회사에서 보안 심의회 혹시 운영 하시나요?
하고 계신다면 구성은 어떻게 되고 어떻게 운영하고 계시나요?
이와 관련하여 관련 증적 자료는 어떻게 남기고 계시나요?
관련하여 자세한 내용 부탁드립니다.
회사에서 보안 심의회 혹시 운영 하시나요?
회사에서 보안 심의회 혹시 운영 하시나요?
하고 계신다면 구성은 어떻게 되고 어떻게 운영하고 계시나요?
이와 관련하여 관련 증적 자료는 어떻게 남기고 계시나요?
관련하여 자세한 내용 부탁드립니다.
7개의 답변이 있습니다.
보안 심의회를 운영함으로써, 조직의 보안 수준을 높일 수 있지만
심의회 구성원들의 전문성과 경험 그리고 보안 관련 자격증, 경험을 축적한 전문가들로
구성하고 보안 정책에 대한 이해도가 높은 인재가 참여해야 시행에 있어 수준을 높일수 있습니다.
보안심의회 또는 보안위원회 회사마다 다르게 명명할텐데요.
구성은 보통 보안담당자와 보안과 관련된 부서나 직무를 수행하는 직원들이 구성원이 될 수 있습니다.
시스템운영, 네트워크담당, 인사부서 등 기술적, 물리적 보안과 관련된 사람이 멤버가 되구요.
외부 자문이 필요하면 외부 자문도 포함하는 경우도 있습니다.
보안심의회의 역할에 회사의 중요한 의결이 이루이지면 경영진도 포함될 수 있구요.
증적자료는 보안 위협성을 파악하고 대응을 검토하기 위한 목적이니
■로그파일 : 서버,네트워크,보안솔루션(방화벽 등)
■보안 취약점 점검 및 보고서
■보안 정책 및 가이드 문서
■보안 교육 자료 및 결과
■외부 보고서 및 보안 리포트
■심의회 회의록 등
있습니다.
저희 회사는 보안정책회의록 이라는 이름으로 년 1~2회 하고 있습니다.
내용은 회의명, 일시, 장소, 활동사항, 활동내용, 참석자 등의 내용으로 작성하고 있고, 참석자 기준은 내부 정보보호조직에 따라서 지정하시면 됩니다.
보통 안건은 담당자 또는 실무자가 보직자한테 전달하며, 참석자들은 안건에 대해서 회의 내용 등을 작성하시면 됩니다.
보안 심의회는 따로 운영하지 않습니다 보안팀에서 해당 내용을 가지고 보안 내규에 나와져 있는대로 진행을 합니다.
보안사고 발생 시 대응 절차에 대해서는 문서상으로 만들었으나.
실제 진행한적은 없었습니다. (보안사고는 발생안하는게 다행)
증적자료의 경우 보유중인 보안 솔루션 등의 로그를 기반아로 할 것 같습니다.
- 보안사고 유형 / 보안사고 등급 정의
- 발생/조치완료 일시(분단위 까지 기록)
- 사고대상 범위
- 원인/대책 등
저희도 운영을 하고 있지는 않지만,
증적 자료는 제일 중요한게 회의록 (시간, 장소, 참석자, 심의회 내용 요약) 작성이겠네요.
그리고, 참석자 사인을 받아 놓으시면 좋구요....
그 외의 회의에서 논의 했던 자료들 있으면 보관 해 놓으시는게 나중을 위해서 좋을거 같아요.
보안 심의회... 생각만해도 머리가 아플려고 하네요~ ^^;;
목적에 따라서 구성하는게 맞지 않을까 싶네요.
각 부서별 보안 담당자를 뽑아서 구성하는게 좋지 않을까 싶어 보이고...
증적 자료는 기본적으로 다양한 로그들이 되지 않을까 싶어 보이고...
오프라인 상의 자료들은 종이 서류나 사진, 영상 등의 자료들이 될 수 있지 않을까 싶고...
보안 심의회를 운영하지 않다 보니... 구체적으로 도움이 될 수 있지는 못할 것 같긴하지만...
간단한 의견 정도만 남겨 봅니다.