155. 보안 아키텍처 / 보안 프레임워크

보안 아키텍처(Security Architecture)

• 보안 아키텍처란 정보 시스템의 무결성(Integrity), 가용성(Availability), 기밀성(Confidentiality)을 확보하기 위해 보안 요소 및 보안 체계를 식별하고 이들 간의 관계를 정의한 구조를 말한다.
• 보안 아키텍처를 통해 관리적, 물리적, 기술적 보안 개념의 수립, 보안 관리 능력의 향상, 일관된 보안 수준의 유지를 기대할 수 있다.
• 보안 아키텍처는 보안 수준에 변화가 생겨도 기본 보안 아키텍처의 수정 없이 지원할 수 있어야 한다.
• 보안 아키텍처는 보안 요구사항의 변화나 추가를 수용할 수 있어야 한다.
• 보안 아키텍처 모델의 대표적인 표준에는 ITU-TX.805가 있다.

관리적/물리적/기술적 보안

• 관리적 보안: 정보보호 정책, 정보보호 조직, 정보자산 분류, 정보보호 교육 및 훈련, 인적 보안, 업무 연속성 관리 등의 정의
• 물리적 보안: 건물 및 사무실 출입 통제 지침, 전산실 관리 지침 정보 시스템 보호 설치 및 관리 지침, 재해 복구 센터 운영 등의 정의
• 기술적 보안: 사용자 인증, 접근 제어, PC, 서버, 네트워크, 응용 프로그램, 데이터(DB) 등의 보안 지침 정의

보안 프레임워크(Security Framework)

• 프레임워크는 '뼈대', '골조'를 의미하는 용어이며, 보안 프레임워크는 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계를 말한다.
• ISO 27001은 정보보안 관리를 위한 국제 표준으로, 일종의 보안 인증이자 가장 대표적인 보안 프레임워크이다.
• ISO 27001은 영국의 BSI(British Standards Institute)가 제정한 BS 7799를 기반으로 구성되어 있다.
• ISO 27001은 조직에 대한 정보보안 관리 규격이 정의되어 있어 실제 심사/인증용으로 사용된다.