방법론은 특정 작업이나 기능의 달성 또는 실행을 위한 특정 관행, 프로세스 및 규칙을 나타내는 대상 빌드입니다. 다음과 같은 정보 시스템 보안을 위한 몇 가지 방법론이 있습니다 -
INFOSEC 평가 방법론(IAM) − 그 목적은 자동화된 정보 시스템의 INFOSEC 위치 조사를 위한 일관된 제어로 사용할 수 있는 방법을 제공하는 것입니다. IAM은 가능한 취약성을 인식하기 위해 지정된 운영 시스템에 대한 높은 수준의 평가를 제공하는 데 집중합니다.
IAM은 사전 평가, 현장 활동 및 사후 평가의 3단계로 세분화됩니다. 사전 평가 단계는 사용자 요구에 대한 일반적인 인식을 구축하고, 대상 시스템을 정의하고, 평가를 위한 참여 규칙을 제정하기 위해 제안됩니다. 사전 평가는 서면 측정 계획을 통해 달성합니다.
현장 활동 세그먼트는 사전 평가 단계의 효과를 생성하고 이러한 효과를 검증하며 더 많은 데이터 조립 및 검증을 수행한다는 점에서 IAM의 기본 추진력을 보여줍니다.
INFOSEC 평가 방법론(IEM) − 그 목적은 기술적으로 시스템의 취약성을 평가하는 기술을 제공하고 해당 시스템의 실제 INFOSEC 설계를 합법화하는 것입니다. IEM은 IA-CMM 프레임워크 전체에 적합하지만 "취약점 발견 트라이어드"의 레벨 2를 대상으로 하는 IAM에 대한 호위 방법론입니다.
IAM과 IEM의 차이점은 IEM이 해당 시스템의 문서 가능한 취약성에 대한 IAM의 결과에 대해 취약성의 실제 존재를 인증하기 위해 시스템의 실제 직접 평가를 구현한다는 것입니다.
IEM은 사전 평가, 현장 평가, 사후 평가의 3단계로 구분됩니다. 사전 평가 단계는 IAM 사전 평가 문서를 입력으로 사용한 다음 목표에 따른 시스템의 기술 평가를 수행하기 위한 참여 규정을 조정하는 것으로 시작됩니다. 이 단계는 기술 평가 계획과 함께 제거됩니다.
그런 다음 IEM의 현장 단계에서는 다양한 발견, 스캔 및 평가를 구현하는 실습 기술 작업의 규모를 보여줍니다. 모든 결과는 효율성을 위해 물리적으로 검증되었습니다.
마지막으로 사후 평가 단계에서는 생성된 모든 데이터를 가져와 결과, 제안 및 보안 로드맵을 자세히 설명하는 최종 문서에 넣음으로써 IAM과 동일한 방식으로 방법론을 달성합니다.
보안 사고 정책 집행 시스템(SIPES) − 그 목적은 보안 사고 정책 집행 시스템을 정의하고 구현하기 위한 방법론을 제공하는 것입니다. 이 방법론은 완전성을 위해 준비되었습니다.
SIPES(Security Incident Policy Enforcement System) 초안은 사고 대응 관리의 복잡성을 처리하는 비교적 추상적인 방법을 보여줍니다. 이 백서는 실패 내부 IT 시스템의 정의를 상충하는 것으로 시작하여 "상태 저장" 방법론을 구성하는 것으로 진행됩니다.