728x90
반응형
SMALL
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 |
||
| 2.1 정책,조직,자산 | 정 – 정조자 | 2.1.1 정책의 유지관리 2.1.2 조직의 유지관리 2.1.3 정보자산 관리 |
| 2.2 인적보안 | 인 – 직분서인퇴위 | 2.2.1 주요 직무자 지정 및 관리 2.2.2 직무 분리 2.2.3 보안 서약 2.2.4 인식제고 및 교육훈련 2.2.5 퇴직 및 직무변경 관리 2.2.6 보안 위반 시 조치 |
| 2.3 외부자보안 | 외 – 현계보변 | 2.3.1 외부자 현황 관리 2.3.2 외부자 계약 시 보안 2.3.3 외부자 보안 이행 관리 2.3.4 외부자 계약 변경 및 만료시 보안 |
| 2.4 물리보안 | 물 – 구출정설작반업 | 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 |
| 2.5 인증및 권한관리 | 인 – 계식인비특접 | 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 |
| 2.6 접근통제 | 접 – 네정응데무원인 | 2.6.1 네트워크 접근 2.6.2 정보시스템 접근 2.6.3 응용프로그램 접근 2.6.4 데이터베이스 접근 2.6.5 무선 네트워크 접근 2.6.6 원격접근 통제 2.6.7 인터넷 접속 통제 |
| 2.7 암호화적용 | 암 – 정키 | 2.7.1 암호정책 적용 2.7.2 암호키 관리 |
| 2.8 정보시스템 도입및개발보안 | 정 – 요검시데소운 | 2.8.1 보안 요구사항 정의 2.8.2 보안 요구사항 검토 및 시험 2.8.3 시험과 운영환경 분리 2.8.4 시험 데이터 보안 2.8.5 소스 프로그램 관리 2.8.6 운영환경 이관 |
| 2.9 시스템 및 서비스 운영관리 | 운 – 변성 백로 점시재 | 2.9.1 변경관리 2.9.2 성능 및 장애관리 2.9.3 백업 및 복구관리 2.9.4 로그 및 접속기록 관리 2.9.5 로그 및 접속기록 점검 2.9.6 시간 동기화 2.9,.7 정보자산 재사용 및 폐기 |
| 2.10 시스템 및 서비스 보안관리 | 보 – 보클 공거전 업보 패악 | 2.10.1 보안시스템 운영 2.10.2 클라우드 보안 2.10.3 공개서버 보안 2.10.4 전자거래 및 핀테그 보안 2.10.5 정보전송 보안 2.10.6 업무용 단말기 보안 2.10.7 보조저장매체 관리 2.10.8 패치관리 2.10.9 악성코드 통제 |
| 2.11 사고예방 및 대응 | 사 – 체취이훈대 | 2.11.1 사고예방 및 대응체계 구축 2.11.2 취약점 점검 및 조치 2.11.3 이상행위 분석 및 모니터링 2.11.4 사고대응훈련 및 개선 2.11.5 사고대응 및 복구 |
| 2.12 재해복구 | 재 – 안시 | 2.12.1 재해.재난 대비 안전조치 2.12.2 재해 복구 시험 및 개선 |
2.9 시스템 및 서비스 운영관리 (변성 백로 점시재)
| 항목 | 설명 및 사례 | keyword |
| 2.9.1 변경관리 | •정보시스템자산의 모든 변경내역을 관리하는 절차 수립.이행 •변경전에 영향도 분석 실시 예) 신규장비 도입시 공식적인 절차 준수해야함 |
변경 절차, 변경 전 영향 분석 |
| 2.9.2 성능 및 장애관리 | •가용성보장을 위해 성능,용량 모니터링 절차수립.이행 : 성능및 용량관리 대상식별 -> 성능요구사항(임계치) 정의 -> 초과 여부를 모니터링할수 있는 방안 수립 •임계치 초과시 대응절차 수립 및 이행 •장애발생시 대응절차 수립 (비상연락망) •장애발생시 절차에 따라 조치하고 장애조치내역을 기록.관리한다. •심각도가 높은 장애에 대해서는 재발방지책 수립 |
성능 및 용량 모니터링 절차, 초과 시 대응절차, 장애 대응절차, 장애조치 기록, 재발방지대책 |
| 2.9.3 백업 및 복구관리 | •백업및 복구절차 수립.이행 •정기적인 복구 테스트 •중요백업매체는 물리적으로 떨어진 장소에 소산 ※ 주요 백업 대상 (예시) ㆍ중요정보(개인정보, 기밀정보 등) ㆍ중요 데이터베이스 ㆍ각종 로그(정보시스템 감사로그, 이벤트로그, 보안시스템 이벤트로그) ㆍ환경설정 파일 등 |
백업 및 복구절차 (대상,주기,방법,절차), 복구테스트, 중요정보 저장 백업매체 소산 |
| 2.9.4 로그 및 접속기록 관리 | •로그관리절차 수립하고 로그를 셍성,보관 •로그기록은 별도 백업 •접속기록은 법적준수를 위해 일정기간 보관 *개인정보보호법 - 접속기록 : 최소 1년 이상 - 다만, 5만명이상이거나 고유식별정보,민감정보 처리시 2년 이상 보관 *정통망법 - 접속기록 : 최소 1년 이상 보관 - 단 기간통신사업자는 최소 2년 이상 보관 ▶ 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목 • 계정 또는 식별자 : 개인정보취급자 아이디 등 • 접속일시 : 접속 날짜 및 시분초 • 접속지 정보 : 접속자 IP주소 등 • 수행업무 : 개인정보 조회, 변경, 입력, 삭제, 다운로드 등 ▶ 접속기록의 안전한 보관방법 (예시) • 물리적으로 분리된 별도의 저장장치에 백업 보관 • DVD, WORM Disk 등 덮어쓰기가 방지된 저장매체에 보존 등 |
관리 절차, 생성 보관, 별도 저장장치 백업, 로그 접근권한 최소화, 개처시 접속기록 |
| 2.9.5 로그 및 접속기록 점검 | •이상접속, 이상행위에 대한 모니터링,알림정책 수립 •접속기록 점검주기 - 월1회 이상 (개인정보법,정통망법 동일) ① 정보시스템 관련 오류, 오․남용(비인가접속, 과다조회 등), 부정행위 등 이상 징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립․이행하여야 한다 ② 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하여야 한다. ③ 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하여야 한다. (월1회이상) |
로그 검토기준 (비인가 접속, 과다조회), 주기적 점검, 문제 발생 시 사후조치 |
| 2.9.6 시간 동기화 | •표준시간으로 동기화 •주기적 점검 및 문제시 대응절차 |
정보시스템 시간 동기화, 주기적 점검 |
| 2.9.7 정보자산의 재사용및 폐기 | •정보자산 재사용 및 폐기 절차수립 •폐기시에는 복원이 불가능하도록 처리 - 복원이 불가능한 방법이란 현재의 기술수준에서 사회통념상 적정한 비용으로 복원이 불가능하게 하는 조치 : 완전파괴 (소각,파쇄) 전용소자장비 (디가우저) 초기화 또는 덮어쓰기 •폐기이력 관리 |
재사용 및 폐기 절차, 복구 불가 방법, 폐기이력 및 증적, 폐기절차 계약서, 교체 복구시 대책 |
2.10 시스템 및 서비스 보안관리 (보클 공거전 업보 패악)
| 항목 | 설명 및 사례 | keyword |
| 2.10.1 보안시스템 운영 | •보안시스템에 대한 운영절차 수립.이행 •비인가의 접근통제 •정책의 신규등록,변경,삭제를 위한 공식적인 절차 •예외정책등록에 대한 절차, 최소한의 권한 •정책의 타당성여부의 주기적 검토 •법령에서 정한 기능을 수행하는 보안시스템의 설치 * 방화벽 정책 관련 1 : 침입차단시스템(IPS) 보안정책에 대한 정기 검토가 수행되지 않아 불필 요하거나 과도하게 허용된 정책이 다수 존재하는 경우 2 : 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우 3 : 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절 히 이행되고 있지 않은 경우 4 : 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록 ․보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인 시스템 의 보안정책이 상이한 경우 기타 : 방화벽 정책 설정시 이에 대한 절차가 없어 장비 담당자가 임의로 정 책을 설정하는 경우 |
운영절차, 접근인원 최소화, 정책 변경절차, 예외 최소화, 정책 타당성 검토 보안정책 정기검토 보안정책 신청,변경 절차/기준 보안시스템 관리자 지정 감독 보안정책 변경이력 기록/보관 |
| 2.10.2 클라우드 보안 | •클라우스 서비스 제공자의 정보보호에 대한 역할과 책임을 SLA에 반영 사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우 사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우 사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지 않고 등록․변경된 접근제어 룰이 다수 발견된 경우 사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통해 공개되어 있는 경우 기타 : 클라우드 서비스에 대한 보안설정 변경이력을 별도로 검토한 증적이 없는 경우 |
CSP R&R SLA 반영, 이용시 보안 통제 정책수립·이행, 관리자권한 보호대책, 정기적 검토 |
| 2.10.3 공개서버 보안 | •웹서버등 공개서버를 운영하는 경우 보호대책 수립 •공개서버는 DMZ영역에 설치, 내부와 차단 •공개서버에 개인정보 게시,저장시 승인등 게시절차 •중요정보가 웹서버를 통해 노출되는지 주기적 검사 - 공개된 웹사이트(홈페이지), 게시판등 웹프로그램 |
공개서버 보호대책, DMZ에 설치, 보안시스템 통해 보호, 게시 저장 시 절차, 노출 확인 및차단 |
| 2.10.4 전자거래 및 핀테크 보안 | •결제시스템 연계시 보호대책 수립 - 전자결재대행업체와 연계시 |
전자거래 및 핀테크 보호대책, 연계 시 송수신 정보 보호대책 |
| 2.10.5 정보전송 보안 | •외부조직에 개인정보및 중요정보 전송시 안전한 정책 •조직간 상호교환시 안전한 전송을 위한 보호대책 - 정보전송기술표준 정의 예)법규준수를 위해 주기적으로 금융감독원에 개인정보를 전송하면서 외부기관별 연계시기,방식,담당자및 책임자, 연계정보, 법적근거 등에 대한 현황관리가 적절히 이루어지고 있지 않은 경우 |
외부에 개인정보 전송 정책 수립, 조직 간 개인정보 상호교환 시 협약체결 등 보호대책 |
| 2.10.6 업무용 단말기 보안 | •업무용 단말기(PC,노트북,태블릿)에 대한 통제절차(기기인증,승인) •업무용 단말기에 자료공유프로그램 금지, 공유폴더금지 •업무용 모바일 단말기의 분실,도난에대한 보안대책 (MDM) •업무용 단말기에 대한 통제정책의 주기적 점검 |
업무용 단말기 접근통제 정책, 공유 시 DLP 정책, 분실 시 DLP 대책, 주기적 점검 |
| 2.10.7 보조저장매체 관리 | •외장하드USB,CD등 보조저장매체 취급,보관,폐기, 재사용 절차 •통제구역등에서 보조저장매체 사용 제한 •개인정보가 포함된 보조저장매체는 잠금장치가 있는 안전한 장소에 보관 사례 1 : 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인절차를 준수하지 않고 보조 저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리 실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장 의 현행화가 미흡한 경우 사례 2 : 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소 에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우 사례 4 : 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한 쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않는 경우 (공용PC라고 해서 2.4.7 업무환경보안 은 아님, 매체반입 이라고해서 2.4.6 반출입기기통제 아님.) |
보조저장매체 취급 정책, 주기적 점검, 통제구역 사용 제한, 악성코드 및 DLP 대책, 보관 |
| 2.10.8 패치관리 | •OS패치가 장기간 적용안되고 있는 경우 •지원이 종료된 EOS 버전을 사용중이거나 •주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다 |
패치관리 정책, 패치현황 관리, 불가시 보완대책, 인터넷 패치 제한, PMS 보호대책 |
| 2.10.9 악성코드 통제 | •내부망PC에 대해서는 백신업데이트가 되지 않았다 •일부임직원의 PC에서 백신의 실시간 검사를 해제 •일부임직원이 도박사이트에 접속하여 악성코드에 감염되었으나 별도 현황파악및 조치를 안했다. •백신 패턴 배포시 무결성 검증을 하지않아 악의적인 행위자에 의해 위변조되었다. |
악성코드 보호대책, 예방탐지 활동, 보안프로그램 최신상태 유지, 감염 시 대응절차 |
2.11 사고예방 및 대응 (체취이훈대)
| 항목 | 설명 및 사례 | keyword |
| 2.11.1 사고예방및 대응체계구축 | •침해사고에 대비한 대응조직및 대응 절차 수립 •보완관제서비스와 계약시 침해사고 대응관련 내용이 누락되어 있는 경우 (SLA에 누락) •비상연락망이 현행화되어있지 않은 경우 (대응조직도, 대외협조기관 연락처 현행화) •침해사고 대응 7단계 1단계 : 사고 전 준비 2단계 : 사고 탐지 3단계 : 초기 대응 4단계 : 대응 전략 체계화 - 최적의 전략을 결정하고 관리자의 승인을 획득, 초기조사결과를 참고하여 소송이 필요한 사항인지 결정 하여 사고조사과정에 수사기관 공조여부 판단. 5단계 : 사고 조사 6단계 : 보고서 작성 7단계 : 해결 |
사고대응체계, 외부기관 침해사고 대응절차 계약서 반영, 외부기관 협조체계 수립 |
| 2.11.2 취약점 점검 및 조치 | •취약점 점검절차 수립 - 모의침투테스트, 연1회 이상 취약점 점검 실시 •최신 보안취약점 발생여부 지속적 파악 •취약점 점검 이력 기록 관리. |
점검 절차 수립 및 정기적 점검, 결과 보고, 최신 보안취약점, 취약점 점검 이력 기록관리 |
| 2.11.3 이상행위 분석및 모니터링 | •임계치를 초과하는 이상 트래픽 대응 * 침해시도를 인지할 수 있는 모니터링 체계 수립 * 외부보완관제업체의 침해시도 모니터링 보고서를 검토한 이력이 없는 경우 * 이상트래픽이 지속적으로 발생하나 조치를 안취함. |
내외부 침해시도, 개인정보 유출시도, 부정행위 모니터링, 임계치 정의 및 이상행위 판단 |
| 2.11.4 사고대응훈련 및 개선 | •모의훈련을 연1회 이상 실시 * 모의훈련 했으나 보고서를 작성안함 * 대응훈련을 계획했으나 수행하지 않은 경우 |
모의훈련 계획수립, 모의훈련 연1회 실시, 대응체계 개선 |
| 2.11.5 사고대응 및 복구 | *개인정보 유출시 정보주체에게 알려야할 사항 * 개인정보보호법 - 1.유출된 개인정보의 항목 2.유출된 시점과 그 경위 3.피해를 최소화하기 위해 정보주체가 할수 있는 방법 4. 개인정보처리자의 대응조치 및 피해 구제절차 5.담당부서 및 연락처 정보통신망법 - 1. 유출된 개인정보 항목 2. 유출등이 발생한 시점 3. 이용자가 취할 수 있는 조치 4. 정보통신제공자의 대응조치 5. 부서및 연락처 *개인정보 유출 신고 기준 * 구분 개인정보법 정통망법 신고대상건수 1천명이상 개인정보 유출시 유출건수 무관 신고시점 지체없이(5일이내) 정당한 사유가 없는한 그사실 을 안날부터 24시간이내 신고기관 행안부 or KISA 방통위 or KISA 신고방법 전자우편,팩스,인터넷사이트를 통해 유출사고 신고 및 신고서제출, 시간적여유가 없거나 특별한 사정이 있는 경우 전화를 통하여 통지내용 신고후 유출신고서를 제출할 수 있음. 홈페이지 7일 이상 게재 30일이상 게재 ★위는 신고기준이고 1명이라도 유출되면 정보주체에게 통지해야 한다. 구체적인 유출내용을 확인 못한 경우 일단 정보주체에게 먼저 통지한 후 나중에 추가 확인된 사항을 알려줄수 있다. |
사고 인지 시 대응 및 보고, 정보주체 통지 및 관계기관 신고, 종결 후 공유, 재발방지대책 |
2.12 재해복구 (안시)
| 항목 | 설명 및 사례 | keyword |
| 2.12.1 재해.재난 대비 안전조치 | •연속성을 위협할 수 있는 IT재해유형 식별하고 영향도 분석하여 핵심IT서비스 및 시스템을 식별 •복구목표시간(RTO), 복구목표시점(RPO) 정의 •재해복구계획 수립.이행 (BCP) 예)재해복구절차서에 비상연락망이 누락 예)재해복구정책에 백업센터를 활용한 재해복구절차 등이 수립되어 있지 않아 재해복구시험 및 복구가 효과적으로 진행되기 어려운 경우 예)중요시스템에대한 복구목표시간이 정의되어 있지 않은 경우 |
IT재해유형 식별, 영향 분석, 핵심 IT서비스 및 시스템 식별, RTO, RPO 정의, BCP |
| 2.12.2 재해 복구 시험 및 개선 | ① 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험 및 훈련 계획을 수립 ․이행하고 있는가? ② 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토․보완하고 있는가? |
BCP 수립·이행, 복구전략 및 대책 정기적 검토·보완 |
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3) (0) | 2021.01.15 |
|---|---|
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3) (0) | 2021.01.13 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3) (0) | 2021.01.07 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (1/3) (0) | 2021.01.06 |
| ISMS-P 인증기준 - 1. 관리체계 수립 및 운영 (0) | 2021.01.06 |