안녕하세요 shared it 에서 많은 도움 받고 있는 IT인 입니다.
기존에 자산관리도, 보안체계도 없고 심지어 백신도 설치 안되어 있는 회사에 입사해서 무에서 유를 창조 중입니다. (너무 거창했네요)
이제 보안정책을 마련 하려고 합니다.(관리적, 물리적, 기술적 보안측면)
허나, 우리회사 규모에서 어느 선까지 체계를 수립해야 할지 난감 하네요 ;;
usb는 막아도 되는지? 메일과 그룹웨어 사용을 이제라도 외부에서는 막아야 하는지? 웹과 소프트웨어는 어디까지 막아야 할지?
그리고 포트포워딩 사용 이나 팀뷰어, 애니데스크도 막고 싶은데..그냥 아무 생각없이 사용하고 있네요 등등
회사 매출규모나 업종 등에 따라서 어느 선까지 막아야 한다는 법규 같은게 있는지 궁금합니다
kisa 등 관련 기관에 문의하면 상담을 받을 수 있는지? isms-p를 공부하면 해당 내용이 나오는지도 궁금하네요.
혹시 아시는 분들 계시면 답변 부탁드립니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
5개의 답변이 있습니다.
처음부터 시작하기 힘드시겠네요.
보안전략 컨설팅으로 구글링 해보시면 여러 업체가 조회될것입니다.
비교 해보신 후 견적도 진행해보시면 좋을 듯 합니다.
관리적, 물리적, 기술적 보안 조치에서...
가장 우선적으로 접근해야 할 건 관리적 보안 조치가 되겠고요.
관리적 보안 조치에 대한 기본 틀을 마련해 두고 기술적 보안 조치 관련해서 하나 둘씩 챙기면 될거라 보여지네요.
물리적 보안 조치는 출입 관리 등, 경고문 부착, 시건 장치 등의 조치이다 보니 만져지고 눈에 보이는 조치이다 보니 상대적으로 시행에 어려움이 적을 거라 생각되고요.
기술적인 보안 조치는 제대로 하려면 너무 광범위하다 보니...
우선 접근이 쉬운 것 부터 접근해서 하나 하나 도입하는게 좋을것 같고요.
예를 들어, 방화벽 도입, 백신 도입, PC 보안 솔루션 도입, DB 암호화 솔루션 도입, DB 접근 제어 솔루션 도입, 시스템 접근 제어 솔루션 도입, ... 등으로 상황에 맞춰 하나씩 점진적으로 진행해 가면 되지 않을까 싶어 보이네요.
yschoinet | 약 3년 전
네 감사합니다. 관리적 -> 물리적 -> 기술적 순서로 잡아 가야겠네요..
회사 매출기준과 별개로 내부 보안과 외부 보안은
필수입니다
방화벽부터 drm/dlp ,DB 암호화,접근제어 등
할게 많겠으나
매년 계획잡고 하나씩 하면 됩니다
yschoinet | 약 3년 전
사진은 엑박이어서 좀 아쉽지만..댓글 달아주셔서 감사합니다.
올해는 큰 틀 잡고 하나씩 해 나가야겠습니다.
업종에 따른 관계법령에 적용받는 경우 (ex> 금융권)
규모에 따른 관계법령에 적용받는 경우 (ex>ISMS)
갑(원청)의 요구에 따라 보안 수준을 수립하는 경우 (ex>대기업 하청)
을 제외하고는 보통은 필요에 의해서 자율적으로 보안 정책을 수립합니다.
yschoinet | 약 3년 전
아...그렇군요.. isms 를 역시 공부 해봐야겠네요..고맙습니다.
중소기업 기술보호 울타리에서 보안 전문가 현장 자문 서비스를 신청해서 받아보세요
저희도 받았었는데 기초적인 보안 컨설팅과 기본 정책 양식 부터 많은 도움을 받을 수 있어요
3일은 무료이구요 더 디테일 하게 받고 싶으시면 아마 비용이 들겁니다.
참고하세요!
https://www.ultari.go.kr/portal/psi/techDefend.do
yschoinet | 약 3년 전
감사합니다. 회사에 얘기하고 신청해야겠네요
역시 shared it 이네요