본문 바로가기

분류 전체보기40

단계별 내부통제항목 - 억제(1) 억제(Deterrence) 1) 보안정책 수립 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거 기반이 되는 정보보호정책을 수립한다. 정보보호정책은 국가가 정하는 정보보호 관련 법, 규정, 규제 등을 만족하여야 하며 경영진은 기업의 사업 목표와 일치하는 정책을 설정하고 정보보호 대한 의지 및 방향을 설정하여야 한다. 또한 정보보호와 관련된 중요한 사안에 대해서는 경영진의 의사결정 참여가 중요하며, 그에 따른 보고체계를 갖추어야 한다. 수립된 정보보호정책은 경영진에 의하여 공표되고 유지되어야 한다. ① 보안정책, 지침, 절차, 매뉴얼 수립 및 공표 “보안정책”을 수립 및 공표하고 “보안정책”을 효과적으로 시행하기 위한 세부적인 “보안지침”, “보안 절차”, “보안매뉴얼” 등을 수립하여야 한다... 2022. 7. 14.
내부자 위협에 대한 내부통제 강화 전략 내부자 위협에 적절하게 대처하기 위해서는 관리적, 물리적, 기술적 보안 관점에서 접근뿐만 아니라 종합적인 측면에서 내부통제 강화 전략을 고려하여야 한다. 또한 체계적인 내부통제를 위해서는 프로세스 단계별로 적절한 통제가 필요하다. 통제 프로세스는 목표를 달성하기 위하여 계획(Plan), 실행(Do), 검증(Check), 개선(Act)을 통하여 보다 발전된 계획(Plan)에 이르는 반복적인 사이클이라고 할 수 있다. CERT에서는 내부자 위협에 대한 적절한 통제를 위하여 “예방(Prevent)”, “탐지(Detect)”, “대응(Respond)”의 3단계를 제시하였다. NIST에서는 “보안 사고 대응 라이프사이클(Security Incident Response Life Cycle)”에서 “대비(Prepar.. 2022. 7. 13.
내부자에 의한 보안사고 사례 - 부정(Fraud) CJ홈쇼핑 회원 200만명 개인정보 유출사건 ① 사건 개요 『경기지방경찰청 사이버범죄수사대는 2005년 3월 28일 택배회사로부터 CJ홈쇼핑 회원 200만 명의 개인정보를 빼내 영업에 이용한 혐의(정보통신망 이용 촉진 및 정보보호에 관한 법률위반)로 텔레마케팅업체인 C홈쇼핑 대표 박 모(42) 씨를 구속했다. 또 회원들의 개인정보를 택배 배송을 독점하는 조건으로 박 씨에게 넘겨준 혐의로 CJ그룹 계열사인 CJ GLS 모 영업소 소장 이 모(38) 씨를 구속했다. 경찰에 따르면 텔레마케팅업체 대표 박 씨는 K 홍삼음료의 택배 배송을 이 씨가 독점할 수 있도록 해주는 대가로 2004년 6월 15일부터 12월 말까지 모두 10차례에 걸쳐 이 씨로부터 CJ홈쇼핑 회원 200만명의 이름과 주소, 전화번호를 넘겨받.. 2022. 7. 12.
내부자에 의한 보안사고 사례 - IT 사보타주(Sabotage) (2) Gucci 미국지사의 시스템다운 및 데이터 삭제 사건 ① 사건 개요 『Manhattan District Attorney Cyrus R. Vance, Jr. today announced the sentencing of SAM CHIHLUNG YIN, 35, to 2-to-6 years in state prison for tampering with the corporate computer network of Gucci America, Inc. (“Gucci”), the Manhattan-based American affiliate of the Italian luxury goods retailer. On July 18, 2012, the defendant pleaded guilty to Computer Tam.. 2022. 7. 11.

티스토리툴바