[CISSP – Domain 1] Information Security Governance

CISSP Domain 1 을 공부하면서 기억에 남기고 싶은 내용 중 하나인 Information Security Governance에 대해 포스팅합니다.

Security Governance Principle

  1. Values
    What are our values? Ethics, Principles, Beliefs.
  2. Vision
    What do we aspire to be? Hope and Ambition.
  3. Mission
    Who do we do it. or? Motivation and Purpose.
  4. Strategic Objectives
    How are we going to progress? Plans, goals, and sequencing.

Value를 Vision에 부합시키고 우리의 목적을 달성해야한다. Mission을 이용해 Strategic Objectives를 세운다.


Security Governance Action

  1. Policy(정책) – Mandatory
    – High level, non-specific
    – They can contain “Patches, updates, strong encryption”
    – They will not be specific to “OS, encryption type, vendor, Technology”
    정리 : 정책은 관리 단계에서 만들어 지는 것. 구체적이지 않고 전체적인 틀을 제시해준다고 생각. 강제성이 있음.
  2. Standard(표준) – Mandatory
    – Describes a specific use of technology (All laptops are W10, 64bit, 8G men, etc..)
    정리 : 구체적인 기술적 사용안을 제시, 하드웨어 표준을 제시해주는 것을 예시로 들 수 있음.
  3. Guideline(가이드라인) – non-Mandatory
    – Recommendations, discretionary-Suggestions and Best practices on how you would to do it.
    정리 : 권고, 임시안과 같은 느낌인데 조직의 규모가 커질수록 가이드라인단계에서 일관성을 잘 확보해야함.
  4. Procedure(절차) – Mandatory
    – Low level step-by-step guides, specific.
    – They will contain “OS, encryption type, vendor Technology”
    정리 : 차단포트 설정, Default 계정 보안조치, 서비스 실행 등 Low-Level의 세부적인 업무 절차 제시.
  5. Baseline(베이스라인) – Mandatory
    – Benchmarks for server hardening, apps, network. Minimum requirement, we can implement stronger if needed.
    정리 : 제시되는 최소한의 요구사항이며, 필요할 경우 강력하게 실행될 수 있음.

Leave a Comment