데이터 등급 관리 절차

라이언양 위키
라이언양 (토론 | 기여)님의 2019년 10월 5일 (토) 22:40 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 가기 검색하러 가기

데이터 등급을 관리하는 절차는 CISSP의 자산 관리(Asset Management) 도메인에서 출제된다. 재고를 파악하는 inventory 단계가 대부분 1단계임을 기억하며 아래 순서를 암기하자.

  1. Develop a data inventory list (데이터가 어디에 있는지, 소유자는 누군지)
  2. Assign the level of its value (데이터 등급을 결정한다)
  3. Define classification and criteria (데이터를 분류한다)
  4. 각 등급에 적합한 보안대책(예: 최소권한, 다중요소 인증 등) 정의
  5. 등급 및 레이블 부여
  6. 보호 또는 모니터링 기술 실행
  7. 훈련
  8. 정책 시행 및 위반 탐지

책 내용을 적고 나니 2번째와 5번째 단계가 중복되는 것 같다. 아마도 2번째는 데이터 자체의 등급을 말하는 것 같고, 5번째는 데이터에 적용될 보안 등급을 의미하는 것 같다.

참고로 CISSP에서 항상 1단계로 나오는 것은 데이터 관리 정책(Data Management Policy) 수립이다. 두 번째로 오는 건 데이터(Data)의 소유자(Owner) 및 관리자(Custodian)를 결정하는 거다.