기존 개발자에서 보안쪽을 맡게 되었습니다.
하나하나씩 배워나가고 싶은데
혼자있는 상황이라 어떤 것을 체크 해야 하는지 감이 잘 안오네요.
보안 규정 및 정책 부터 다 잡아야 할 것 같고
다른 회사들은 어떤 일을 월간, 연간 진행하는지 알고 싶습니다.
간단하게라도 말씀 해주실분 있으신가요
보안업무가 처음입니다.
기존 개발자에서 보안쪽을 맡게 되었습니다.
하나하나씩 배워나가고 싶은데
혼자있는 상황이라 어떤 것을 체크 해야 하는지 감이 잘 안오네요.
보안 규정 및 정책 부터 다 잡아야 할 것 같고
다른 회사들은 어떤 일을 월간, 연간 진행하는지 알고 싶습니다.
간단하게라도 말씀 해주실분 있으신가요
11개의 답변이 있습니다.
보안도 정말 기업마다 정해진 기준이 다 달라서요.
일단 내부적인 기준이나 업무프로세스가 있다면 천천히 검토하시면서 보강, 보완하시면 될 듯 하구요.
없으면 검색하셔서 문서화 하는게 우선일듯합니다.
참고로, 우리사는 월마다 시스템 점검(서버, 네트워크, 데이터등)과 메일현황(스팸포함), 방화벽 점검보고, 외부인 출입보고, 보안 정책 변경사항등에 대해 정기적으로 보고합니다.
보안과 관련된 매뉴얼 같은 것을 읽어 보시는 것은 어떨까 합니다.
개발에서 보안쪽으로 업무 변경이 된거 같은데요.
보안이 종류가 많습니다.
개인정보 보호 같은것도 있을 테고요.
소스코드 보안 같은 것도 있습니다.
세부적으로 맡게된 보안이 어떤 것인지 모르겠지만요.
웹 서핑 해보면 보안과 관련된 매뉴얼을 받으실 수 있습니다.
처음에는 해당 매뉴얼을 하나하나 읽어 보시는 것을 추천 합니다.
그리고, 나중에는 세부적으로 배워 나가시는 게 좋겠습니다.
모든게 그렇지만, 처음부터 너무 크고 광범위한 내용을 확인하려 하지 마세요.
처음에는 현황 파악 부터가 제일 중요하다고 생각합니다.
현재 어떤 장비가 설치되어 있고, 어떤 솔루션이 운영되고 있으며,
어떻게 운영이 되고 있는지...
해당 장비에 접속은 어떻게 하고, 구성변경은 어떻게 가능한지 등등...
이런 것들이 머리속에 어느정도 정리가 되어야지만,
추후 필요한 추가 보완 사항들을 생각하고 구성해 내갈 수 있을 듯 합니다.
솔루션상담실을 통해 전문 업체의 도움을 받아 보시길 바랍니다.
무언가 처음 시작할 때 무엇부터 시작해야 하는지? 어떻게 해야하는지? 도통 감이 안오는 건 어떤 분야건 비슷 할 것 같은데요,
특히, 정보보안, 개인정보보호는 법과 관련된 내용이 많으니까 법제처 등에서 법, 시행령 등 을 우선 참고하시는걸 권장합니다. 네이버 등 포털만 검색해도 자료가 많은데 정부나 관련기관 자료가 아무래도 더 신뢰가 가지 않을까 싶습니다. 그리고 관련 중앙부처나 유관기관 즉, 인터넷진흥원, 개인정보보호워원회 등 홈피들어가면 관련 자료가 많으니 참고해보세요. 교육자료도 있으니 나중에 직원들 교육할 때 이용하면 좋습니다.
마지막으로, 한가지 예를들면 홈페이지 하단에 보면 개인정보처리지침이라는게 있습니다. 반드시 명시해야 하는 지침이고 그렇게 관리하도록 안내하고 있습니다. 그런 내용부터 챙길게 많은데 도움이 됩니다.아직도 규정에 맞지않고 허접하게 관리하는데가 많으니 참고하세요.
간단하게 ISMS-P 정보체계 문서를 보시는걸 추천합니다
알아야 업무도 할 수 있으니
보안 현황 파악부터 하세요.
보안 정책/규정/지침서 유무, 보안솔루션 현황 등 정리해보시고
다음으로 부족한 부분, 개선해야할 부분 파약해서 우선순위에 따라 하나씩 준비하는게 좋을것 같네요.
여력이 되신다면 보안 컨설팅도 도움되구요.
정책 가이드가 있는지 확인 필요 할 것 같습니다.
없다면 동종 업계회사.. 정부 가이드등.. 탑다운 방식으로 일단 큰 개념부터 시작해서
아래로 세부 내용으로 하나씩.. 정리해 나가는 것이..
헌법을 만들고 .. 그 아래 각종 법..그리고.. 시행령등을 만드는 방식으로..
보안업무가 처음이시면 가장 먼저 확인해야 할 사항이 일단 회사 내에 정책, 지침서가 있는지 파악해주세요.
그리고 만약 정책, 지침서가 없으면 그걸 개정을 해야되는데.. 업무가 처음이시면 정책, 지침서를 만들순 없을겁니다. 일단 알고 계시면 되고 추후에 만드셔야 할 것입니다.
정책이나 지침서를 확인하면서 회사가 어느 분류에 속하는지도 확인해야 합니다.
제조업이냐 금융업이냐 등, 그리고 고객사가 어디인지 보고 그 고객사가 요구하는 보안레벨이 어느정도 인지를 파악해야 그다음이 결정됩니다.
보통 어느회사든지 요즘은 개인정보보호에 엄청 신경을 쓰게 됩니다.
금융권쪽이면 금융권 개인정보보호 가이드라인에 따라 정책 및 지침, 인프라, 솔루션등을 구축하여야 합니다.
위의 사항이 다 파악되셨으면, 회사 내에 가지고 있는 보안솔루션 및 장비리스트, 네트워크 구성 확인이 필요합니다.
제가 어느회사든 이직을 하게 되면 가장 먼저 보게 되는게 네트워크 구성도 입니다. 구성도를 보면 보안장비 및 솔루션등이 대충 머리속에 잡히게 되고 그 후에 정책, 지침서가 회사와 맞게 잘 작성이 되어 있는지 검토를 하게 됩니다.
중요한 건 지침, 정책도 중요하지만 일단 회사가 어느분류의 회사고 주요고객사가 어디며, 개인정보보유 유무 및 어떤회사인지 파악이 먼저 필요하고 그뒤에 인프라 및 보안솔루션, 네트워크 파악을 한뒤에 차근차근 경험을 쌓아나가면 되겠습니다.
근데 처음에 가면.. 아무래도 보안관제 또는 보안솔루션 운영 정도를 시킬것 같습니다.
혼자라니 많이 답답하고 힘드실거 같습니다. 혹시 이전에 잡혀있는 규정과 정책 그리고 외부 감사 받았던 자료들이 있다면 그걸 토대로 준비하시는게 좋구요.
저희 회사 같은 경우는 분기/반기/연간 보안감사를 받아서 거기서 사전 자가점검 체크리스트를 배포해서
먼저 거기 있는 항목들 우선으로 보완/도입 합니다.
혼자서 뭔가를 그것도 신입분이시라면 너무 힘들거 같은데, 차라리 외부 보안 컨설팅을 받고 거기서부터
하나씩 보완하는게 좋을거 같습니다.
전산 담당자로 보안을 비롯한 전체적인 전산 관련된 업무를 하고 있는 입장이다 보니...
제대로된 도움될 의견을 주기는 어려울 것 같기도 하네요.
보안 업무를 처음 시작하고, 혼자서 보안 업무를 담당한다면 규정, 정책 부터 체계를 잡는 것이 필요할 것 같네요.
보안 상태가 어떤 상태인지, 현 보안 환경 점검이 우선시 되어야 할 것 같고요.
보안 환경 진단을 한 후에 보완해야 할 점, 도입해야할 보안 솔루션, 보안 장비들도 검토하고 추진 계획도 세울 필요가 있겠고...
보안 장비들, 솔루션들에 대한 정책 설정, 취약점 진단도 필요하겠고요.
정기적으로 해야 할 작업들은 서버, 네트워크 장비, PC, 보안 장비, 보안 솔루션들의 로그 점검, 보안 이슈 사항들은 없는지 꾸준히 모니터링해야 하겠고...
보안 전담일 경우는 일반 전산 담당자 보다 좀 더 구체적인 모니터링, 정보 수집이 필요하지 않을까 싶어 보이네요.