'My aSSIST 산업보안-MBA/산업보안의 이론과 실제'에 해당되는 글 2건

  1. 2013.03.31 기업내 산업기밀 보호규정의 수립과 전담조직 구성 및 운영 (p236~240)
  2. 2013.03.31 자산의 분류, 위험도 평가 및 권리화 방법 (p227~p236)

기업내 산업기밀 보호규정의 수립과 전담조직 구성 및 운영 (p236~240)

My aSSIST 산업보안-MBA/산업보안의 이론과 실제 2013. 3. 31. 19:47

인용 및 출처 : 산업보안의 이론과 실제(정진홍)



1. 산업기밀 보호규정(이하 "규정"이라 함) 제정/시행 가이드

- 규정은 본사, 지사, 연구소, 공장 등 사업장의 형태, 규모, 특성 등을 고려하여 제정

- 기본적인 사항은 단일 사규로 통일

- 지엽적이거나 일시적인 부분은 지침이나 지시의 형태로 보완

- 신중히 검토하여 실현 가능한 내용으로 규정하여야.

- 너무 잦은 개정은 안정성을 저해하고 혼란을 가중시킴

- 임직원이 숙지할 수 있도록 지속적인 회람과 교육 필요

- 기업의 변동상황 발생시 마다 실정에 적합하도록 보완, 개정하여야.

- 직원들이 자의적으로 해석하거나 변칙적으로 수행할 수 없도록 명확하고 세부적으로 규졍하여야.

- 최소한의 통제로 최대의 효과를 거두는 것을 목표로 시행가능한 부분만 포함하여야.


2. 규정에 반드시 포함되어야 하는 내용

1) 자산에 대한 분류 기준을 명확히 수립

- 기준에 맞도록 자산별 등급의 분류 및 표시에 관한 사항이 포함


2) 산업기밀 유출방지 및 보호를 위한 내부조직의 구성 및 운영방안

- 산업기밀 보호조직의 위치, 업무범위, 업무방법 등 역할 및 책임을 규정

- 조직을 구성하는데 필요한 인력 명시

- 외부 기관(정보수사기관, 유관부처 등)과의 공조 및 연락체계 유지를 위한 비상연락망 명시


3) 인력 관리

- 인력의 분류

채용 예정자

현 직원

퇴직자(예정자)

외부인(외주업체 직원, 컨설턴트 등)

외국인(외국인 연구원, 산업연수생 등)

- 각 인력별 적절한 관리대책 명시

산업기밀보호 서약서 징구

퇴직자의 퇴직후 동향 파악 등

- 기밀유출 사전방지 대책

임직원에 대한 직무발명보상 제도 등 안정감을 부여


4) 침입 방지

- 중요 시설 및 설비가 무엇인지 정의

- 각 시설 및 설비에 맞는 보호조치 규정

- 화재, 정전 등 재해 발생시 피해를 줄일 수있는 장비에 대해서 보호조치 명시


5) 정보시스템 관리방법과 보안대책

- 메일로 통한 산업기밀 유출 방지를 위한 외부로 발송되는 메일 등 보안대책 포함


6) 산업기밀 유출 및 침해사고 발생시 대응 및 복구방법

- 시나리오 형식으로 규정

- 최초 사고발생을 인지한 시점부터 증거의 확보, 법적 대응, 복구까지 일련의 과정에 대해 구체적으로

   명시

- 사고발생 원인 및 취약점 분석하여 다시 규정에 반영


7) 산업기밀보호 관련 교육, 규정에 대한 이행실태 점검


3. 산업기밀의 유출방지 및 보호조직의 역학과 책임


구   분 

역할   및   책임 

산업기밀관리위원회 

  - 산업기밀보호 규정 제정, 보호정책, 시행계획, 상벌 등의 심의
 - 산업기밀 보호대책 의결(특허, 영업비밀 등)

 

  - 핵심기밀 취급자 및 퇴직자에 대한 관리정책, 기밀보호와 관련된
   임직원 등의 우대 정책, 기타 기밀보호에 관한 주요정책 결정

시행   조직 

산업기밀관리 총괄책임자 

 - 조직 전체 산업기밀 관리에 대한 총괄적인 조정 통제 업무

 - 산업기밀 관리지침 작성, 계획 작성

 - 산업기밀 보호의 총괄 조정, 지도교육, 감사업무

 - 사고 조사 보고 및 대응조치

 - 산업기밀 보호를 위한 상담센터 운영

산업기밀관리 본부장 

  - 부서 산업기밀 관리에 대한 총괄적인 조정 통제 업무

 부서 산업기밀관리자

 - 부서 내 산업기밀 관련 문서의 생산, 보관, 관리 통제
 - 소속 직원에 대한 산업기밀 보호 교육 및 직원 관리

 - 산업기밀의 외부 반출 및 수발신 통제

 - 소관 퇴직자의 관리, 자체점검, 소관장비 관리, 기타 주요사항

부서 산업기밀보호담당자 

 - 산업기밀 관련 문서의 수발, 대장정리, 출입자 관리, 각종 장비,
   문서 및 디스켓 등 관리
 - 부서 산업기밀 관리자의 보조

지원조직 

산업기밀 유출예방 관련업무 

산업기밀 유출 대응 업무 

총무부서 

 - 보안조직 예산 편성
 - 유관기관과의 협조 체계 구축

 - 전문 컨설팅 업체 등 자문기관을 활

   용한 보안관리 방안 강구

  - 사고 발생시 피해조사, 사고조사
   주관
 - 피해 대응방안 검토 및 경영진
   보고
 - 기밀 유출자에 대한 색출

인사부서 

 - 임직원에 대한 지속적인 교육 및 면

   담을 통한 개인별 신상 확인

 - 임직원의 충성심 유발을 위한 각종

   활동

 - 기밀 유출자에 대한 보안 서약서 징구

 - 퇴직자 근황 조사
 - 기밀 유출자에 대한 징계

법무부서 

 - 연구개발성과의 지재권화 지원

 - 각종 지침의 법률 정합성 확인

 - 각종 계약 체결시 산업기밀 유출 대비

   법률조언

 - 소송 가능성 판단
 - 소송에 필요한 서류 및 증거 등
   준비

관리부서 

 - 산업기밀 보호관련 장비 운영
 - 전산장비 이관시 자료 삭제 등 소관분
   야 보안관리		 

IT관리부서 

 - 임직원에 대한 시스템 접근권한 부여
 - 정보시스템 관리
 - 침입탐지/방지 시스템 운영

 - 사고에 대한 증적 확보


저작자표시 비영리 변경금지

'My aSSIST 산업보안-MBA > 산업보안의 이론과 실제' 카테고리의 다른 글

자산의 분류, 위험도 평가 및 권리화 방법 (p227~p236)  (0) 2013.03.31
Posted by i kiss you
,

자산의 분류, 위험도 평가 및 권리화 방법 (p227~p236)

My aSSIST 산업보안-MBA/산업보안의 이론과 실제 2013. 3. 31. 19:08

인용 및 출처 : 산업보안의 이론과 실제(정진홍)

                    위험성 평가  - 일반 가이드, issa (international social security association)

                    무형자산의 분류와 경제적 특성(김홍수 책임연구원)

  보안경제학(서승우 서울대 교수)

  위험분석 기법과 보안컨설팅 동향(이수영 인포섹 이사)

  보안 수준 점검 및 보안 마스터플랜 수립 방법(박형근 IBM)



산업기밀의 유출 및 침해를 막기 위해서는 

- 보유하고 있는 모든 자산(유무형 자산을 모두 포함)을 분류

- 각 자산의 위험도 평가

- 위험도가 높은 자산항목에 대하여 예방대책 강구, 지적재산권 강화가 가능한 부분은 권리화


1. 보유 자산의 분류

1) 자산의 종류 [ 기준 : 국제 정보보호 표준규격(ISO/IEC 27001)]

구    분 

세   부   내   용 

정보자산 

 보유/관리하고 있는 모든 종류의 정보

 - 기술정보, 재정정보, 마케팅정보, 조직정보, 개인정보, DB 등

문서자산  

 보유/관리하고 있는 모든 출력문서

 - 정잭/지침, 업무관련 문서, 인사기록, 송장 등

SW 자산 

 정보시스템에서 사용하는 프로그램
 - 운영 프로그램, 어플리케이션 프로그램, 통신 프로그램 등

물리적 자산 

 업무에 활용하는 하드웨어
 - 서버, 전화, 사무기기 등

인력 자산 

 기관에 속해있는 모든 직원

 - 내부직원, 퇴직자, 제3자(외주업체, 컨설턴드 등), 아웃소싱 직원, 고객 등

대외기관 제공

서비스 

 대외기관에서 제공받는 서비스

 - 정보서비스, 통신서비스, 전원, 수도, 사무실 등


2) 무형 자산의 종류 (출처 : 무형자산의 분류와 경제적 특성, 김홍수 책임연구원)

유형 

구성 

시장관련 

 상표, 상호, 브랜드명, 로고 등

고객관련 

 고객명부, 고객계약, 고객관계, 주문잔고 등

계약관련 

  우선공급계약, 라이센스계약, 프랜차이즈계약, 비경쟁계약 등

위치관련 

 임대계약, 광업권, 지역권, 공중권, 수면권 등 

영업권관련 

 공공단체/전문직종/전문가/평판관리 영업권, 계속기업가치 등

인력자본관련 

 능숙하고 결집된 노동력, 고용계약, 노조계약 등

예술관련 

 문화작품과 저작권, 음악작곡, 지도, 조각 등

기술관련 

 공정특허, 특허적용, 실험노트 같은 기술서류, 기술적 노하우 등

자료처리관련 

 컴퓨터SW, SW저작권, 자동화된 DB, 집적회로 마스크 및 마스터

엔지니어링 관련 

 산업디자인, 제품특허, 거래비밀, 엔지니어링 도면/구성도, 설계도, 서류 

 등


2. 위험성 평가

- 해당 자산이 침해 되었을 경우 얼마만큼의 피해를 줄 수 있는지를 최대한 객관화하여 산정

- 평가 결과 중 높은 위험성을 가졌다고 평가를 받은 자산에 대해서는 예방대책을 실행


1) 위험성 평가 및 위험 저감 방법론 

출처 : 위험성 평가  - 일반 가이드, issa (international social security association)

절차를 찾다가 보안과 직접 관련이 없는 문서에서 발견했고 참고가 될거 같아 첨부


2) 위험성 측정

가. 위험 측정 = 자산가치 X 위협 X 취약성 X 빈도

보안 경제학 책에서는 각종 빈도, 자산가치, 위협, 취약성이 나왔으나 그것을 어떻게 조합해야하는지 몰랐을 때 IBM 박형근 (Security Plus 대표 운영자) 님의 문서에서 저런 산식을 제공해서 참고함


나. 자산가치

a. 보안 측면에서의 자산가치, 금전적 측면에서의 자산가치, 비지니스에 미치는 영향 정도에 따른

   자산가치 등이 있으나 여기서는 금전적 측면에서의 자산가치로 함

b. 금전적 측면에서는 다음의 비용을 포함

- 사고 발생 시 정보 자산의 복구나 대체에 드는 비용

- 규정이나 법 위반 시 벌금이나 과징금의 규모

- 해당 자산에 대한 접근이나 사용 시 필요한 비용

- 해당 자산의 설치, 운영, 유지, 보수를 위한 시간적 비용

- 사고 발생 시 해당 자산으로 인해 발생하는 생산성 감소 및 업무 지연 정도

c. 금전적 자산가치

등급 

정도 

설명 

extreme 

 자산에 대한 손실이 기업이 파산에 이를 수 있을 정도로 심각할

 경우

very high 

 자산에 대한 손실이 기업에 상당한 금융적 부담이 될 경우

high 

 대체나 복구에 상당한 비용이 들 경우

medium 

 대체나 복구에 드는 비용을 예산의 항목 전환을 통해 마련할 

 수 있는 경우

low 

 기업에 낮은 금전적 부담이 되는 경우

negligible 

 금전적 가치가 없는 경우

보안 경제학 책의 금전적 자산가치 등급을 그대로 참조


다. 위협

a. 위협원은 손해를 야기할 수 있는 잠재성을 갖는 환경, 주체 또는 사건으로 정의

b. 가능한 위협원의 주체로는 해커, 전문적 범죄자, 테러리스트와 내부자, 악의가 있거나 불만을 

   품은 내부자, 업무상 태만, 비의도적으로 보이는 과실 등

c. 위협 등급

등급 

위협원 

위협 행위 

전문적 범죄자 

  해킹에 의한 기밀문서 유출 등

악의적 내부자 

  프로그램, 문서 접근, 악의적 유출 등

 내부자 실수 

 분실에 의한 기밀문서 유출

자연적 사고

  

보안 경제한 책에서는 위협 등급에 대해서는 나오지 않고 위협원 분류가 있어서 나름대로 등급순으로 정리한 것임


라. 취약성

- 취약점 점검과 확인 과정을 통해 취약성의 심각도를 판단

수준 

심각도 

설   명 

extreme 

 취약점이 흔하게 발견되고 쉽게 악용될 가능성이 있는 경우

 또는 전체 시스템의 파괴가 예상되는 경우

very high 

  취약점이 대부분의 시스템에서 발견되고 비교적 쉽게 악용될 가능성
 이 있는 경우 도는 주요 시스템의 파괴가 예상되는 경우

high 

 취약점이 많은 시스템에서 발견되고 악용하기에 다소 노력이 필요한

 경우 또는 일부 시스템의 파괴가 예상되는 경우

medium 

 취약점이 일부 시스템에서 발견되고 악용하기가 어려운 경우

 또는 서비스 중단이나 보안 수준 저하가 예상되는 경우

low 

 취약점을 악용하기가 매우 어려운 경우 또는 악용해도 실익이 없는
 경우 또는 약간의 서비스 중단이나 보안 수준 저하가 예상되는 경우

negligible 

 취약점을 악용하기가 거의 불가능한 경우
 또는 서비스 중단이나 보안 수준 저하가 거의 없는 경우

보안 경제학 책의 내용을 그대로 참조한 것이며, IT 시스템에 대한 취약성 이야기이나 범용적으로 해석할 수 있을 듯 하다.


마. 빈도

- 단위는 일정 기간 동안 발생할 빈도 또는 단위 기간당 발생할 확률값으로 나타낼 수 있다.

수준 

발생 가능성 

설   명 

extreme 

 위협이 지속적으로 발생함

very high 

  매우 자주 발생함

high 

  정기적으로 발생함

medium 

  가끔씩 발생함

low 

  아주 드물게 발생함

negligible 

  일생동안 발생할 확률이 대단히 낮음

보안 경제학 책의 내용을 그대로 인용함


3. 자산의 권리화

- 산업기밀 유출의 주요 원인 중 하나로서 권리 설정의 소홀

- 기술 개발단계에서는 성공 여부가 중요하기 때문에 권리 설정을 통한 기술유출 차단을 등한시

- 실제 연구개발한 사람들이 그 성과를 권리화하는데 적극적으로 참여하도록 유도가 필요


1) 각종 권리의 설정 방법

가. 특허권

- 새로운 발명을 한 사람이 그 발명을 공개하는 대가로 독점권을 갖기 위해 국가(특허청)에 일정한

   양식 및 절차에 따라 신청

- 특허권을 획득하였을 경우 특허법에 의해 보호를 받을 수 있기 때문에 특허도용 및 침해시 민/형

   사적 제재를 가할 수 있다.


나. 실용신안권

- 실용신안 등록절차는 별도의 심사가 없어 특허제도와 차이.

- 존속기간은 출원일로부터 10년

- 법적인 효력은 특허권과 거의 유사

- 최소한의 등록방식 심사와 기초적인 심사만을 거쳐 선 등록하는 제도에 의한 권리는 발생

- 제3자에 대하여 권리행사를 하기 위해서는 기술평가를 청구해 등록 유지결정을 받아야 한다.

- 기술평가제도 : 선 등록제도에 의한 부실한 권리의 행사가 발생할 수 있으므로 등록된 

   실용신안에 대해 청구가 가능하며 기술평가 결과에 따라 등록유지결정 또는 등록취소가 결정


다. 의장(다지안)권

a. 유사 디자인 제도

- 디자인 등록 출원한 기본 디자인을 변경한 디자인을 등록함으로써 디자인권의 모방, 도용

   을 사전에 방지


b. 한 벌 물품 디자인 제도

- 한 벌로 판매되고 한 벌로 사용되는 물품으로서 전체적인 통일성이 있는 경우


c. 비밀 디자인 제도

- 디지안권 설정 등록일로부터 3년 이내의 기간 동안 디자인 공보 등에 공고하지 아니하고 

   비밀상태로 둘 수 있도록 한 제도

- 일종의 블랙박스 전략


d. 디자인 무심사 등록제도

- 등록률이 높은 일부 품목에 대하여는 기본 요건만을 심사하여 등록

- 직물지, 벽지, 합성수지지 등

- 실체적 요건 심사에 소요되는 시간 축소 효과


e. 복수 디자인 등록 출원 제도

- 디자인 무심사 등록출원에 한하여 20건 이내의  디자인을 하나의 출원서로 출원

- 출원절차 대폭 간소화

- 비용부담 경감


f. 부분 디자인 제도

- 물품의 부분(예 : 커피 잔의 손잡이부 등) 에 관한 디자인도 등록을 받을 수 있도록 한 제도


라. 저작권

a. 일반적인 저작물의 등록

b. 프로그램 저작물의 등록


2) 권리의 미설정과 산업기밀 보호

- 공지기술(Public Domain) : 연구개발 성과를 특허 등으로 출원하지 않고 실시하면 그 내용이 물품 

   제조과정이나 상품판매 등 기업활동을 통하여 불특정 다수인에게 알려지게 되는 것.

- 공지기술화된 연구개발 성과는 신규성이 상실되었으므로 특허 등의 권리설정으로는 보호가 안됨

- 기술연구개발성과에 대해 특허 등 권리설정을 하지 않았으나 공개하지 않고 비밀로 간직하였다면

   '영업비밀' 로 보호 받을 수 있다.

저작자표시 비영리 변경금지

'My aSSIST 산업보안-MBA > 산업보안의 이론과 실제' 카테고리의 다른 글

기업내 산업기밀 보호규정의 수립과 전담조직 구성 및 운영 (p236~240)  (0) 2013.03.31
Posted by i kiss you
,

티스토리툴바