인쇄용 판은 더 이상 지원되지 않으며 렌더링 오류가 있을 수 있습니다. 브라우저 북마크를 업데이트해 주시고 기본 브라우저 인쇄 기능을 대신 사용해 주십시오.
- Information technology — Security techniques — Governance of information security
- 정보보호 거버넌스의 원칙과 프로세스에 관한 국제 표준
프로세스 구성
프로세스 |
목적
|
평가
(Evaluate)
|
- 향후 보안 목표 달성에 영향을 미칠 요소를 사전 평가
- 프로세스와, 프로세스 변경에 대해 전략적 목적 달성 평가
|
지시
(Direct)
|
- 보안 목적 및 전략 달성에 필요한 사항 제시
- 자원 할당, 우선순위, 정책 승인, 위험관리 계획 등
|
모니터링
(Monitoring)
|
- 보안관리 활동에 대한 진단과 점검
- 적절한 성과지표를 수립하여 상시 관제
|
의사소통
(Communicate)
|
- 이해관계자의 필요에 따른 보안에 대해 소통
- Governing Body와 이해관계자의 정보 공유
|
감사
(Assure)
|
- 감사 의뢰/결과에 대한 문서화 및 피드백
- 독립적인 Governing Body 위원회가 수행
|
6대 원칙
원리 |
설명
|
책임
(Responsibility)
|
- 조직원은 주어진 책임과 권한을 이해하고 수용
- 역할과 권한은 반드시 책임을 수반
|
전략
(Strategy)
|
- 정보보호 전략과 비즈니스 전략의 연계 필요
- 전략적 연계는 현재와 미래의 요구와 전략을 고려
|
획득
(Acquisition)
|
- 투명한 의사결정과 절차를 통해 정보보호 자산을 구매
- 자원관리와 위험관리
|
성과
(Performance)
|
- 요구되는 서비스의 수준과 품질을 유지
- 비즈니스 요구에 부합하는 성과 제공
|
준거
(Conformance)
|
|
행동
(Human Behavior)
|
- 정보보호 정책 및 실행을 위해 인간의 행동 방식 이해 필요
|