수달정보보호

내가 직접 전화하고 취재(?)한 것이라 출처는 없다. 올해 남은 기간 동안 토스나 할까 고민하던 중, ISRM이 올 12월에 시범검정한다는 것이 생각나 KCA에 접속하였다. 물론, 홈페이지에 관련 내용은 업데이트되지 않았다. 그래서 바로 대표전화로 전화를 해봤다. 그런데 전화받으시는 직원분꼐서 생전 처음 들으시는 듯한 반응을 보이셨다. 여기서 느꼈다. 올해 시험을 보진 않겠구나... 전화를 끊고 본원으로 전화를 하여 문의했다. 문의 내용은 다음과 같다. Q: KCA에서 정보보호위험관리사(ISRM) 시범검정을 올 12월에 하는 것으로 알고 있다. 사실인가?A: ISRM 시험을 시행하는 것은 맞지만 올해는 아니다. 시험이 당장 며칠 전에서야 등록이 완료됐고, 기사와 나간 것과 달리 내년에 시행하는 것으로 계..

1. 정보보안 통제의 구조정보보안 위험은 위협이 정보자산 또는 그룹의 취약성을 악용하여 조직에 피해를 줄 수 있으므로 조직 및 이해 관계자는 정보보안 위험을 관리하는 것이 필요하다. ISO 27002 정보보안 통제에서 사이버보안 통제 속성은 ISO 27002 사이버보안 프레임워크 또는 사이버보안 통제로 표현한다.통제 프레임워크통제 프레임워크 적용 방법정보보안 통제ISO/IEC 27001ISO/IEC 27002▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함▶ Annex A 통제는 정보보안 통제의 포괄적인 통제 목록에 포함되어 있음▶ ISO/IEC 27001 Annex A 통제 프레임워크는 추가적인 통제를 권장함▶ ISO 27002:2022 정보보안, 사이..

1. 사이버보안 트랜스포메이션의 개요전 세계적으로 사이버 공격의 빈도와 심각성이 증가하고 있으며, 향후 10년 동안 가장 우려되는 10대 글로벌 위험 중 하나로 2030년까지 약 519조의 지출이 예상된다는 것은 사이버 보안의 중요성을 인식할 수 있게 해 준다. 사이버 공격 방어의 목표에서 데이터 중심 보안의 관리는 데이터가 있는 위치나 공유 대상에 관계없이 정보 보호를 강화하는 것으로, 데이터의 속성, 등급, 보호 요구사항에 대한 메커니즘이 필요하다. 사이버 보안 트랜스포메이션은 디지털 전환 시대에 사이버 위협의 조직 및 국가를 보호하는 핵심 가치이며 이에 따라 ISO/IEC 27002 개정은 사이버보안 트랜스포메이션의 가치 있는 변곡점이라 할 수 있다. 그 변곡점의 배경으로는 AI, 빅데이터, 블록체..

보안 사고의 유형을 분류하는 방법은 다양하다. 그러나 그중 가장 단순한 분류 중 하나가 ① 외부자의 공격으로 인한 사고 ② 내부자의 고의 또는 실수로 인한 사고일 것이다. 보통 70~80%가 ①에 속하고, 20~30%가 ②에 속한다. 무시하기에는 내부에서 발생하는 비율도 만만치 않은 것이다. 그렇기에 각 조직의 보안 담당자는 외부와 내부의 사고 가능성을 모두 고려해야만 한다. 그리고 여기서는 내부자로 인한 사고에 대해 집중한다. 조직원이 사고를 칠, 그러니까 부정적 행동을 하도록 만드는 동기는 무엇일까? 조직원이 불확실성을 느끼기 때문이다. 그리고 보안 컴플라이언스를 지키지 않는 조직원은 조직 중심이 아닌, 개인 중심의 행동을 할 가능성이 커지게 된다. 그렇기에 이 논문에서는 개인적인 행동을 하게 만드는..