Information security란?
ISO/IEC 13335
보안사고를 방지하고 그 영향을 최소화시켜 비즈니스 지속성(business continuity)을 보장하고 비즈니스의 피해를 최소화 시키는 것
조직의 정보 및 정보 시스템을 무단(unauthorizeda) 액세스(access), 사용, 공개(disclosure), 침입(intrusionn), 수정(modification) 또는 파괴(destruction)부터 보호하기 위해 설계된 모든 process 및 policies
정보보호의 3대 목표 (CIA)
정보보호의 목표 = "정보의 C.I.A를 확보하는 것"
- Confidentiality(비밀성/기밀성)
- Integrity(무결성)
- 정보와 정보처리 방법의 완전성과 정확성을 보호하는 것
- 정보에 대한 정밀성과 정확성
- 한 번 생성된 정보에 수정을 허락하지 않음으로써 최초의 내용을 원상 유지하게 함
- Availability(가용성)
정보보호의 확장 요소
(출처)
최근 보안 환경이 더 복잡해짐에 따라 정보보호의 기본인 CIA 외에도 보안이 고려해야 할 요소들이 확장되었다.
- Non-repudiation(부인방지)
- 송신자 또는 수신자가 해당 행위(전송 또는 수신)를 부인하지 못하도록 하는 것
- (ex) 이메일 서명, 전자서명: "나 그런 이메일 안 보냈어!"를 막기 위함
- Accountability(책임추적성)
- 시스템 사용자의 행위를 추적하고 기록함으로써 책임을 묻는 것
- Reliability(신뢰성)
- Access Control(접근통제)
등이 있다.
