728x90
반응형
SMALL
1) 관리적 관점 (Governance / Policy)
- 목적: 제도·절차·책임을 통해 전사적 보안 수준을 확보하고 지속적으로 개선한다.
- 주요 점검 대상
- 정보보호 관리체계(ISMS 등) 준수 여부
- 보안 정책·지침·가이드 존재 및 최신성
- 조직 내 역할·책임(RACI) 정의 여부
- 규정 기반 교육·훈련 이수 현황
- 위험관리·사고대응 절차(보고 흐름, SIRP)
- 서드파티 관리(계약, 보안요구, 평가)
2) 기술적 관점 (Technical / Operational)
- 목적: 시스템·네트워크·애플리케이션의 취약점과 구성오류를 찾아 기술적 제어로 제거/완화한다.
- 주요 점검 대상
- 서버/OS(패치, 불필요 서비스, 계정관리)
- 네트워크(방화벽 규칙, 침입탐지, 세그먼트화, 라우팅)
- 애플리케이션(OWASP TOP10, 입력검증, 인증·세션)
- 엔드포인트(EDR, AV, 구성관리)
- 데이터베이스(접근제어, 암호화, 쿼리 취약)
- 취약점 스캐닝/펜테스트 결과(정적·동적분석 포함)
3) 물리적 관점 (Physical / Environmental)
- 목적: 물리적 접근·재해·설비 장애로 인한 보안·서비스 중단을 방지한다.
- 주요 점검 대상
- 출입통제(출입카드, 바이오인증, 방문객 관리)
- CCTV·감시 시스템·조명·주차 관리
- 전력·UPS·발전기·냉각(공조) 설비 상태 및 이중화
- 소방(감지기·스프링클러)·화재 대응 계획
- 장비 보관·폐기(자산관리·파기증명)
- 데이터센터 물리적 분리·재해복구(위치·지진·침수 위험)
728x90
반응형
LIST