[정보보안] 정보보호대책의 분류 기준

위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 정보보호 대책을 선정하고, 정보보호 대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 정보보호 대책은 평가된 위험을 허용 가능한 수준(DoA)으로 줄여 조직의 자산을 위험으로부터 보호하기 위한 안전대책, 통제 혹은 위협을 감소시키기 위한 정보보호 조치를 의미하며, 다양한 관점에서 유형을 구분할 수 있다.

정보보호 대책 유형에 따른 분류

1. 기술적 보호대책: 시스템, 네트워크, 애플리케이션, 정보(데이터) 등을 보호하기 위한 보안 솔류션 도입 및 운영 등이 해당된다
   • 정보보호 솔류션(하드웨어, 소프트웨어) 도입, 접근통제, 암호기술, 백업 체계, 보안성이 강화된 시스템 등
2. 관리적 보호대책: 정보보호를 계획하고, 설계하고, 관리하기 위한 정보보호정책, 표준, 지침, 절차 및 정보보호 조직의 구성 등이 해당된다
   • 표준: 모든 사용자가 준수하도록 요구되는 강제성을 가지는 사항들을 설명한 문서
   • 지침: 강제성보다는 권고적이고 융통성 있게 적용할 수 있는 사항들을 설명한 문서
   • 절차: 수행해야 할 업무들을 순서에 따라 단계적으로 설명한 문서
3. 물리적 보호대책: 물리적 시설물에 대한 출입 통제, 작업 통제, 전원 대책, 장비 보안 등이 해당된다

정보보호 대책 적용 시점에 따른 분류

1. 예방 통제: 발생할 수 있는 위험(위협 및 취약점)을 사전에 식별하여 대처하는 능동적 개념의 통제
   1. 물리적 접근통제: 비인가자가 물리적 시설이나 설비에 접근할 수 없도록 하는 통제
   2. 논리적 접근통제: 비인가자가 정보통신망을 통해 자산에 접근할 수 없도록 하는 통제
2. 탐지 통제: 예방통제를 우회하여 발생하는 각종 위험을 탐지/식별하는 통제(보안 감사, 감사 로그, IDS)
3. 교정 통제: 탐지된 위험에 대응하는 것으로 위협과 취약점을 감소시키는 통제(백신)
4. 복구 통제: 자원과 능력을 복구하기 위해 사용하는 통제(백업, 복구)