안녕하세요 100인 규모의 제조업 회사에서 전산직으로 일하고 있습니다.
저희 회사에서 제가 입사하기 전부터 보안솔루션인 오피스키퍼(dlp), 다큐원(문서중앙화)를 도입해놓고 아무정책도 걸지 않은채로 방치되고 있었는데 이번에 보안을 순차적으로 도입하고자 합니다.
분기별로 나누어서 도입할 부분을 정하고 있는데 우선 올해 4분기엔 당장 할 수 있는 pc화면보호기, 비밀번호설정, 시건장치 설치등을 할 계획이고,
내년1분기부터 보안표준작성, 매체제어, 파일첨부제어, 출력제어를 순차적으로 도입 할 예정이며 마지막으로 문서중앙화를 도입 하려고 합니다.
여기서 보안표준작성을 해야하는데 어떻게 해야할 지 감이 잡히질 않아서 다른분들은 어떤식으로 문서화 하시는지 궁금합니다.
저희 회사에서 보안을 도입하는 가장 큰 이유는 설계도면, 공정레시피 외부반출을 막기 위해서 입니다.
보안표준을 어떤식으로 하는게 맞을지 감이 안잡혀서 질문드립니다.
30개의 답변이 있습니다.
솔루션상담실이나 It자료실을 확인 해 보시기 바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보안 솔루션은 설정을 하지 않으면 효용성 떨어집니다.
야박하게 말하면 없는것과 같습니다.
우선 있는 솔루션 제공업체 불러서 가이드 받아서 간단한것부터
보안 정책을 적용하세요.
그리고 보안 수립을 장기적, 단계적으로 하시는 것 같은데요.
컨설팅 받아보시라 추천 드리고 싶네요.
그냥 인터넷 구글링이 귀동냥으로는 제대로 구현하시기 어려우실겁니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보안표준작성을 위해서는 내부 업무 중 보안을 유지해야하는 업무 및 자료가 무엇인지 분류가 우선 되어야 할 것입니다.
그런 다음 개인정보보호위원회, 인터넷 진흥원 등 국가(공공)기관의 공신력있는 가이드, 매뉴얼을 참고하여 작성(준수) 하시면 됩니다.
이럴 것이다, 이렇게 하면 되겠지 하는 생각은 잠시 접어 두시고 단계적으로 중장기 계획을 수립해서 최소한의 기준부터 하나씩 그에 맞는 기준을 위에 언급한 자료들을 참고해서 적용하시면 됩니다.
설계도면, 공정레시피 외부반출이 될 경우 회사에 어떤 영향을 미칠지?
이런 경우, 감사 대비 어떤 준비를 해야하는지? 등 등을 생각한다면,
관리적, 기술적, 물리적 보안을 절차대로, 매뉴얼대로, 지침대로 하고 있는지 따집니다.
참고하세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입신규 도입보다는 방치되어있던 오피스키퍼와 다큐원을 재활용? 해서 보안 정책세팅하시면 능력자로 인정받으실 기회네요!
해당 업체에 요청하셔서 교육받으시고 필요하시면 라이센스 업데이트도 받으면 좋을것같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입우선 어떤 파일들을 보안 관리할건지 대상 범위 선정하고
보안등급, 접근등급/레벨, 유출 예상 경로등을 정해서
해당 내용에 대한 문서화 해두면 좋을듯 합니다.
벤더에 보안 관리에 대한 내용들도 받아서 참고하시구요
현재 솔루션이 미흡하거나 추가 보안이 필요하면 솔루션상담실 이용도 추천드립니다
문서를 어떻게 작성할지 막막했는데 답변 감사합니다 ㅎ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보안은 끝도 없어사 ㅠㅠ
문서중앙화, 암호화, 접근 권한 제한, 각 문서별 접근 로그(계정, 시간, ip, 다운로드, 수정 등 정보) 남기면 어느 정도 보안이 됩니다.
그리고 내부 보안 교육은 주기적으로 하세요 ㅠㅠ
내부보안은 교육영상같은거 주기적으로 시간내서 보여주고 있긴한데 직원별로 로그인해서 수료하는거는 너무 싫어하셔서 못하고 있네요.. 제조업이다보니 그런 의무교육이 너무 많아서 ㅠ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입가장 근본적으로 설계도면, 공정레시피가 중요한 데이터인가요?
임원분들이 가장 중요하다 하신게 도면과 공정레시피입니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입안녕하세요! 망간 자료전송 솔루션 벤더사인 (주)한싹 입니다.
문의하신 내용을 저희 솔루션 기준으로 말씀드리겠습니다.
큰틀에서 참고해주시고 궁금하신 내용 있으시면 문의주세요!
100인 제조 기업이시면 적은 규모는 아니신 것으로 보입니다.
최근 스타트업, 중소기업에서 ISMS-P인증을 받으면서 망분리를 하고 있습니다.
고비용의 물리적 망분리가 아닌 논리적 망분리를 많이 하구요, 두번째로 비용 부담이 있는 구축형이 아닌 AWS/MS 클라우드 DaaS 서비스로 도입하고 계십니다. 국내 KT/가비아/NHN/네이버도 각각 클라우드에서 DaaS 서비스를 하고 있으나 일반 기업들은 AWS/MS 비중이 높습니다.
이렇게 망분리를 하시고, 업무용 PC와 인터넷용 가상 PC 간에 자료전송 솔루션 에이전트 또는 웹을 이용해서 파일을 반입/반출할 수 있습니다.
설계 도면을 외부 반출할 경우 관리자가 결재가 필수이며, 반출자/반출파일명/결재자 등 로그가 남기 때문에 차후 감사 자료로 활용하실 수 있습니다.
최근 제조업 담당자 미팅 사례를 말씀드리면, 퇴직자가 나중에 알고 보니 경쟁사 이직했고, 내부자료를 메일로 유출한 사례가 있어 소송 중인데, 증거가 없어 고민 중이었습니다.
구글 오피스 메일 SaaS 서비스를 사용 중이었는데, 퇴사 후 1개월이 지나면 계정이 삭제돼 복구가 안된다고 합니다.
이에 저희 제품 중 메일연계 서비스를 구글 메일(모든 메일 서비스 연동 가능)과 연동해서 자료전송과 마찬가지로 외부 메일도 결재를 해야 반출이 가능하고, 로그가 남는 부분에서 사업 품의 중에 있습니다.
따라서 메일 부분 보안도 고려하시면 좋으실 듯 합니다.
추가로 메일 반입 시에는 본문을 이미지로 변환해주기 때문에 랜섬웨어 피해도 예방할 수 있습니다.
끝으로 문서중앙화는 공공, 금융 사업에 저희 솔루션 납품 사례가 있습니다만, 대부분 망분리 후 외부/내부 문서중앙화 시스템을 각각 분리 도입해서 적지 않은 사업 비용 사례만 있어 제외했습니다.
수고하세요!
정보 감사합니다 ㅎ 저희회사가 당분간은 보안에 비용지출은 힘들지만 나중에 도입할때 참고하겠습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입규정집을 처음부터 새로 만들려 하면 막막할 수도 있고 어려움이 느껴질 수도 있겠고요.
인터넷에 있는 보안 규정들을 검색해서 참고하는게 좋을거라 생각되고요.
다른 곳에 만들어진 규정들을 기반으로 우리 회사에 맞지 않는 것은 수정 보완해서 만들어 둔 후에, 내부 정책 변경 등이 있을 때 규정집도 함께 변경 적용해서 업그레이드 시켜 가면 되지 않을까 싶네요.
https://blog.naver.com/perfumefabric/220543596128
https://www.nodong.kr/form_regulation/2025073
규정집 링크 감사합니다 ㅎ
가장 막막한 부분이 이 부분인데 보고 참고해서 작성해보도록 하겠습니다.
감사합니다 ㅎ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입기업 보안 표준 수립을 위한 컨설팅 업체를 통해서 전반적인 보안정책 사항을 정리해나가야할거 같네요
저도 그랬으면 좋겠지만 당분간은 보안에 비용투자를 하지 않겠다고 해서 제가 보안표준을 작성을 다 해야하는 상황입니다 ㅠ
답변 감사합니다
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입예전 생각이 나네요
다른 사람들이 도입만하고 전원만 켜둔 장비들
쓰도않을 장비를 왜 구매하는지......
이미 도입된 장비부터 활용하시고 안정화시키고 다음을 생각해보세요. 장비를 직접 운영하시면 이것저것 필요한 것도 나오고 생각도 조금씩 바뀌고
네 안그래도 보안에 추가로 비용을 쓸 수가 없어서 기존장비로 최대한 보안구성을 해야 할 것 같습니다. 그런데 이걸 문서로 만들려니까 너무 막막하네요 ㅎㅎ 댓글에서 알려주신대로 양식들 찾아서 한번 해보겠습니다. 감사합니다
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입솔루션 도입이 되었는데도 정책을 시행하지 않았다는 것은
내부에 누군가가 반대해서 시행이 되지 않았던거 같단 생각입니다.
보안 같은 것이 적용되면 불편한 부분들이 있기 때문에 그랬다는 생각이 드는데요.
회사 차원에서 적용에 대한 로드맵을 먼저 공지 하고 난 후에 단계별로 진행 하시는게 좋을 듯 합니다.
보안 양식 같은 것 들은 OOO진흥원 같은 곳에서 쉽게 다운로드 가능하니 참고하시기 바랍니다.
처음에 입사하고 대표님 지시로 보안정책 일괄적용을 했었는데 직원들 불만이 심하고 퇴사자까지 발생을 해서 대표님이 로그만 수집하는걸로 바꾸자 해서 지금은 로그만 수집하고 있습니다.
시간이 지나고 다시 도입을 하려하는데 한번에 도입은 못할 것 같으니 천천히 도입을 할 예정입니다.
로드맵을 먼저 공지하고 단계를 진행하려 하는데 작성하는게 막막하네요 ㅎ 양식같은거 찾아서 해보겠습니다. 감사합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입일단 DLP 자체가 내부 유출 방지솔루션이다보니, 내부의 자료를 외부로 유출하는데 있어 도움이 되지만, 여러가지 홀이 있기에 완벽하진 않습니다.
내부의 설계도면과 공장레시피 정도의 파일이면 모든 문서를 문서중앙화로 저장되게 관리함과 동시에 내부의 PC에 외부매체 절대적으로 금지하는 정보보호정책으로 시작해서 PC관리 지침서가 필요해 보입니다.관련내용은 구글링하면 충분히 나올것이며,
진짜 내부의 자료를 외부로 차단하기위해선 불편하더라도 DLP 정책을 화이트리스트 기반으로 허용할것만 하고 나머진 그냥 전부 차단되는 형태로 관리하는게 좋습니다. 그리고 DLP가 에이전트 기반이다보니 에이전트 무력화를 하지 못하게 NAC도 도입하여 DLP에이전트가 설치되어 있지 않거나 구동되지 않으면 네트워크가 되지 않게 설정하는 것도 좋을 것 같습니다.
정보 감사합니다 ㅎ
nac는 저도 도입을 하고 싶은데 보안에 추가로 돈을 쓰는것에 거부감이 심해서 기존 장비로 보안구성을 먼저 해야 할 것 같습니다 ㅠ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입정보보안규정이라면 샘플 양식 등 검색하거나 공공기관 등 확인 할 수 있는 방법은 많습니다.
회사 내 보안표준을 작성하고자 한다면, 회사의 상황을 고려해서 작성되어야 할 듯 합니다.
보안관리체계로 크게 카테고리를 잡으셔서 구성하시면 좋을 듯 합니다.
예를 들어 물리보안(시설),기술보안(시스템 및 자산),관리보안(인적 자산)을 기준으로 잡고 작성해
나가시면서 각 하위 카테고리에 대한 정책이나 문서들을 (제어에 대한 범위 설정, 결재라인, 최대허용기간 등등) 작성하시는 순서로 가면 좋지 않을까 합니다.
회사 내 보안표준을 작성하려고 하는데 막막해서 질문올렸습니다
참고해서 작성하겠습니다. 답변 감사합니다 ㅎ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보안 업무 규정 부분은 구글링등을 통하시면 많은 자료가 나옵니다.
매체제어,파일첨부제어,출력제어는 DLP 에서 다 제어 가능한데, 굳이 순차적으로 진행할필요 있을까요?
어떤 보안정책이든 사용안할때보다 사용하면 반발이 오는데 일괄 적용하고 진행하는게 업무에 편하실거에요.
설계도면과 공정레시피 등은 문서중앙화에서 해당 폴더 권한자를 등급을 두어 접근차단을 하면 될 거 같긴한데, 그거와 별개로 내규에 도면관리대장/도면대여/분출대장 등을 넣으시고
담당자를 지정하여 관리해야 합니다.
직원들 반발이 너무 심하고 임원진은 도입하고 싶어해서 그럼 거부감 적게 순차적으로 적용하자 라는 의견이 나와서 대표님 주도하에 진행하려고 합니다.
물론 한번에 적용해야 의미가 있긴한데 기간을 1년 두고 천천히 도입하기로 결정한 상태입니다.
답변감사합니다 ㅎ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입DLP가 도입이 되었다면 우선적으로 정책을 적용하고 나서 순차적으로 보안 솔루션 DRM등을 도입하세요
회사에서 현재 가지고 있는 솔루션만으로 보안구성을 하려고 해서 DRM 추가도입은 힘들것으로 보입니다. 그래서 DLP랑 문서중앙화로 보안구성을 어떻게 해야 최선인지 궁금합니다.
오피스키퍼가 완변한 drm 기능은 아니지만 통합 보안솔루션으로 일부 가능한 부분들이 있으니 확인하셔서 같이 정책 반영 하시면 될 듯 합니다.
네 오피스키퍼가 여러기능들이 많더라구요 문서암호화 기능도 있던데 더 알아봐야겠네요.
답변 감사합니다 ㅎ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입