C사는 전문 마케팅 대행업체다. C사는 10여년간 축적해 온 상세한 소비자 정보를 바탕으로 대기업의 일대일 마케팅을 전문으로 대행해주는 서비스를 제공한다. C사가 보유한 소비자 정보가 경쟁업체인 N사에 유출됐고, N사에서는 이를 가지고 저가의 서비스를 제공해 결국 C사의 사업 수익성은 급락하게 됐다. 또한 A사는 전자제품 전문 업체로 본사에서 신제품의 연구, 개발, 마케팅, 판매를 담당하고, 제품의 생산은 하청업체를 통해 처리한다. 2년간 50여억 원을 투자해 연구, 개발한 가마솥밥솥의 시판 직전에 경쟁업체에서 먼저 관련 특허를 출원하고 제품을 제작, 판매해 막대한 연구 투자비에 대한 손실과 더불어 사업 기회를 잃게 됐다.이같이 기업의 가치있는 정보가 유출되는 것을 막기 위해서는 정보자산을 구별하고, 구별된 자산의 가치를 확인하고 적절하게 보호하는 장치를 만들어야 한다. 기업이 정보 보호에 실패하면 많은 비용을 부담해야 한다. 실패 자체로부터 비용 손실이 발생하며, 사고를 복구하는데 드는 비용과 이후 안전한 시스템을 구축하고 다음의 실패를 막기 위한 추가 비용이 들게 된다. 잘 정의된 정보 보호 보안 정책과 절차는 이같은 피해를 사전에 막을 수 있을 것이다.논리적인 접근 통제로 정보 보호 관리 기업의 정보 보호 정책은 표준과 모범적인 실무 방법, 지침 등을 통해 수행된다. 표준과 바람직한 업무 수행 방법을 적용함에 있어, 논리적 접근 통제는 기업의 정보 자산에 대해 기업이 수용할 수 있는 수준의 위험을 줄일 수 있도록 관리하는 기본적인 수단중 하나이다. 이는 기업의 호스트와 네트워크 기반의 시스템에 존재하는 정보에 대한 접근을 관리하고 통제한다. 시스템 관리자는 논리적인 접근 통제와 시스템에 대한 관리 정책과 절차와의 관계를 이해해야 한다. 또한 정보 보호 목적을 달성할 수 있고 논리적인 접근 통제의 효과를 평가할 수 있어야 한다. 정보 보호가 성공적으로 구현되고 유지되기 위해서는 보안의 프레임워크와 취지가 명확히 설정돼 적합한 당사자들에게 전달돼야 한다. 기업 보안 의식을 고취하는 관건은 문서화된 보안 정책에 있다. 정보 보호 정책의 핵심 요소는 ▲경영진의 지원과 참여 ▲접근 원칙 ▲관련 법률과 규정의 준수 ▲접근 승인 ▲접근 승인에 대한 검토 ▲보안 의식 ▲보안 관리자의 역할 ▲보안 위원회로 구성된다. 우선 기업내 정보 보호 정책에 대한 책임은 지속적인 통제와 더불어 적절한 수준의 관리를 수행할 수 있는 최고 경영층에 있다. 경영진은 보안에 대한 굳건한 참여 의지를 직원들에게 지속적으로 보여주기 위해 공식화된 보안 의식 교육과 훈련을 승인하고 지원함으로써 참여 의지를 보여줄 수 있다. 경영진의 보안 의식 중요그중 가장 중요한 것은 보안 의식으로 경영진을 포함한 모든 직원들은 정기적으로 보안의 중요성에 대해 숙지할 필요가 있다. 다음과 같은 다양한 방식의 보안 의식 제고 방안들이 활용될 수 있다. ·문서화된 보안 정책의 배포·정기적인 원칙에 의거한 신입 사원, 사용자, 지원 부서의 교육·직원이 서명한 기밀 누설 금지 각서·보안 의식 제고를 위한 각종 매체 이용·가시적인 보안 규칙 집행·보안 절차를 개선시키기 위한 모의 보안 사고 시험·의심스러운 사건에 대한 보고를 한 사원에 대한 보상 ·정기적인 감사직원들은 다음과 같은 책임을 갖는다.·보안 정책을 숙지할 것·사용자 ID와 패스워드의 비밀을 유지할 것·보안 위반의 의혹이 있을 경우 보안 관리자에게 보고할 것·출입문을 잠그고, 키를 철저히 관리하며 출입문의 비밀번호를 노출시키지 않고 낯선 사람들을 경계함으로써 완벽한 물리적 보안을 유지할 것·부서내의 법률과 규정 준수·정보의 기밀성을 보장하기 위한 개인 규정 준수직원이 아닌 사람들이 회사 시스템에 접근할 때에도 보안 정책과 책임에 대한 과실을 그들에게 물을 수 있다. 여기에는 계약직 직원, 공급업체의 프로그래머, 분석가, 유지보수 직원과 심지어 고객들도 포함된다. 하지만 보안 의식을 강조하다가 중요한 정보를 공개하는 일이 없어야 한다. 직원들에게 배포되는 보안 정책에는 패스워드의 이름이나 기술적 보안 구성, 전자식 보안 장치나 시스템 소프트웨어 파일을 우회할 수 있는 방법과 같은 중요한 기능들은 언급을 피한다. 논리적 접근에 의한 감시보통 전산 부서의 구성원인 보안 관리자는 경영진이 설정하고 승인한 보안 규칙을 적용, 감시하며 지켜야 하는 책임이 있다. 적절한 직무 분리를 위해 보안 관리자는 데이터를 수정할 수 없어야 하고 현업 사용자, 프로그래머, 시스템 운영자, 데이터 입력 직원이어서는 안된다. 큰 기업에서 보안 관리자는 주로 전적으로 그 일만 하며, 작은 기업에서는 이 기능을 책임이 충돌되지 않는 다른 누군가 수행할 수 있다. 보안 지침과 정책, 절차들은 전체 기업에 영향을 미쳐 현업 사용자, 경영진, 보안 관리자, 전산 요원과 법률 고문 등의 지원과 제안이 있어야 한다. 그러므로 회사 전체에 걸쳐 각 대표자들이 보안 현안을 토론하고 실무를 수립하기 위해 위원회에서 논의된다. 그리고 이런 보안 위원회는 관련 위임 사항을 갖추고 정식으로 설립돼야 하며, 위원회에서 다뤄질 실무 현안에 대한 구체적인 논의가 이뤄진다. 접근 통제에 대한 평가시 정보시스템 관리자가 고려해야 할 사항은 다음과 같다. ·적절한 문서의 검토, 질문, 관찰, 위험 평가 기술 등을 이용해 정보 처리시 일어날 수 있는 보안 위협에 대한 일반적인 이해를 해야 한다. ·하드웨어와 소프트웨어의 보안 특성들을 검토하고 취약하거나 과도한지 식별함으로써 적절성, 효율성, 효과성을 측정하기 위해 시스템에 대한 잠재적 접근 경로 통제를 문서화하고 평가한다. ·적절한 감사 기법 구현 여부와 기능 구현 여부를 평가하기 위해 접근 경로를 시험한다. ·통제 목적이 시험 결과와 기타 감사 증거를 통해 성취되는가를 보기 위해 접근 통제 환경을 평가한다. ·문서화된 보안 정책을 다른 유사한 기업의 경우를 비교해 살펴봄으로써 접근 통제의 보안 환경에 대한 적절성을 평가한다. 정보시스템 운영 파악, 정책 관리의 첫단계 정보시스템의 운영 환경을 파악하는 것은 정책 관리의 첫 단계이다. 정보시스템의 기술적, 관리적, 물리적 환경을 명확하게 파악해야 하는 것이다. 이것은 전형적으로 면담과 실제적인 관찰, 서류의 검토와 위험 평가를 포함한다. 접근 경로는 현업 사용자가 전산 정보에 접근하기 위한 논리적인 통로다. 이것은 전형적으로 단말기로 시작해 접근하고자 하는 데이터에서 끝난다. 경로를 따라 많은 하드웨어와 소프트웨어 요소들을 만난다. 정보시스템 감사는 각 요소들이 적절히 구현됐는가의 여부와 물리적, 논리적 접근 보안이 적절한지를 평가해야 한다. 그 요소들의 일반적인 순서는 단말기→통신 소프트웨어→트랜잭션 소프트웨어→애플리케이션→DBMS(DataBase Management System)→접근통제 소프트웨어로 진행된다. 운영체제와 컴퓨터 메인플레임뿐만 아니라 접근 경로의 여러 가지 요소를 통제하고 유지하기 위해 기술 전문가가 필요하다. 이들은 정보시스템 관리자가 보안 상태를 이해하고자 할 때 가치있는 정보를 제공할 수 있고, 전산 운영자를 만나 조직도와 직무 기술서를 검토한다. 주요 인물은 보안 관리자, 네트워크 통제 관리와 시스템 소프트웨어 관리자다.
