이펙티브 사이버시큐리티 (효과적인 사이버 보안 실행 및 정책 수립을 위한 지침서)

윌리엄스탈링스

윌리엄스탈링스박사는전문가와학생들이네트워킹,컴퓨터아키텍처,보안분야에서기술을이해할수있도록하는데있어큰공헌을했다.교과서및학술저자협회에서상을13회수상했다.컴퓨터구조,암호화및네트워크보안,데이터및컴퓨터통신,운영체제및설계원칙,무선통신및네트워크,컴퓨터보안원칙및실습에관한책을저술했다.현재기술제공업체,고객,정부연구기관을고객으로독립컨설턴트로일하고있다.노틀담대학에서전기공학을전공하였으며M.I.T에서컴퓨터과학으로박사학위를취득하였다.

chapter01모범사례,표준,실행계획
1.1사이버스페이스와사이버보안정의
1.2표준및모범사례문서의가치
1.3정보보안에대한모범사례
1.4ISO/IEC27000정보보안표준
1.5ISFSGP에대한ISO27000매핑
1.6NIST사이버보안프레임워크및보안문서
1.7효과적인사이버방어를위한CIS주요보안통제항목
1.8정보보안에대한COBIT5
1.9지불카드산업데이터보안표준
1.10ITU-T보안문서
1.11효과적인사이버보안
1.12참고문헌

part01사이버보안기획하기
chapter02보안거버넌스
2.1보안거버넌스및보안관리
2.2보안거버넌스원칙및기대성과
2.3보안거버넌스컴포넌트
2.4보안거버넌스
2.5보안거버넌스평가
2.6보안거버넌스모범사례
2.7참고문헌

chapter03정보보안평가
3.1위험평가개념
3.2자산식별
3.3위협식별
3.4통제식별
3.5취약성식별
3.6위험평가접근방법
3.7우도평가
3.8영향평가
3.9위험결정
3.10위험평가
3.11위험처리
3.12위험평가모범사례
3.13참고문헌
chapter04보안관리
4.1보안관리기능
4.2보안정책
4.3허가된사용에대한정책
4.4보안관리모범사례
4.5참고문헌

part02사이버보안기능관리하기
chapter05인적관리
5.1인적자원관리
5.2보안인식및교육
5.3인적관리모범사례
5.4참고문헌

chapter06정보관리
6.1정보분류및처리
6.2개인정보
6.3문서및기록관리
6.4민감한물리정보
6.5정보관리모범사례
6.6참고문헌


chapter07물리적자산
7.1하드웨어수명주기관리
7.2사무기기
7.3산업제어시스템
7.4모바일기기보안
7.5정보관리모범사례
7.6참고문헌

chapter08시스템개발
8.1시스템개발수명주기
8.2SDLC에보안통합
8.3시스템개발관리
8.4시스템개발모범사례
8.5참고문헌

chapter09비즈니스응용프로그램관리
9.1응용프로그램관리개념
9.2기업비즈니스응용프로그램보안
9.3최종사용자개발응용프로그램
9.4비즈니스응용프로그램관리모범사례
9.5참고문헌
chapter10시스템접근
10.1시스템접근개념
10.2사용자인증
10.3비밀번호기반인증
10.4소유기반인증
10.5생체인증
10.6사용자인증위험평가
10.7접근제어
10.8고객접근
10.9시스템접근모범사례
10.10참고문헌

chapter11시스템관리
11.1서버설정
11.2가상서버
11.3네트워크스토리지시스템
11.4서비스수준협약
11.5성능및용량관리
11.6백업
11.7변경관리
11.8시스템관리모범사례
11.9참고문헌

chapter12네트워크와통신
12.1네트워크관리개념
12.2방화벽
12.3가상사설네트워크및IP보안
12.4네트워크관리용보안고려사항
12.5전자통신
12.6네트워크및통신모범사례
12.7참고문헌

chapter13공급망관리및클라우드보안
13.1공급망관리개요
13.2공급망리스크관리
13.3클라우드컴퓨팅
13.4클라우드보안
13.5공급망모범사례
13.6참고문헌

chapter14기술보안관리
14.1보안아키텍처
14.2멀웨어방지활동
14.3멀웨어방지소프트웨어
14.4사용자계정및접근관리
14.5침입탐지
14.6데이터유출방지
14.7디지털권한관리
14.8암호화솔루션
14.9암호키관리
14.10공개키기반구조
14.11기술보안관리모범사례
14.12참고문헌

chapter15위협및사고관리
15.1기술취약점관리
15.2보안이벤트로깅
15.3보안이벤트관리
15.4위협인텔리전스
15.5사이버공격보호
15.6보안사고관리프레임워크
15.7보안사고관리프로세스
15.8긴급수리
15.9포렌식조사
15.10위협및사고관리모범사례
15.11참고문헌

chapter16로컬환경관리
16.1로컬환경보안
16.2물리적보안
16.3로컬환경관리모범사례
16.4참고문헌

chapter17업무연속성
17.1업무연속성개념
17.2업무연속성프로그램
17.3업무연속성준비
17.4업무연속성운영
17.5업무연속성모범사례

part03보안평가
chapter18시스템모니터링및개선
18.1보안감사
18.2보안성과
18.3보안모니터링및개선모범사례
18.4참고문헌

보안관리자와실무자들을위한최고의실무지침서

이책의목적은보안관리자와보안실무자들이효과적인사이버보안실행을위한
기술,운용절차,관리사례들에대해포괄적인이해를돕도록하는데있다.
다양한곳에서보안관련지침서로활용되는표준과모범사례문서들을상세히살펴보고있는데이러한문서는전문가들의지침서라고할수있지만독자들에게충분하다고생각되지않아사이버보안실행방법에대해서도다루고있다.
이책에서는다음사항들에대해특별히중점을두고있다.

●모범사례관련문서들과표준들에대한요구사항,지침을실행하기위해필요한기술,동작절차및관리사례들에대한상세한설명을제공한다.다른많은책에서는위험평가에대한중요성을강조하고있으면서도위험평가에대한깊이있는설명이나지침을제공하지않는다.그래서이책에서는3장정보위험평가에서위험평가수행과관련된내용들에대해자세히살펴보고있다..

●많은표준과모범사례들을활용하여사이버보안을실행하는데있어통합정리된내용과프레임워크를제공하고있다.단순한요약이나개요를나열한것이아니기때문에이책에서언급한문서들을활용하여사이버보안을실행하기위한체계적이고광범위한실행계획을세울수있는실무적인방법들을배울수있을것이다.

[책의구성]
이책은세부분으로구성된다.

●1부-사이버보안계획수립
1부에서는주어진IT환경에서요구사항을정의하고보안기능을관리하기위한정책과절차개발과같은사이버보안기능에대한관리및제어의접근방법에대한개요를설명하는데각장에서다루고있는내용을보면다음과같다.

2장에서는정보보안거버넌스개념에대해논의한다.보안거버넌스가기업거버넌스의통합된부분으로기업전반에걸쳐정보보안관련활동의방향수립및감독을가능하게하는방법에대해설명한다.

3장은보안요구사항을정의하고이에대한준수여부를확인하는절차개발에있어처리해야될문제점들에대해논의한다.

4장은내부정책및조직운용과관련된보안문제들에중점을두고살펴보고있다.

●2부-사이버보안기능관리
2부에서는정의된보안요구사항들을만족시킬수있는보안통제정책들에대한자세히설명하고있다.

5장에서는적절한보안절차를따른심사,신청과정뿐아니라모든직원의교육과훈련진행에있어조직의보안정책에부합하는방법과관련된문제들에대해살펴보고있으며
6장은정보를분류하고개인정보확인을위한정책들을다루고있다.
7장에서는장비관리및모바일장치관리를포함한물리자산과관련된문제를다루며8장은시스템개발관리및시스템개발수명주기를포함한비즈니스응용프로그램에대한개발활동에중점을두고설명하고있다.9장은비즈니스응용프로그램(웹기반응용프로그램에대한특별한통제항목포함)으로입력,처리,출력되는정보에대해정보기밀성과무결성을보장하기위한보안통제통합방법에대해다룬다.
10장은응용프로그램,디바이스,시스템,네트워크에대한접근통제에대해중점을두고있으며접근관리및고객접근문제등을포함해서설명하고있다.11장은조직내모든IT시스템에대해설정과유지보수와관련된가용성및보안이슈를다룬다.12장은이메일과메시지와관련된네트워크관리및보안측정에대해논의하고있다.
13장은외부공급자관리와클라우드컴퓨팅서비스에대해그리고14장은기술보안인프라및암호화를설명하고있다.또한15장은위협에대한대응계획수립을다루며사이버보안탄력성및보안관리를포함하고있고16장은조직내문서화및개별로컬환경관리에대해다루며물리및환경적보안에관한내용을그리고17장은업무연속성과관련된주요한주제들을다루고있다.

●3부-보안평가
3부에서는사이버보안통제의성능을감사하고모니터링할수있는기술들에대해자세히알려주고있는데18장에서보안모니터링의주요두가지관점인보안감사및보안성과에대해알려준다.