 대한 간략하고 단순화된 설명입니다. 완료해야 할 모든 항목을 포괄적으로 나열하려는 의도는 아닙니다. 사건과 조직은 모두 다르기 때문에 접근 방식은 리스크 기반이어야 하며 조직에 적합해야 합니다.
'사건의 발생': NQA에서 만든 3부작 블로그에 오신 것을 환영합니다.
이 시리즈는 정보 보안에 중점을 두고 있지만 원칙은 모든 상황에 적용됩니다. 예상대로 작동하지 않는 공작기계, 폐기물 배출, 작업 중 사고… 이러한 사고는 언제 어디서나 발생할 수 있습니다.
본 시리즈 파트3에서는 다음 내용들을 다룹니다:
-
목표 및 측정치의 차이점.
-
실행 단계의 레이아웃의 효과적인 방법.
-
파트2의 실제 사고 시나리오.
'사건의 발생' 시리즈의 마지막 파트이네요. 즐거운 시간 되세요!
내용 파악이 필요하신가요? 파트1(기본) 및 파트2(시나리오)를 읽으세요.
목표 및 측정의 차이점
목표 및 측정에 관해 다음 방식으로 생각해볼 수 있습니다:
-
목표 = 특정 비즈니스 이익의 목표.
-
측정 = 실행된 목표의 효과성 평가.
개요: 실제 사건 시나리오
NQA는 목표 구현의 각 단계를 설명하는 프로그램을 만들 것을 권장합니다.
파트2의 실제 사건 시나리오를 활용합시다*:
세일즈맨(헨리)이 새 고용주에게 전달하기 위해 기밀 정보를 자신에게 이메일로 보내는 것이 적발되었습니다. 현재 회사(Speed29)의 의사 결정자들은 비슷한 일이 다시 발생할 위험을 줄이고 싶었습니다. 그들은 2023년 말까지 적합한 데이터 손실 방지 도구를 선택, 설치 및 구성한다는 새로운 목표를 설정했습니다..
*본 기사에 등장하는 사례, 업체명, 사건 등은 허구입니다. 실제 기업, 제품 또는 서비스와 동일시하려는 의도가 없으며 추론해서도 안 됩니다.
목표 실행의 가장 실용적인 방법
1단계: 목표 확장
모든 ISO 표준들은 목표에 관해서는 비교적 유사합니다.
ISO 27001 (정보보안경영시스템) 6.2항 및 기타 ISO 표준에 따르면, 목표는 다음과 같아야 합니다:
관련 방침과 일관성이 있어야 함
-
데이터 손실 방지 도구는 정보 보안을 강화하고 지속적인 개선을 보여줍니다.
(가능한 경우) 측정 가능성
-
조직은 프로그램에 포함된 진행 지점과 함께 목표를 완료했는지 여부를 결정하게 됩니다.
관련성
-
사건이 발생했습니다. 재발 위험을 줄이기 위해 데이터 손실 방지 도구가 도입됩니다.
의사소통
-
사건, 위험 및 목표가 문서화되었습니다. 이는 경영검토의 안건이기도 합니다.
업데이트
-
데이터 손실 방지 도구 계획은 정기적으로 검토되고 업데이트되는 동적 작업 문서입니다.
SMART (특정, 측정 가능, 달성 가능, 관련성 및 시간 제한 방법이 도움이 될 수 있습니다.
2단계: 계획 작성
목표: 2023년 말까지 적절한 데이터 손실 방지 도구를 선정, 설치 및 구현.
1단계: 적절한 제품 파악
-
자원: 웹사이트, 무역 박람회 및 시간
-
책임자: 정보보안 관리자 (ISM) 및 최고 기술 책임자 (CTO)
-
일시: 2023년 6월 말
-
평가 대상: 다양한 벤더를 비교하기 위한 ISM 및 CTO
2단계: 벤더 시연 관람
-
자원: CTO, ISM, IT 팀원, 시간 및 장소
-
책임자: ISM
-
일시: 2023년 7월 말
-
평가 대상: 견적을 받기 위한 적절한 벤더 선정에 팀원이 동의
3단계: 적절한 벤더로부터 견적 접수
-
자원: 시간
-
책임자: ISM
-
일시: 2023년 8월 말
-
평가 대상: ISM이 견적 접수
4단계: 벤더 선정
-
자원: 시간
-
책임자: CFO (재무 담당 최고 책임자), CTO 및 ISM
-
일시: 2023년 9월 말
-
평가 대상: 가격, 가치 및 기능에 기반하여 벤더 선정
5단계: 데이터 손실 방지 도구 소프트웨어 설치
-
다음 또한 포함:
-
변경 관리
-
프라이버시 영향 평가
-
모든 시스템의 보안 영향
-
리스크 평가 업데이트
-
3단계: 도구 작동 확인
모니터링은 ISO 규격 9.1항에 언급.
9.1항에 따라 조직 내 의사 결정자는 모니터링 대상, 방법, 시기를 선택해야 합니다. 또한 모니터링을 수행할 사람과 결과를 분석할 사람을 확인합니다.
우리의 실제 사건 시나리오 상황에서, 이는:
무엇을 (KPI)
-
거짓 긍정 알림은 전체 알림의 5% 미만이어야 합니다.
-
거짓 긍정 = 검색 도구가 보안 취약점을 잘못 표시하는 경우(예: 버그가 없거나 기능이 실제로 작동하는 경우)
-
어떻게 (방법)
-
데이터 손실 방지 도구 리포트.
언제
-
리포트는 월간 발행.
누가
-
IT 지원팀은 월별 모니터링 및 보고 작업의 일부로 보고서를 발행합니다.
결과 분석
-
ISM은 매달 보고서를 받아 검토하며, 그 결과는 추적되어 경영검토 시 제시됩니다.
NQA의 마지막 생각
드디어 얻었습니다: 목표 설정부터 프로그램 작성까지 사건에 대한 단순화된 분석이 가능합니다.
'사건 발생' 시리즈에 참여해 주셔서 감사합니다. 우리는 정보 보안에 중점을 두었지만 상황에 관계없이 모든 조직에 원칙이 적용됩니다.
복습이 필요한가요? 파트1(기본) 및 파트2(시나리오)를 읽으세요.
정보보안에 대한 추가 조언이 필요하다면, 오늘 콜백하세요.
Get your business up to speed with ISO 27001 (Information Management)
Sign up for our mailing list to receive the latest on ISO 27001 – plus industry updates, expert content and more 👇