기업에서 정보화를 위한 단계는 패턴이 있다 : 비전, 미션, 목표, 계획
기업의 정보 보호의 구현도 같은 패턴을 따른다. 아래 내용들은 (ISC)2에서 말하는 정호 보호 전략 요약이다.
1. 비전과 그 비전을 이루기 위해서 필요한 미션
2. 미션을 달성하기 위한 비즈니스 목표(objectives/goals)
3. 그런 다음 목표를 구현하기 위한 계획
계획에는 다시 3 레벨로 나뉜다. 하위 레벨은 상위 레벨의 계획(how)이면서 동시에 하위 레벨의 목표(goal)이 된다.
■전략적 계획
. 앞에서 정의된 비즈니스의 목표와 기술적 목표에 일치된 계획
. 무엇을 할 것인지(What), 즉 전략적인 목표 목록을 결정한다.
예)
☞보안 정책과 절차를 수립한다.
☞다운타임을 줄이기 위해서 서버, 워크스테이션, 네트워크 디바이스 등을 효과적으로 배포한다
☞Ensuring that all users understand the security responsibilities and reward excellent performance
☞Establishing a security organization to manage security enterprise-wide
☞Ensuring effective risk management so that risks are effectively understood and controlled
■전술적 계획
전략적 목표(what)을 어떻게 구현할지(how)에 대한 계획
Tactical plans provide the broad initiatives to support and achieve the goals specified in the strategic plan.
These initiatives may include
☞ deployments such as establishing an electronic policy development and distribution process,
☞ implementing robust change control for the server environment,
☞ reducing vulnerabilities residing on the servers using vulnerability management,
☞ implementing a “hot site” disaster recovery program,
☞ or implementing an identity management solution.
These plans are more specific and may consist of multiple projects to complete the effort. Tactical plans are shorter in length, such as 6–18 months to achieve a specific security goal of the company.
■operational and project 계획
실제로 마일스톤, 날짜, 책임 등을 갖는 계획
각 프로젝트별 많은 태스크가 결정된다.
예)
정책 개발과 커뮤니케이션 프로세스를 수립하기 위해서는 많은 프로젝트들이 필요하고 각 프로젝트들은 많은 태스크들이 포함된다.
1) Conduct security risk assessment
2) Develop security policies and approval processes
3) Develop technical infrastructure to deploy policies and track compliance
4) Train end-users on policies Monitor compliance
※ "전략과 정책"의 차이
궁금해서 잠시 들어 구글링해본다.
Difference Between Strategy and Policy
정책이 더 높은 수준으로 전략 계획을 세울때 기준이 되는 원칙을 제공한다는 거란다.
| Basis for Comparison | Strategy | Policy |
|---|---|---|
| Meaning | Strategy is a comprehensive plan, made to accomplish the organizational goals. | Policy is the guiding principle, that helps the organization to take logical decisions. |
| What is it? | Action plan | Action principle |
| Nature | Flexible | Fixed, but they allow exceptional situations |
| Orientation | Action | Decision |
| Formulation | Top Level Management and Middle Level Management | Top Level Management |
| Approach | Extroverted | Introverted |
'IT 살이 > 03. 관리 - 보안 관리' 카테고리의 다른 글
| 01. 아키텍처, 프레임워크, 프로그램, 보안 프로그램 (0) | 2016.09.23 |
|---|---|
| 04. Windows 접근제어 요약 (0) | 2016.08.28 |
| 시스템 보안 아키텍처, 그게 뭐고 왜 필요하나요? (0) | 2016.07.15 |
