정보 보안 거버넌스 1. Security management practices

목차

1. 정보 보호의 이해

1-1. 통제와 보호

1-2. 정보 보호의 요소들

1-3. 보안 통제

2. 보안을 위한 정보 분류

2-1. 정보 분류

3. 보안 정책

3-1. 보안 정책

3-2. 역할과 책임

4. 위험 관리

4-1. 위험 관리

4-2. 위험 관리 프로세스

4-3. 위험 분석 기법

5. 보안 훈련과 교육

5-1. 보안 훈련과 교육

 

1. 정보 보호의 이해

1-1. 정보 보호의 이해

기업 및 조직 생존의 핵심적인 요소로 부각

- IS(정보 시스템)가 비지니스에 더 내재적으로 스며들어감

- 글로벌 사업영역의 확대로 인해 중요한 이슈로 부각.

  -> 글로벌 사업 영역은 나라마다 법률과 관습이 다른 문제

  -> 정보 보호법은 변경되는 경우가 굉장히 잦음.  

- 정보의 무결성, 서비스 지속성(가용성), 자산보호에 대한 중점적인 활동

- IT(정보 기술)를 적극적으로 비즈니스에 적용, 업무 프로세스를 개선하는 경우 가장 중요한 요소중 하나

  -> 업무 프로세스의 개선은 소프트웨어의 재개발을 의미. 이때 정보 보안과 관련된 법률이 반드시 추가되야 함. 

  -> 정보보안(안전성)과 효과성 사이의 균형이 중요

 

외부 환경적 요소
- 법률적, 기술적외에도 여러가지 요소로 급변하는 비즈니스 환경

- 지능적 정보 범죄

- 반달리즘(파괴 행위)

- 비효과적인 관료주의

  -> 보수주의는 정보 사회에서 치명적인 단점이 될 수 있음

 

정보 보안에 대한 이해
- 정보보호의 복잡성과 타당성에 대한 지지는 이사회 수준의 활동으로 제기되고 지원되어야 함
- 정보를 생존을 위한 핵심 자산으로 이해

  -> 기업의 CEO가 스스로 느낄 수 있는 인프라를 제공해야 함.  

 

정보 보안의 문제와 현황
- 정보와 지원시스템에 대한 기업 비즈니스 의존성 증가
- 새롭게 나타나는 위험들
- 혼란스러운 법규와 더 높은 수준의 법적인 요구 사항들(개인정보, 보안 등등)

 

정보 보안 접근 방법
전통적인 접근법
- 정보 보호의 초점이 정보 취급, 처리, 저장방법에 주안점
- 현재 요구되는 전반적인 보안수준을 적용하기 불충분함

- 위험을 분석하지 않고 시행

 

새로운 접근 방법(밀레니엄 세대 이후)

- 엔론 사태 이후 정보 보호에 대한 중요성이 상승. 

- 지식, 컨텐츠, 또는 정보 자체에 주안점을 둠  

- 자산 식별(자산 목록화(라벨링) 및 분류) : 자산별 위험을 정량화(돈으로 환산)하는 것이 목적

  -> 라벨링을 하는 이유는 등급을 정하고, 효과적인 관리를 하기 위해서

 

정보 보안 거버넌스 수립으로 이루어지는 조직의 정보 보안

- 정보보안 정책(문서)은 거버넌스가 지향하는 것을 문서화 한 것을 의미.

- 정보 보호의 시작 -> 정보 보안 정책

 

정보 보호 거버넌스(governance)의 5가지 성과
1. 전략 연계(목표(전략)를 위해 사업 전략(회사의 vision)과 정보 보안은 연계되어야 함) 
- 보안 요건에 대한 기업의 요구사항

  -> 업무 수행자가 요구하면 기업의 CEO가 승인 후 요청

  -> IS 전략 위원회, IS 운영 위원회

- 기업의 비즈니스(=프로세스=프레임워크=프로젝트) 프로세스에 알맞은 보안 솔루션

  -> 비즈니스 프로세스는 업무를 의미

  -> 업무 분석이 선행되어야 함

- 위협, 취약점, 위험 프로파일에 기초한 보안 투자

 

2. 위험 관리(위험의 완화와 잠재적 영향의 감소를 위해 적합한 측정이 필요) 

- 위협, 위험, 취약점에 대한 이해
- 위험 완화(통제) : 수용 가능한 단계까지
- 위험의 잠재적 결과의 이해와 이에 기반한 위험의 수용

 

3. 가치 제공(비용 효과적인 보안 투자의 최적화) 
- 보안 실무 표준

- 보안 영역에 대한 우선순위 배정과 자원의 적절한 분배

  -> 우선순위를 배정하기 위해선 위험관리가 되어있어야 함.

- 조직의 전 부분에 걸친 솔루션 (상품화된 표준화 기반의 솔루션 포함)

  -> 조직의 업무 프로그램 개발

- 일회성 이벤트가 아니라 지속적인 개선

 

4. 자원 관리(효율적인 인프라와 자원 관리 달성)

- 보안 실무와 프로세스 문서화

  -> 기업 입장에서는 지출이기때문에 반드시 업무 분석 후 문서화.

- 인프라 자원의 효율적인 활용과 정의를 위한 보안 아키텍쳐 개발

 

5. 성과 관리(목표 달성을 위해 정보 보안 프로세스를 평가하고 모니터링 및 보고) 

- 성과 관리를 하기 위해서 기업은 업무 일지가 필요.

- 이슈해결 과정에 대한 피드백과 결점을 식별하는 프로세스

- 외부 평가와 감사(감리)에 의해 제공되는 독립적인 보증

  -> 정보 보안에서는 정확히 감리를 의미

+ 프로세스 통합
- 기업 내 여러 조직간 서로로 다른 보고 및 모니터링 체제 내에서도 보안 프로세스는 통합되도록 노력

- 이를 통해 보안 프로세스의 효과성이나 효율성을 개선.

 

정보 보안 거버넌스의 구성
- 사업 목적을 포함한 보안 전략

- 전략, 통제와 규정을 포함한 보안 정책

- 보안 정책을 위한 스탠다드(표준)와 가이드라인

- 이해 당사자들간에 갈등이 없는 보안 조직

- 준거성 보장을 위한 모니터링 프로세스

  -> 준거성을 지키도록 모니터링

 

준거성

- 규정을 얼마나 잘 지키고 있는가를 의미.

- 규정에 부합하는 문서를 뜻하기도 함

 

1-2. 정보 보호의 요소들
- 기밀성(Confidentiality)
- 무결성(Integrity)
- 가용성(Availability)

 

기밀성
- 의도되었거나 또는 의도되지 않은 노출을 방지하는 것 
- 인가되지 않은 사람이나 대상에게 노출되지 않는 것

- 암호를 가장 많이 사용. 짧은 데이터는 해쉬를 사용하기도 한다.

- 반대의 개념은 폭로 (Disclosure)

 

무결성
- 인가되지 않은(권한이 없는) 주체에 의한 객체의 변경을 막는다.
- 인가된 주체의 불법적인(권한이 없는) 변경을 막는다.
- 내, 외부의 일관성을 유지(내부 무결성과 외부 무결성).

- 내부 무결성은 data들이 서로 어긋나지 않게 함.(제약조건, 트리거등을 사용)

- 외부 무결성? 
- 접근통제, 감사, 감리등의 방법을 사용.

- 반대의 개념은 변경(Altereation)

 

가용성
- 자원의 적시 접근성을 보장.
- 원하는(인가된) 시간에 원하는 만큼(인가, 허용된 만큼) 자원을 사용할 수 있도록 보장한다.

- 기밀성에 관련된 공격 기법이 가장 많음. 

- 기업에서 가장 중요시 여김.

- 공격하긴 쉬우나 근본적으로 막을 수 없음.

- 반대의 개념은 파괴(Destruction)

 

식별(Identification)

- 식별은 주장에 근거

- 시스템에 신원을 알려주는 것
- 시스템이 각자를 구별가능.

- 이름, ID 

 

인증(Authentication) 
- 제공된 신원과 대상이 일치하는지 확인하는 것

- 식별할때는 항상 인증이 수반 됨. 

- 비밀번호

 

책임추적성(Accountability)
- 책임을 이행할 의무 또는 작업이나 프로세스에 대한 책임 소재 식별성

허가(Authorization)
- 개인이나 컴퓨터에 부여된 권한의 범위

 

1-3. 보안 통제

- 조직(기업)이 위험을 수용 가능한 수준으로 낮추기 위한 인력, 조직, 업무, framework등 일련의 활동

- 정보보안 관리자가 구현하고 경영자에 의해 강제

- 정보보안 관리자의 주 업무

- IS에 대한 내부 통제 중 하나

- 자산 식별 -> 위험 분석 -> 통제 개발 -> 통제 적용 -> 통제 평가의 과정으로 진행

- 통제 개발, 통제 적용, 통제 평가중 하나라도 되지 않는다면 통제가 되지 않는다고 판단

 

자산 식별 

- 보호할 대상 식별

- 정량적으로 식별이 가능해야만 자산이다.

 

위험 분석

- 정량적으로 분석

 

통제 개발

- 정보 보호 개발자가 개발

 

통제 적용

- CEO가 적용

 

통제 평가

- 감리사가 병가

 

위험
- 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성(ISO의 정의)

- 위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서 비례적으로 결정.

 

위협
- 고의적이거나 우발적인 사건으로 발생시에 시스템의 손상을 일으켜 기밀성, 가용성, 무결성에 손상을 가져올 수 있다.

 

취약성(고유 위험) 
- 위협이 이용 가능한 시스템상의 약점

- 취약성이 있지만 위협이 없다면 취약성은 의미가 없어짐.

 

ex) 업로드가 가능한 게시판에 업로드 파일의 형식에 대한 제한이 없을경우(취약성), 공격자가 악의적인 스크립트가 포함된 소스파일의 첨부가 가능하고(위협) 이를 이용해 공격자가 서버상에서 스크립트를 실행시켜 웹서버를 공격(위험)했다.

 

통제의 한계
- 비용 효익을 초과 할 수 없다.
- 이를 위한 정량적인 위험 분석이 필수 

 

통제의 운영
- 조직내의 모든 수준에서 운영 (하향식 통제 모델 개발이 필요)
- 모든 구성원이 해당 프로세스에 참여해야 한다.

- 이사회나 경영진의 책임
- 내부 통제 촉진을 위한 적절한 조직 문화 구축 
- 내부 통제의 효과를 지속적으로 모니터링(실무적인 모니터링은 보안 관리자에게 위임 가능하지만 1차적인(법적인) 책임은 위임할 수 없음)

 

2. 보안을 위한 정보 분류

2-1. 정보 분류

- 정보 분류는 정보보안의 가장 기본적인 과정인 정보자산 식별(라벨링) 과정의 구체적인 사례.

- 무엇이건 구현하는 것은 그것을 평가하는 업무와는 절대 겸업 할 수 없다. 
- 보안정책의 책임과 역할 참조

 

정보 보안 및 분류와 관련된 지침 및 권고
- 국제표준기구(ISO)
  -> ISO 17799 : 정보보안 관리의 통제 및 관리를 위한 실무 규격

 

- IT Governance institute
  -> COBIT : Control Objectives for Information and related Technology(가장 대표적) 
  ->  비즈니스 지향적인 IT 통제에 관한 프레임워크
  ->  2006년 4.0까지 번역 출판됨 (필독서..)

 

보안을 위한 정보 분류의 목적
- 기밀성, 가용성, 무결성을 촉진.
- 정보에 대한 위험을 줄인다.

 

정보 자산에 대한 접근 통제 수준(등급) 정의
- 자원의 중요성이나 민감성에 대한 수중이나 등급을 부여, 등급별 보안 규칙을 수립

  -> 정보가 유출되거나 손상됐을때 기업에게 주는 피해가 클수록 민감도가 크다.
- 보안과 경영 목적을 연계시켜 보호의 미흡이나 과보호로 발생하는 위험과 비용을 줄여준다
- 단순한 등급 분류가 필요
- 부서의 관리자나 보안 운영자는 등급을 이용 자원에 대한 접근 여부를 결정

 

데이터의 등급은 IS의 핵심 자산으로 통제의 수단으로 사용 
- 정보의 소유자
- 허용 퍼미션
- 접근 수준
- 접근 권한을 결정하는 책임자
- 접근에 대한 승인 내용

 

등급(정부나 공공 부분)

분류	내용	예시
최고 기밀(Top Secret)	국가 안보에 중대한 영향을 미치는 최고 기밀 분류 (Grave damage)	전쟁 수행 계획, 방어 계획, 전략 무기 배치 등등
기밀(Secret)	국가에 해가 될 기밀 정보(serious damage)	전술 무기 배치 현황
비밀등급(Confidential)	국가에 약간에 해가 될 비밀 정보 (Some damage)
민감하나 분류되지 않음(Sensitive But unclassified : SBU)	유출시 대상이 해가 될 정보	범죄인 바이오 정보
분류되지 않음(Unclassified)	중요하지 않아 분류되지 않은 정보	재해 매뉴얼

등급(민간 부분)

분류	내용	예시
비밀 정보(confidential)	유출시 조직에 심각한 해가되는 매우 민감한정보  내부에서만 사용되는 정보.(법률적으로 일부분 공개가 제한)	신제품, MNA
개인 정보(private)	개인적인 용도나 기업용도로만 사용될 정보  – 법률적으로 보호되는 경우가 많다.	급여, 신상정보
민감 정보(sensitive)	무결성이나 기밀성에 대한 보호가 필요한 정보	조직의 업무 현황
공개 정보(public)	공개 되어도 문제가 없는 정보

- 예시와 내용은 외울 필요는 절대로 없음. 

 

분류 기준

- 가치(value) : 정보 분류에 가장 먼저 사용되는 기준
- 기간 (passage of time) : 대부분의 정보는 시간이 지남에 따라 가치가 줄어든다. 일반적인 정보 등급은 시간이 지남에
따라 자동으로 떨어지게 분류.

 

자산 소유자
- 기업의 임원이나 이사 또는 최고 경영자

- 자산에 대한 근본적인 책임을 갖는다. -> Due Care

- 분류 등급과 라벨에 관한 결정 

- 등급 완전성과 모니터링에 대한 책임 

- 분류를 근간으로 한 접근 승인 책임을 갖는다. 

- 실무적인 관리는 관리자에게 위임 가능하나 1차적인 책임까지 위임 할 수는 없다.

 

관리자
- 승인된 분류 목록을 구현하고 관리.
- 각 정보의 가용성 확보를 위한 실무적인 노력을 담당.

- 책임을 지지 않음. 

 

사용자
- 정보 보호 정책을 유지하기 위한 의무사항(Due Care)을 갖는다.

- 의무사항을 가진다는 것은 모니터링을 할 수 있다는 의미

- 개방되거나 사적인 사용으로 인한 보안 침해를 예방해야 한다.

 

감사인
- 통제의 가치와 준거성, 효용성을 평가

- 만약 정보 보안 감리 감사를 제대로 받았다면 CEO가 책임지지 않아도 된다.

- CEO와 소유자를 보호

 

3. 보안 정책

3-1. 보안 정책

- 조직이나 기업의 전략(비전, 장기 목표)에 부합하는 IS보안에 대한 문서화된 최고위명세 
- 반드시 성취(achieve)되어야 한다.(달성 가능성이 중요)
- 정보보호를 위한 경영자의 방향과 지지를 제공 (전략)
- 정보보안 활동을 위한 가이드라인을 제공.

- 보안 구조를 세우는 첫 번째 단계로 책임 한계와 책임 추적성을 제공(기업내 모든 조직에 설립 및 실행)

보안 정책(조직의 보안 전략)

- 통제수준과 생산성간의 균형이 중요
- 통제비용이 효과비용을 초과해서는 안 된다.
- 사업요구와 일치하는 정보보안 자원에 대한 보증을 제공
- 명백한 문서화된 보안 정책의 수립이 중요

 

조직별 보안 정책(부서별 보안 정책)

- 각 부서별로 보안 정책을 따로 세움

 

기능별 보안 정책

- 각 업무별로 보안상 요구사항이 무엇인지 식별하는 것

- 단위 업무별로 접근해야하는 자료등을 파악

- 업무(기능)분석이 사전에 되어있어야 함

 

표준(standard)

- 정책의 이념을 구현하기 위해 관련 정책에서 도출된 상세화된 문서

- 보안 요구에서 반드시 수행해야 함.

- 중간 관리자(실무자)가 정책에 근거해 작성
- 경영의 주안점과 환경에 따라 변형.
- 정책보다 빈번히 검토되고 갱신되는 것이 필수.
- 대상자들이 철저히 주시하도록 저장, 배포, 관리에 자동화된 매커니즘이 필수
- 강제적인 규정으로 보안 기술이나 제품을 규정 
- 각 사용자의 I&A 정보는 1년 단위로 무결성과 기밀성이 재검토되어야 한다.

 

가이드라인(guideline)

- 어떻게 지킬 것인가에 대한 방법

- 보안 요구사항에 대한 기능이 어떻게 수용되느냐가 쟁점.

- 이미 입증된 방식을 사용

- 가이드라인은 법률에 포함되지는 않음. 즉, 강제적이지 않고 유연하다. 

 

절차(procedure)

- 특정한 업무를 수행하기 위한 구체적 행동 요령이나 방법
- 정책이나 표준, 가이드라인이 수행되기 위한 자세한 단계를 기술한 것

- 대부분 프로그램

 

BaseLine
- 위험을 분석하지 않고 시행하는 전통적인 접근법과 유사
- 표준과 유사 
- 효과성을 입증할 수 없음. 
- 보안 등급을 위한 최소한의 사항을 의미하며 이를 통해 표준이 개발 가능
- 방화벽, IDS 등등

3-2. 보안 정책의 역할과 책임
1. 이사회/최고경영진
- 법적인 수준의 정보보안 거버넌스의 제정과 이에 대한 활동, 모니터링에 대한 책임
- 정보보안 관리를 위한 책임 할당과 위임
- 본질적인 보안 요구 사항에 대한 보증
- 정보 보안 정책을 승인하고 전략적 보안 목적을 정의
- 책임을 지기때문에 감사 및 감리를 주기적으로 수행

2. 경영자 (관리자)
- 정보 보안 거버넌스 이행
- 이사회/최고경영진에게 책임을 위임받을 수 있음.

3. 정보 보안 책임자
- 정보보안 정책에 대한 실무적 개발과 보증을 담당
- 보안 자원에 대한 모니터링 실무를 담당
- C-Level (CEO, CIO, CSO, CCO(준법 감시인) 등등)

4. 데이터 소유자
- 데이터의 민감도나 분류(라벨링이 된) 레벨에 대한 책임을 가짐.
- 데이터의 무결성과 정확성을 유지하는 책임을 가짐.

5. 사용자
- 보안 정책을 위해 작성된 절차를 따르는 책임(상벌 규정)을 갖는다.

4. 위험 관리(risk management)
4-1. 위험 관리

경영 목적을 달성하기 위해 정보 자원에 대한 취약성과 위협을 식별하고 위험을 수용가능한 수준으로 감소시키기 위한 대응방안을 결정

위험에 대한 조직의 선택
- 회피(avoid) : 프로세스 자체를 이행하지 않음. ex) 사업 철회
- 완화(reduction, mitigation) : 통제를 정의하고 구현해 수용가능한 수준까지 내림.
- 전가(transference) : 위험 관리 후 남은 위험인 잔여 위험을 보험등의 방법으로 전가.
- 수용(acceptance) : 통제가 불가능하기 때문에 모니터링. 일반적으로 기업이 아닌 국가, 전세계 단위에서 선택.
- 제거(eliminate) : 위험의 원인을 제거하고 방지. 기업에서는 불가능
- 위험을 무시하고 거부하는 것은 매우 치명적.

4-2. 위험 관리 프로세스
1. 정보 자산 식별과 가치산정
2. 정량적으로 위험 분석(risk analysis)
3. 세이프 가드(safe guard)

 

1. 정보자산 식별
- H/W, S/W, 데이터, 인력, 문서, 업무 자체 등등
- 자산에는 전통적인 사업자산(건물, 재고…)뿐 아니라 현금, 영업권, 이미지등 정량적 측정이 가능한 무형 자산도 포함.

- 비용대비 효과를 분석하고 적절한 세이프가드 결정을 위해 자산 가치가 필요
- 의무사항(Due care)을 충족하고 법적인 책임(responsibility)을 정하기 위해 필요.

- 자산 가치는 현재 상태로 다시 복원하는데 얼마나 필요한지를 분석해 결정

 

2. 위험분석
- 정보 자산의 위협, 취약성, 발생 가능성 등을 수치로 계산해 평가. 정보자산을 사용하는 전문가만 평가가 가능 
- 일반적인 위협 : 오류, 사기, 절도, 고장
- 취약성 : 위협이 해를 끼치는데 활용할 수 있는 정보 자산의 특징. 고요 위험(제거가 불가능)의 일부.
- 위협과 취약성을 통해 위험을 분석.

 

위험의 측정(자산의 가치 측정이 선행 된 경우에 측정 가능)

- 노출요소(EF : Exposure Factor)

  -> 발생한 위협이 자산에 끼칠 수 있는 손실 정도 (% 로 표시)
- 단일 손실 예상(SLE : Single Loss Expectancy) :

  -> 단일 위협으로 부터 발생한 손실 액수.  자산 가치 * EF = SLE

- 연간 발생 빈도(ARO : Annual Rate of Occurrence)

  -> 1년간 예상되는 위협의 발생 빈도.  ex) 100년에 한번 일어날 가능성 있는 사건의 ARO은 0.01
- 연간 손실 예상(ALE : Annual Loss Expectancy)
  -> 위협으로 발생하는 조직의 년간 예상 금전적 손실. SLE * ARO 
  -> ALE를 이용하는 경우 특정 통화나 자산의 중요성, 기간 등에대한 작성이 용이.

 

3. 세이프 가이드(통제)

- 취약성을 위험 허용 수준까지 감소시키기 위한 통제 수립
- 행위, 장치, 절차, 기법 등이 포함됨
- 통제의 강도는 효과성 측면에서 측정 되야 한다.
- 통제를 적절히 구현하지 않아서 발생한 실제 위협으로 인한 손해비용이 세이프가드 구현비용보다 크다면 기업은 법적인 책임을 진다. (우리나라는 무관함)

 

위험 관리 수준

- 운영(일상 업무) 수준에서 고려 사항
  -> IT 시스템과 지원 인프라의 비효율성
  -> 시스템 통제의 우회
  -> 핵심자원 손실 및 가용성
  -> 법규 미 준수

- 프로젝트 수준에서 고려 사항
  -> 프로젝트 복잡성
  -> 목표 미달성(실패)시 위험성
- 전략적 수준
  -> 비즈니스 전략과 IT역량의 연계성
  -> 경제 업체와의 IT역량
  -> 기술 변화로 인한 위협

- 위험관리 프로세스는 위협과 대책 사이에 비용적인 균형이 중요.

 

4-3. 위험 분석 기법

1. 정성적 분석 기법
- 위험 가능성과 영향을 유무, 또는 높낮이로 결과치를 도출하는 방법(등급으로 표현되기도 한다.)
- 분석 실무
  -> 델파이(Delphi) 기법, 브레인스토밍(brainstorming)
  -> 포커스 그룹(Focus groups)에 대한 인터뷰, 설문, 점검표
  -> 일대일 미팅이나 면접

 

2. 정량적 분석 기법
- IS 구성과 손실에 대한 화폐적 가치를 부여하는것

- 다량의 정보와 복잡한 계산이 필요하며 자동화 될 수 있다.
- 위험의 가능성과 영향을 수치로 환산하는 방법
- 가장 대표적인 것이 ALE

 

5. 보안 훈련과 교육

5-1. 보안 훈련과 교육

보안 체인에서 가장 취약한 고리 : 사람
- 보안에 대한 인식과 교육의 부재

- 사회공학적(컴퓨터를 이용하지 않음)인 공격의 대상(뚜렷한 방지법이 없음) 

 

보안 인식교육의 세가지 중심
- 인식
- 훈련
- 교육

 

1. 인식
- 보안 통제의 중요성에 대한 직원들의 일반적이고 집단적인 의식
- 보안이 기업의 생존력에 어떤 영향을 끼치는지, 컴퓨터 자원에 대해 이해했다면 보안의식을 가진다고 말할 수 있다.
- 보안 인식 장점
  -> 통제 효율성의 증가
  -> 자원의 오남용 감소
  -> 비허가된 돌발 행동 감소

 

2. 훈련과 교육

- 기업내 채택된 정책 표준 가이드라인에 대해 철저한 교육이 필요
- 민감하거나 중요한 데이터를 취급하는 직원에게 특히 중요 
- 교육은 보안의 이유에 대해서 기업의 보안상의 환경을 이해시키는 것(why)이 목적이다.
- 훈련은 보안상의 여러 사건에 대해서 대처능력을 갖도록 하는 것(how)으로 기술을 숙련되도록 시간과 노력을 제공

 

효과 측정

- 인터뷰, 설문

- 보안 위반 건수의 측정

  -> 사람들이 위반 가능성이 있다고 신고하는 것

  -> 보안 교육이 잘 되어 있을수록 보안 위반 건수가 증가

- 준거성 및 실증 test