정보보호 거버넌스: Difference between revisions

Latest revision as of 16:29, 5 June 2023

프로세스	목적
평가 (Evaluate)	향후 보안 목표 달성에 영향을 미칠 요소를 사전 평가 프로세스와, 프로세스 변경에 대해 전략적 목적 달성 평가
지시 (Direct)	보안 목적 및 전략 달성에 필요한 사항 제시 자원 할당, 우선순위, 정책 승인, 위험관리 계획 등
모니터링 (Monitoring)	보안관리 활동에 대한 진단과 점검 적절한 성과지표를 수립하여 상시 관제
의사소통 (Communicate)	이해관계자의 필요에 따른 보안에 대해 소통 Governing Body와 이해관계자의 정보 공유
감사 (Assure)	감사 의뢰/결과에 대한 문서화 및 피드백 독립적인 Governing Body 위원회가 수행

원리	설명
책임 (Responsibility)	조직원은 주어진 책임과 권한을 이해하고 수용 역할과 권한은 반드시 책임을 수반
전략 (Strategy)	정보보호 전략과 비즈니스 전략의 연계 필요 전략적 연계는 현재와 미래의 요구와 전략을 고려
획득 (Acquisition)	투명한 의사결정과 절차를 통해 정보보호 자산을 구매 자원관리와 위험관리
성과 (Performance)	요구되는 서비스의 수준과 품질을 유지 비즈니스 요구에 부합하는 성과 제공
준거 (Conformance)	정보보호 법률 및 규제 준수
행동 (Human Behavior)	정보보호 정책 및 실행을 위해 인간의 행동 방식 이해 필요

@@ Line 1: / Line 1: @@
-[[분류:보안]][[분류:IT경영]]
+[[분류:보안]][[분류:경영학]]
 == 관련 표준 ==
-* [[ISO/IEC 27014]]
+* [[ISO/IEC 27014]] : 정보보호 관련 의사결정 권한과 책임의 할당, 비지니스와 전략적연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행체계 국제표준
-== [[EDM]] 구조도 ==
+== 프로세스 구성 ==
 [[파일:정보보호 거버넌스.png]]
+{| class="wikitable"
+|-
+! 프로세스 !! 목적
+|-
+| 평가
+(Evaluate)
+||
+* 향후 보안 목표 달성에 영향을 미칠 요소를 사전 평가
+* 프로세스와, 프로세스 변경에 대해 전략적 목적 달성 평가
+|-
+| 지시
+(Direct)
+||
+* 보안 목적 및 전략 달성에 필요한 사항 제시
+* 자원 할당, 우선순위, 정책 승인, 위험관리 계획 등
+|-
+| 모니터링
+(Monitoring)
+||
+* 보안관리 활동에 대한 진단과 점검
+* 적절한 성과지표를 수립하여 상시 관제
+|-
+| 의사소통
+(Communicate)
+||
+* 이해관계자의 필요에 따른 보안에 대해 소통
+* Governing Body와 이해관계자의 정보 공유
+|-
+| 감사
+(Assure)
+||
+* 감사 의뢰/결과에 대한 문서화 및 피드백
+* 독립적인 Governing Body 위원회가 수행
+|}
 == 6대 원리 ==