본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

미국 국립 표준 기술 연구소(NIST), 중소기업을 위한 정보보호 관리 가이드 개정 발간2016.11.21
개요
 
  • 미국 국립표준기술연구소(NIST) 소규모 비즈니스를 하는 중소기업의 사이버 보안 수준 향상을 위한 정보보호 가이드 개정(Revistion 1) 발간 (NIST, 11.3)
- NIST는 사이버 보안의 기본적인 지식이 없는 일반 기업인들의 사이버 보안을 위해 기술적인 보호 방법이 아닌 최소한의 기본적인 위험 관리를 위한 정보보호 가이드 ‘Small Business Information Security: The Fundamentals’를 개정 발간
※ Small Business Information Security: The Fundamentals은 2009년 최초 만들어 졌으며, 사이버 보안을 위한 체계적인 관리가 가능하도록 환경 변화에 따라 개정 (Revistion 1)
 
주요내용
 
  • 중소기업는 전체 산업에서 상당히 중요한 역할을 하고 있으며, 대부분의 사업이 온라인으로 연결되고 있으나, 대부분의 사업자들은 사이버 보안에 우선순위를 두고 있지 못함
- 미국의 중소기업 수는 2천8백만개 정도 규모이며, 미국 민간 부분의 매출의 46%, 신규 고용 창출의 63%를 이루고 있음
- 하지만, 중소기업은 상대적으로 대기업들에 비해 사이버 보안에 투자할 여력이 없고, 관리가 허술한 경우가 많으며, 최근 비즈니스 환경은 비즈니스의 규모와 상관없이 온라인에서의 사이버 보안 위협을 직면하고 있음
※ 중소 비즈니스 업체 60%가 6개월 안에 사이버 공격으로 문제될 수 있음 (미국 국가사이버보안협의회(NCSA), 2014)
 
  • NIST는 단순히 단편적인 보안 수칙을 가이드 하는 것을 포함하여 기업 자산의 중요도와 위험을 체계적으로 관리하여 사이버 보안을 대응할 수 있도록 비즈니스 프로세스 관점에서 가이드를 제시함
- 비즈니스 연속성 관점에서 사이버 보안과 인적, 물리적, 개인정보 등을 구분하여 가이드의 범위 명확하게 함
- 비즈니스 환경에서 발생할 수 있는 위협(Threats), 취약점(Vulnerabilities), 가능성(Likelihood), 영향도(Impact)를 분석하여 최종적인 위험(Risk)를 판단
- 식별(DENTIFY)/보호(PROTECT)/탐지(DETECT)/대응(RESPONSE)/복구(RECOVER)의 체계를 통한 사이버 위험 관리 계획을 수립
- 또한 계정관리, 어플리케이션 설치 등 업무 PC 보안, 모바일, 네트워크 분리, 이메일 보안등 일반 업무 환경에서 보안을 강화할 수 있는 방안에 대해서도 안내
 
  • 기업 내부에서 할 수 있는 위험관리를 통한 보안 활동 이외에, 별도 투자를 통한 보호 방법도 함께 가이드 하여, 단계적인 보호 활동이 이루어 질 수 있도록 가이드
- 비즈니스 주요 정보에 대한 백업 및 다른 미디어, 장소로의 백업 보관 전력 안정성 확보, 사이버 보안 컨설팅, 사이버 침해 관련 보험 등 일정 수준 이상 투자가 필요한 보안 활동을 함께 안내


[출처]
1. NIST, “Small Business Information Security”, NISTIR 7621r1, 2016/11
2. NCSA, “Small Business Online Security Infographic”, 2014
 
작성 : 인프라보호단 클라우드보안관리팀