현재 위치 - 회사기업대전 - 기업 정보 공시 - 정보시스템 보안 관리

정보시스템 보안 관리

1. 내용 개요

정보화 구축에 있어 정보시스템 보안 관리는 여러 나라의 지질 조사 기관에서 큰 관심을 끌고 있는 새로운 주제입니다. 정보시스템 보안관리는 단순한 관리시스템이나 기술적인 문제가 아닌 전략, 관리, 기술의 유기적인 결합입니다. 보안관리체계 관점에서 정보보안을 종합적으로 구축하고 표준화하는 것은 정보시스템의 보안을 효과적으로 보장할 수 있다. 네트워크와 정보기술을 활용하여 사용자에게 포괄적이고 객관적인 지질정보 서비스를 적시에 효과적으로 제공하기 위해서는 네트워크 서비스를 포함한 자동정보시스템의 보안관리에 주의를 기울여야 합니다. 자동정보시스템 보안관리란 자동정보시스템 자원을 분실, 훼손, 남용으로부터 보호하기 위해 수행되는 관리통제 및 보안업무를 말한다. 미국 지질 조사국(US Geological Survey)은 자동 정보 시스템 보안 관리 분야에서 많은 경험을 축적했으며, 이는 우리나라의 관련 부서가 목표 보안 관리 방법을 수립하는 데 중요한 참고 자료와 지침을 제공합니다.

2. 적용 범위 및 적용 예

미국 지질 조사국(United States Geological Survey)은 전략 계획이나 작업 계획에 지질 정보 제공을 포함하고 다음을 수행하기 위해 네트워크 및 정보 기술의 사용을 강조합니다. 사용자에게 적시에 효과적으로 제공 종합적이고 객관적인 지질정보 서비스를 제공하는 동시에 네트워크 서비스를 포함한 자동 정보 시스템의 보안 관리를 매우 중요하게 생각합니다. 자동 정보 시스템 보안 관리는 자동 정보 시스템 자원을 손실, 손상 또는 남용으로부터 보호하기 위해 수행되는 관리, 통제 및 보안 작업을 의미합니다(Zhang Cuiguang et al., 2009).

1. 미국 지질조사국 자동 정보 시스템 보안 관리 정책

모든 미국 지질조사국 정보 기술 시설을 손실, 손상, 도난 및 남용으로부터 보호합니다. 시설 국의 자동화된 정보 시스템에 의해 처리된 데이터는 무단 정보 유출, 수정 또는 파괴로부터 보호되어야 하며, 자동화된 정보 시스템에 의해 생성, 처리, 저장 또는 전송되는 정보의 보호 수준은 위반에 대한 민감도 수준과 일치해야 합니다. 연방정부의 자동 정보 시스템에 대한 안전 규정을 부과하는 부서 또는 국은 해당 행정적 및 법적 제재를 받게 됩니다.

2. 미국 지질조사국 자동화 정보 시스템 민감도 분류

민감한 자동화 정보 시스템은 민감한 데이터를 처리하는 컴퓨터 애플리케이션을 실행하는 자동화된 정보 시스템(시설, 하드웨어, 운영)을 의미합니다. , 통신 시스템 등), 여기서 민감정보란 고의 또는 우발적인 데이터 유출, 변조, 파괴 및 대량으로 인해 손실이나 피해가 발생할 위험이 있어 보호가 필요한 데이터를 의미합니다. 각 정보 시스템에 대해 상응하는 보호 조치를 취하기 위해 미국 지질 조사국은 해당 정보 시스템에 해당 민감도 수준을 할당하고 미국 지질 조사국 정보 시스템 관리에 1차 및 2차 수준의 민감한 정보 시스템을 등록하도록 요구합니다. 정보 시스템에는 서류 제출이 필요하지 않습니다. 레벨 0 민감한 정보는 공개 정보와 동일합니다. 레벨 1 및 레벨 2 정보 시스템의 정보는 미국 주에서 규정한 기밀 정보에 속하지 않으며 레벨 3 민감한 정보의 업무 임무, 비즈니스 목적 및 가치 정보를 기반으로 설정됩니다. 시스템 그것은 실제 기밀 정보입니다.

레벨 0(민감하지 않음) 자동화 정보 시스템: 자동화 정보 시스템에 대한 정보의 부정확성, 변경, 공개 또는 이용 불가능성은 USGS의 사명, 기능, 이미지 또는 명예에 미미한 영향을 미칩니다. . 영향이 있는 경우 영향은 미미하거나 물리적 자산이나 자원의 손실이 아주 적습니다.

레벨 1 민감한 자동화 정보 시스템: 자동화 정보 시스템에 대한 정보의 부정확성, 변경, 공개 또는 이용 불가능성은 USGS의 임무, 기능, 이미지 또는 명예에 최소한의 영향을 미칩니다. 시스템 보안 문제는 물리적 자산이나 자원의 손실에 잠재적으로 부정적인 영향을 미칠 수 있습니다.

레벨 2 민감한 자동화 정보 시스템: 자동화 정보 시스템에 대한 정보의 부정확성, 변경, 공개 또는 이용 불가능성은 USGS의 임무, 기능, 이미지 또는 명예에 심각한 악영향을 미칠 수 있습니다. 시스템 보안 문제로 인해 USGS가 계획된 임무 또는 비즈니스 기능 중 하나 이상을 완료하지 못하거나 물리적 자산 및 자원의 상당한 손실을 초래할 수 있습니다. 시스템 수명주기 비용은 일반적으로 천만 달러를 초과합니다.

레벨 3 민감 자동화 정보 시스템: 자동화 정보 시스템은 기밀 정보를 처리합니다.

자동 정보 처리 요구 사항은 일반적으로 USGS 기밀 정보를 제공하는 연방 기관에 의해 설정됩니다. 시스템 인증 및 인증은 기밀 정보 제공자가 설정한 요구 사항에 따라 문서화되어야 합니다. 민감도에 따라 비밀, 기밀, 일급 비밀의 세 가지 수준으로 구분됩니다.

자동 정보시스템 보안 계획의 구성

잠재적인 위협과 약점을 파악하고, 위협과 약점을 줄이기 위한 종합적인 보안 보호 시스템을 구축하여 자동 정보시스템 보안 계획이 이를 위해 USGS는 자동화된 정보 시스템 보안 계획을 수립했습니다.

A. 보안 계획

미국 지질조사국(United States Geological Survey)은 종합적인 보안 계획이 자동화된 정보 시스템의 보안 관리에 있어 중요한 부분이라고 믿습니다. 미국 지질조사국(U.S. Geological Survey)은 미국 지질조사국(U.S. Geological Survey)의 모든 자동 정보 시스템 활동을 지원하며 안전 계획이 안전 관리 구현 프로세스의 필수적인 부분이라고 믿습니다. ① 안전 계획은 모든 자동 정보 자원에 자금 지원이 보장되도록 연간 예산의 일부입니다. 자동 정보 시스템 리소스가 적절하게 보호되도록 합니다. ② 민감한 정보를 처리하는 모든 자동화 정보 시스템(시설 및 애플리케이션)에는 공식적인 보안 계획이 있어야 합니다. 원래 시스템으로의 업그레이드를 위한 초기 계획과 연간 계획은 시스템 보안 구현 및/또는 주요 변경 사항을 반영하기 위해 새로운 민감한 자동화 정보 시스템의 개발 단계에서 준비되어야 합니다. 계획에 제시된 내용은 시스템의 규모와 복잡성을 반영해야 하며, 지정된 시스템의 기본 내용과 형식은 국가관리예산처에서 제공하는 최신 지침을 준수해야 합니다.

B. 위험 관리

자동화된 정보 시스템을 소유하거나 관리하는 모든 USGS 기관은 모든 정보 자원을 보호하기 위해 적절한 보호 장치를 마련하는 데 도움이 되는 위험 관리 계획을 구현하고 유지해야 합니다. 관리자가 정보 자원에 대한 잠재적인 위협과 취약성을 인식해야 함을 규정합니다. 잠재적인 위협, 취약성 및 잠재적인 보안 보호 옵션이 알려지면 경영진은 다양한 보안 보호 옵션에 필요한 조치와 자금/혜택을 결정해야 합니다. 위험 관리에는 일반적으로 위험 분석, 보안 조치 구현 및 위험 분석 빈도의 세 가지 측면이 포함됩니다.

첫 번째, 위험 분석입니다. 위험 분석은 시설이나 민감한 응용 분야에 대한 정기 검사 또는 비상 계획 프로세스의 필수적인 부분입니다. USGS는 기존 컴퓨팅 시설이나 민감한 응용 프로그램에 큰 변경이 있을 때 또는 민감한 자동화 정보 시스템의 설계를 승인하기 전에 위험 분석을 요구합니다. 위험 분석의 범위, 복잡성 및 빈도는 자동화된 정보 시스템에서 처리되는 데이터의 민감도와 보호되는 자원의 가치에 비례합니다. 위험 분석 프로세스의 단계는 다음과 같습니다. ① 데이터 결정을 포함하여 자동화된 정보 시스템(하드웨어, 소프트웨어, 데이터, 장비, 인력)의 자산(기존 또는 계획) 및 시스템 자원과 관련된 비용(가치)을 추정합니다. 민감성 ② 정상적인 운영 중단, 시스템 자산의 손상 또는 손실, 기타 자연재해나 위험, 인적 요인 등 자동화된 정보 시스템에 대한 잠재적인 위협을 식별하고 평가합니다. 그리고 각 잠재적 위협의 가능성에 따라 위협 수준을 분류합니다. ③ 민감한 애플리케이션, 자동화된 정보 시스템 또는 정보 기술 장비에서 보안 위협으로 이어질 수 있는 약점이나 단점을 식별하거나 식별하는 것을 포함하여 취약점을 식별합니다. ④ 식별 후 잠재적 손실을 평가합니다. 위협 및 취약성은 복구 손실 및 손상된 데이터를 포함한 잠재적 손실을 수량화해야 합니다. ⑤ 직면한 위협 및 취약성을 기반으로 가능한 보안 보호 조치 및 관련 비용을 결정해야 합니다. 결정된 보안 보호 비용은 보안 보호 조치 이행 실패로 인해 예상되는 손실 비용과 비교되어야 합니다. 비용이 예상되는 보호 혜택을 초과하는 경우 보안 조치를 구현해서는 안 됩니다.

둘째는 안전대책 이행이다. 위험 분석이 완료된 후 경영진은 원가 회계 보호 조치를 구현할지 아니면 위험을 수용할지 결정해야 합니다. 위험 분석에서 이 위험의 수용이 관련 연방, 부서 또는 USGS 규정과 일치하지 않는 것으로 나타나면 다음 규정을 최소한으로 준수하기 위해 필요한 보호 조치를 취해야 합니다. 투자자는 시설 및 데이터 보호를 극대화하기 위해 구체적인 보안 조치를 선택해야 합니다. ② 규제 위반 외에도 경영진은 위협이나 취약성 식별과 관련된 위험을 감수하도록 선택할 수 있습니다.

그렇다면 자동화된 정보 시스템의 소유자는 올바른 권장 조치를 수행하지 않음과 관련된 위험을 이해하고 있음을 인정하는 진술서에 서명해야 합니다.

세 번째는 위험 분석 빈도입니다. 미국 지질 조사국(U.S. Geological Survey)은 위험 분석 빈도를 규정했습니다. 모든 미국 지질 조사국 컴퓨터 시설에 대해 최소 5년에 한 번, 민감한 응용 프로그램 및 민감한 컴퓨터 시설에 대해 적어도 3년에 한 번, 상당한 변경이 있는 경우 위험 분석을 수행해야 합니다. 새로운 시스템이나 시설 개발을 계획할 때 위험 분석을 수행해야 합니다.

C. 정보 자원 보호

USGS 정보 자원을 위험 분석에서 확인된 위험과 취약성으로부터 합리적으로 보호하기 위해 자동화된 정보 시스템 소유자는 구체적인 보호 조치를 취해야 합니다. . 정보 자원을 보호하기 위해 일반적으로 다음 유형의 보안 보호 조치가 고려됩니다. ① 물리적 보안: 도난, 우발적 또는 의도적 파괴, 무단 또는 불법 접근, 무단 정보 유출 등 자동화된 정보 시스템에 대한 위협을 줄이기 위해 적절한 운영 및 절차를 채택합니다. ② 기술적 보안: 적절한 보호 조치(예: 비밀번호, 개인 식별 장치, 바이러스 백신 소프트웨어, 접근 제어 목록, 사용자 활동 모니터링 소프트웨어, 암호화 또는 다이얼백 모뎀)를 사용하여 무단 접근이나 불법 자동화 정보 시스템 소프트웨어를 방지합니다. 데이터의 사용 ③보안 관리: 모든 자동화된 정보 시스템이 적절하게 보호되도록 세부 지침 절차를 개발하거나 배포합니다.

3. 비상 계획

서비스 중단과 같은 장애를 최소화하려면 각 컴퓨터 장비 및 민감한 애플리케이션에 대한 비상 계획을 개발해야 합니다. 각 비상 계획을 주기적으로 평가하여 시스템이나 인력 상태의 변화를 반영하기 위해 수정해야 하는지 여부를 결정합니다.

비상 계획의 복잡성과 범위는 자동화된 정보 시스템에서 처리되는 데이터의 민감도 수준에 비례해야 합니다. 비상 계획에는 최소한 다음 항목이 포함됩니다. ① 데이터 및 소프트웨어의 백업 저장 및 복구 절차, ② 비상 사태에 따른 처리 절차, 선택적 처리 기능에 대한 설명, 필요한 경우 작업을 다른 선택적 작업으로 이전하는 절차 등이 포함됩니다. 운영 복원 프로세스 ③ 컴퓨터 시설 비상 계획은 민감한 애플리케이션 비상 계획과 일치해야 합니다. ④ 비상 계획을 정기적으로 검토합니다.

4. 민감한 애플리케이션 보안

관리 및 예산 통지 130조에 따르면 민감한 데이터를 처리하는 미국 지질 조사국 컴퓨터 애플리케이션의 개발 및 유지 관리를 담당하는 관리자는 관리 통제를 확립하고 구현해야 합니다. 모든 새로운 애플리케이션과 기존 애플리케이션의 주요 변경 사항에 대해 적절한 물리적, 기술적, 관리적 보안 보호 조치를 취합니다. 민감한 애플리케이션 관리 통제에는 최소한 다음이 포함됩니다. ① 보안 기술 조건: 사전 위험 분석 결과를 기반으로 애플리케이션을 획득하거나 공식적으로 개발하기 전에 보안 요구 사항 및 보안 기술 조건을 지정하거나 승인해야 합니다. 애플리케이션에 대한 보안 절차를 지정하고 승인할 때 민감한 애플리케이션을 처리하는 컴퓨터 시설의 위험 분석 및 관리 제어 검사 결과를 고려해야 합니다. ② 설계 검토 및 시스템 테스트. 보안 보호가 승인된 보안 기술 조건을 충족하는지 확인하기 위해 민감한 애플리케이션을 실행하기 전에 설계 검토 및 시스템 테스트를 수행해야 합니다. ③ 인증: 응용 프로그램을 실행하기 전에 새롭거나 상당히 개선된 민감한 응용 프로그램의 소유자 또는 관리자는 USGS 자동화 정보 시스템 보안 관리자에게 현재의 모든 자동화 정보 시스템 정책, 규정, 표준 및 규정을 준수한다는 서면 인증을 제공해야 합니다. 시스템 테스트 결과는 설치된 안전 보호 조치가 충분하다는 것을 확인합니다. 인증 프로세스에는 애플리케이션 관리 및 보안 제어에 대한 평가가 포함됩니다. ④ 정기 재인증: 모든 민감한 애플리케이션은 3년마다 인증을 받아야 합니다.

5. 컴퓨터 보안 지식 교육 활동

USGS는 USGS의 감독 하에 있는 모든 민감한 연방 정보 시스템의 관리, 사용 또는 운영에 관련된 모든 직원에게 다음을 제공합니다. 정기적인 필수 컴퓨터 보안 교육과 공인된 컴퓨터 보안 훈련을 받아야 합니다. 민감한 자동화 정보 시스템을 사용, 관리 및 운영하는 모든 신입 직원은 채용 후 60일 이내에 컴퓨터 보안 교육을 받아야 합니다.

이 교육은 USGS의 자동화된 정보 자원을 보호하고 해당 자원의 적절한 사용에 대한 책임을 강조하면서 컴퓨터 시스템 위협 및 취약성에 대한 직원의 이해를 높이기 위해 고안되었습니다. 컴퓨터 보안 교육은 문서화되어 각 직원의 공식 개인 파일에 보관되어야 합니다. 컴퓨터 보안 지식 교육에는 다음이 포함됩니다. ①기본 지식 교육: 직원을 위협과 취약성에 민감하게 반응시키고, 데이터 및 정보 보호의 필요성과 처리 방법을 이해합니다. ②고급 교육: 민감한 자동화 정보 시스템의 소유자/관리자, 관리자, 정보 기술 담당자 및 컴퓨터 보안 관리자는 위험 분석을 수행하고, 자동화된 정보 시스템 보호 계획을 개발하고, 보안 조치를 구현하거나, 기존 보안 시스템의 효율성을 평가할 수 있는 기능을 제공합니다.

6. 보안 사고 신고

자동화 정보 시스템 기술, 데이터 및 서비스 시설 네트워크에 피해를 입히거나 민감한 자동화 정보 시스템 사기 또는 무단 유출로 이어지는 안전 사고를 모두 신고하세요. 직원 및 계약 직원은 관련 사고를 상사에게 보고할 책임이 있습니다. ① 자동 정보 시스템 장비의 도난 또는 악의적인 파괴, 사기, 국가 보안 방해 또는 기타 자동 정보 자원의 남용을 포함한 사고는 즉시 미국 지질 조사국에 보고해야 합니다. 환경 및 위치에 따라 국 보안 담당자 및/또는 기타 현지 법 집행 담당자에게 보고합니다. ② USGS 자동화된 정보 리소스에 대한 불법적인 접근 및 활용 시도, 악성 비밀번호 사고 또는 민감한 정보의 불법 유출을 포함한 사고는 즉시 보고되어야 합니다. 자동화된 정보 시스템 보안 관리자와 미국 지질 조사국 자동화 정보 시스템 보안 관리 책임자의 보고서에 공개됩니다.

7. 직원 보안

미국 지질 조사국에서는 각 부서가 민감한 컴퓨터 시스템의 설계, 개발, 운영 또는 유지 관리에 관련된 모든 직원을 보호하기 위한 정책이나 절차를 수립하도록 요구합니다. 민감한 데이터에 접근할 수 있는 사람. 차단 수준은 데이터의 민감도 수준과 개인으로 인해 발생하는 위험, 손실 또는 피해 수준에 따라 결정됩니다. 미국 지질조사국 컴퓨터 시스템의 관리, 설계, 개발, 운영, 유지 관리 또는 사용을 담당하는 모든 사람에게는 데이터의 민감도 수준, 위험 규모, 그리고 개인에게 발생한 손실이나 손해의 규모. 모든 USGS 컴퓨터 시스템 사용자는 적절한 배경 조사를 받아야 하며, 필요한 조사는 배정된 직위의 민감도 수준과 일치해야 합니다.

8. 연간 보고 시스템

미국 지질 조사국(United States Geological Survey)은 자동화된 정보 보안 관리 규정에 대한 연간 보고 시스템을 제공합니다. 각 지점의 자동화된 정보 시스템 보안 책임자는 매년 미국 지질 조사국의 자동화된 정보 시스템 보안 관리 행정 책임자에게 현재 장비 및 민감한 애플리케이션 보안 인력 목록을 보고해야 합니다. 각 시설 또는 민감한 애플리케이션에 대해 최소한 다음 정보를 제공해야 합니다. 보안 직원 및 후보자의 이름 및 전화번호, 시설 이름 및 주소, 민감한 애플리케이션, 각 직원에게 필요한 보안 교육 수준. 이러한 업데이트된 목록은 매년 9월 USGS 자동 정보 시스템 보안 관리 책임자에게 제출됩니다.

직원은 경제 연도 기준으로 USGS 보안 지식 교육 상태를 USGS 자동화 정보 시스템 보안 관리자에게 제공해야 합니다. 보고서에는 회계연도 동안 기본 및/또는 종합적인 컴퓨터 보안 교육을 받은 직원 및 계약 직원(비관리직) 수와 회계연도 동안 컴퓨터 보안 교육을 받은 관리 직원 수에 대한 정보가 포함됩니다. 또한, 각 기관의 자동화된 정보 보안 담당자는 USGS 자동화된 정보 시스템 보안 관리자에게 다음 회계 연도 동안 위 범주에 대한 교육을 받는 데 필요한 직원 및 계약 인력 수를 제공해야 합니다. 이 보고서는 매년 9월 1일 미국 지질조사국(U.S. Geological Survey)의 자동화 정보 시스템 보안국(Automated Information Systems Security Administration)에 제출됩니다.

민감한 자동화 정보 시스템의 소유자는 민감한 정보 시스템 보안 계획을 유지할 책임이 있습니다. 민감한 자동화 정보 시스템 소유자는 매년 미국 지질조사국(U.S. Geological Survey)의 자동화 정보 시스템 보안 관리 부서에 해당 지점 기관의 자동화 정보 시스템 보안 관리자가 제공한 업데이트된 자료 및 정보 시스템 업데이트를 보고해야 합니다. 업데이트 계획에는 자동화된 정보 시스템 하드웨어, 소프트웨어 또는 기능, 보안 구현 상태, 시스템 인증 또는 재인증 계획, 비상 계획에 대한 검사 계획의 주요 변경 사항이 반영되어야 합니다.

3. 데이터 출처

Zhang Cuiguang, Xiao Ping, 2009. 미국 지질 조사국(U.S. Geological Survey) 자동 정보 시스템 보안 관리 및 국가 지질 데이터 센터 구축에 대한 영향, 29 (3):212~215

上篇: 린청블루스카이생태관광단지유한회사는 어떻습니까? 下篇: 북경에 정착하려면 배우자 정보를 작성해야 합니까?
관련 기사
  • Xi' an 은 미래의 전자 상거래를위한 서부 창고 센터가 될 것입니까?
  • 난징 홍양서상 부동산 개발유한공사는 어떠세요?
  • 뉴스 모닝 뉴스: 절강 대학은 초전도 양자 칩을 발표했다. 미단 드론이 처음으로 선전단지에 착륙했다.
  • 허베이 zhongnong yuanbo 농업 장비 유한 회사 기본 소개
  • 내강 인재망
  • 홍하공상등록: 20 18 등록 회사 경영 범위에 주의사항을 기입하다.
  • 이상 건안 c 증후군
  • 쌍황련 월병의 유통기한은 얼마나 됩니까?
  • 전구체 소프트웨어는 무엇을 의미합니까?
  • 비공유제 기업의 당 건설 강화 및 개선에 대해 어떤 의견과 제안이 있습니까?
    • copyright 2024회사기업대전