---
## 1. 보안 컨설팅 개요 및 구분
보안 컨설팅은 조직의 정보 자산을 보호하기 위해 **위험 요소를 분석**하고, 법적/기술적 **대응 방안을 제시**하는 전문 서비스입니다.
### 🛡️ 주요 구분 (컨설팅 영역)
| 구분 | 주요 내용 |
| --- | --- |
| **관리/인증 컨설팅** | ISMS-P, ISO 27001 등 보안 인증 획득을 위한 정책 수립 및 체계 구축 |
| **기술 취약점 진단** | 서버, 네트워크, DB, 보안 장비의 설정 오류 및 기술적 약점 분석 |
| **모의 해킹** | 실제 해커의 관점에서 시스템 침투를 시도하여 보안 구멍을 식별 |
| **애플리케이션 진단** | 웹(Web) 및 모바일 앱(App) 소스코드와 비즈니스 로직의 취약점 분석 |
| **개인정보 컨설팅** | 개인정보 영향평가(PIA) 및 개인정보 처리 단계별 법적 준거성 검토 |
---
## 2. CSAP (클라우드 서비스 보안인증)
공공기관에 클라우드 서비스를 제공하려는 민간 기업이 반드시 획득해야 하는 인증입니다. 2023년부터 **상·중·하 등급제**가 도입되었습니다.
### ☁️ 등급별 특징 및 14개 인증 분야
현재 CSAP는 서비스의 중요도에 따라 등급을 나누며, **하위 등급(Low Tier)**의 경우 14개 분야의 통제 항목을 준수해야 합니다.
**[ CSAP 14개 보안 통제 분야 ]**
1. 정보보호 정책 / 2. 정보보호 조직 / 3. 외부자 보안 / 4. 자산 관리 / 5. 인적 보안 / 6. 물리적 보안 / 7. 가상화 보안 / 8. 네트워크 보안 / 9. 데이터 보호 및 암호화 / 10. 운영 보안 / 11. 접근 통제 / 12. 시스템 도입 및 개발 보안 / 13. 서비스 연속성 관리 / 14. 침해사고 관리
> **💡 핵심 포인트:** 등급에 따라 **논리적 분리(소프트웨어적 격리)** 또는 **물리적 분리(하드웨어적 격리)** 요건이 달라지며, 하위 등급은 비교적 완화된 기준을 적용받습니다.
---
## 3. ISMS-P 영역 1: 관리체계 수립 및 운영 (16개 항목)
ISMS-P의 가장 첫 번째 영역이자, 보안의 '뼈대'를 만드는 과정입니다. 총 **4개 분야, 16개 인증기준**으로 구성됩니다.
### 📋 1.1 관리체계 기반 마련 (6개)
* **1.1.1 경영진의 참여:** 최고경영자의 의사결정 참여 및 보고 체계 수립
* **1.1.2 최고책임자의 지정:** CISO, CPO 등 보안 책임자 임명 및 신고
* **1.1.3 조직 구성:** 전사적 보안 위원회 및 실무 조직 구성
* **1.1.4 범위 설정:** 인증 범위(자산, 인력, 시스템 등) 확정 및 문서화
* **1.1.5 정책 수립:** 보안 정책 및 지침서 작성과 경영진 승인
* **1.1.6 자원 할당:** 보안 예산과 인력의 적정성 확보
### 📋 1.2 위험 관리 (4개)
* **1.2.1 정보자산 식별:** 관리 대상 자산 목록 현행화
* **1.2.2 현황 및 흐름 분석:** 서비스 흐름 및 개인정보 흐름도 작성
* **1.2.3 위험 평가:** 자산의 취약점과 위협을 분석하여 위험도 산출
* **1.2.4 보호대책 선정:** 수용할 수 없는 위험에 대한 대응 전략 수립
### 📋 1.3 관리체계 운영 (3개)
* **1.3.1 보호대책 구현:** 선정된 대책을 실제 시스템 및 업무에 적용
* **1.3.2 보호대책 공유:** 담당자 교육 및 관련 부서와의 정보 공유
* **1.3.3 운영현황 관리:** 일일·주간·월간 보안 활동 증적 기록
### 📋 1.4 관리체계 점검 및 개선 (3개)
* **1.4.1 법적 요구사항 준수 검토:** 최신 법령 위반 여부 상시 확인
* **1.4.2 관리체계 점검:** 내부 감사를 통해 미비점 발견
* **1.4.3 개선 및 이행:** 발견된 결함에 대한 조치 결과 확인
---
