공부

[4주차] ISO 위험 관리 접근법학습목표1. 위험 관리에 대한 ISO 접근 방식을 정의한다.2. ISO 31000 표준과 위험 관리에 사용되는 방법을 설명한다.3. ISO 27000 시리즈와 위험 관리에 대한 적용에 대해 설명한다.[4-1] ISO 위험 관리 정의앞서 언급했듯이 ISO에는 위험 관리를 다루는 두 가지 계열의 간행물이 있다. 시간이 지나면서 이 둘은 서로를 향해 나아갔고, 그 결과 매우 유사한 방법론이 탄생했다. 이 중 첫 번째는 ISO 31000이다. 이는 사이버 보안 위험 관리에 특별히 중점을 두지 않고, 일반적인 위험 관리에 중점을 둔다. 이 중 두 번째는 ISO 27005 표준으로, 현재 우리가 사이버 보안이라고 부르는 보안에 관한 ISO 27000 시리즈의 일부인 것이다. ISO..

[3주차] NIST 위험 관리 프레임워크학습목표1. NIST 위험 관리 프레임워크의 구조와 사용에 대해 논의한다.2. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다.3. 위험 관리를 관리하는 기준을 설명한다.4. NIST 위험 관리 프레임워크 프로세스 및 위험 처리 대한 운영에 대해 논의한다.5. NIST 위험 관리 프레임워크를 설명한다.6. 위험 관리에 대한 NIST 접근 방식을 설명한다.7. 위험 평가를 위한 NIST 리스크 관리 프레임워크 프로세스 및 운영에 대해 논의한다.[3-1] NIST 위험 관리 프레임워크 개요NIST 위험 관리 프레임워크(RMF)는 미국 정부의 컴퓨터 시스템이 정보를 안전하게 저장, 사용 및 전송할 수 있도록 보장하기 위한 노력의 진화다..

[1주차] 주요 위험 관리 표준 및 프레임워크이 과정에서, 우리는 위험 관리 경험과 위험 관리 경험이 거의 없는 조직들이 리스크 관리 노력을 설계하고 구현하는 데 있어 어떻게 국내 및 국제 기관에 지침을 제공하고 싶어하는지에 대해 학습한다. 이 분야에 지침을 제공하는 두 개의 주요한 조직이 있다. NIST라고 자주 불리는 미국 국립 표준 기술 연구소와 ISO로 줄여 불리는 국제 표준 기구다. 이 과정에서는 이 두 조직이 제공하는 리스크 관리 프레임워크와 표준을 검토한 다음, 사용 가능한 다른 접근 방식에 대해 논의하는 것으로 마무리한다.[2주차] 주요 위험 관리 표준 프레임워크: NIST & ISO학습목표1. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다. 2. 위험..

1. ISO 27001의 개념 공식적으로 ISO/IEC 27001:2022로 알려진 ISO 27001은 국제 표준화 기구(ISO)에서 만든 정보보안 표준으로 , 정보보안 관리 시스템(ISMS)을 수립, 구현 및 관리하기 위한 프레임워크와 지침을 제공하는 것이다. ISO 27001은 '정보보안 관리 시스템의 구축, 구현, 운영, 모니터링, 검토, 유지 관리 및 개선을 위한 모델을 제공'하기 위해 개발되었다고 정의된다. 물론, 문서화, 관리 책임, 내부 감사, 지속적인 개선, 시정 및 예방 조치에 대한 모든 세부 정보가 포함된다. 조직에서 모든 부서 간의 협력을 요구하는 것은 물론이고 말이다. ISO 27001의 목표는 조직이 중요한 정보 자산을 보호 하고 해당 법률 및 규제 요구사항을 준수하도록 (강제적으..