728x90
반응형
SMALL
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 |
||
| 2.1 정책,조직,자산 | 정 – 정조자 | 2.1.1 정책의 유지관리 2.1.2 조직의 유지관리 2.1.3 정보자산 관리 |
| 2.2 인적보안 | 인 – 직분서인퇴위 | 2.2.1 주요 직무자 지정 및 관리 2.2.2 직무 분리 2.2.3 보안 서약 2.2.4 인식제고 및 교육훈련 2.2.5 퇴직 및 직무변경 관리 2.2.6 보안 위반 시 조치 |
| 2.3 외부자보안 | 외 – 현계보변 | 2.3.1 외부자 현황 관리 2.3.2 외부자 계약 시 보안 2.3.3 외부자 보안 이행 관리 2.3.4 외부자 계약 변경 및 만료시 보안 |
| 2.4 물리보안 | 물 – 구출정설작반업 | 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 |
| 2.5 인증및 권한관리 | 인 – 계식인비특접 | 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 |
| 2.6 접근통제 | 접 – 네정응데무원인 | 2.6.1 네트워크 접근 2.6.2 정보시스템 접근 2.6.3 응용프로그램 접근 2.6.4 데이터베이스 접근 2.6.5 무선 네트워크 접근 2.6.6 원격접근 통제 2.6.7 인터넷 접속 통제 |
| 2.7 암호화적용 | 암 – 정키 | 2.7.1 암호정책 적용 2.7.2 암호키 관리 |
| 2.8 정보시스템 도입및개발보안 | 정 – 요검시데소운 | 2.8.1 보안 요구사항 정의 2.8.2 보안 요구사항 검토 및 시험 2.8.3 시험과 운영환경 분리 2.8.4 시험 데이터 보안 2.8.5 소스 프로그램 관리 2.8.6 운영환경 이관 |
| 2.9 시스템 및 서비스 운영관리 | 운 – 변성 백로 점시재 | 2.9.1 변경관리 2.9.2 성능 및 장애관리 2.9.3 백업 및 복구관리 2.9.4 로그 및 접속기록 관리 2.9.5 로그 및 접속기록 점검 2.9.6 시간 동기화 2.9,.7 정보자산 재사용 및 폐기 |
| 2.10 시스템 및 서비스 보안관리 | 보 – 보클 공거전 업보 패악 | 2.10.1 보안시스템 운영 2.10.2 클라우드 보안 2.10.3 공개서버 보안 2.10.4 전자거래 및 핀테그 보안 2.10.5 정보전송 보안 2.10.6 업무용 단말기 보안 2.10.7 보조저장매체 관리 2.10.8 패치관리 2.10.9 악성코드 통제 |
| 2.11 사고예방 및 대응 | 사 – 체취이훈대 | 2.11.1 사고예방 및 대응체계 구축 2.11.2 취약점 점검 및 조치 2.11.3 이상행위 분석 및 모니터링 2.11.4 사고대응훈련 및 개선 2.11.5 사고대응 및 복구 |
| 2.12 재해복구 | 재 – 안시 | 2.12.1 재해.재난 대비 안전조치 2.12.2 재해 복구 시험 및 개선 |
2.1 정책,조직,자산 (정조자)
| 항목 | 설명 및 사례 | keyword |
| 2.1.1 정책의 유지관리 | •정책과 시행문서에 대한 정기적인 타당성 검토하고 •필요시 재.개정하고 재.개정 시 이해관계자 승인 •재개정에 대한 이력관리 * 정책과 시행문서간의 일관성 결여 예) 지침서와 절차서간의 패스워드 설정규칙이 상이 예) DB접근통제솔루션을 신규로 도입했으나 내부보안지침서에 별도의 접근통제사항을 반영하지 않음 (대내외 환경변화를 정책에 반영하지 않음) 예) 정책을 개정했으나 시행기준일을 명시하지 않음 예) 변경된 개인정보보호법 내용을 정책에 반영안함. |
타당성 검토, 환경 변화 제개정, 이해관계자 검토, 이력관리 |
| 2.1.2 조직의 유지관리 (역평의명) |
•구성원의 ①역할과 책임할당, ②평가체계 ,③의사소통 체계 ④명시 ① 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려 하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의하여야 한다. ② 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다 (KPI, MBO 주기적 체크) ③ 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립․이행하여야 한다 < 정보보호 최고책임자 업무 > (정취 침대보 암) -. 정보보호 관리체계 수립및 운영,관리 -. 정보보호 취약점 분석 및 평가,개선 -. 침해사고 예방 및 대응 -. 사전 정보보호대책 마련및 보안조치 설계,구현 -. 정보보호 사전 보안성 검토 -. 중요정보 암호화 및 보안서버의 적합성 검토 |
담당자 R&R, 평가(MBO, KPI), 의사소통체계 (주간보고,게시판) |
| 2.1.3 정보자산 관리 (보안등급표시, 담당자&책임자, 취급절차) |
•보안등급 ,자산목록 현행화, 정보자산별 담당자 - 식별된 자산에 대해서 보호대책 수립하고 - 책임자 및 관리자 지정 * 자산을 식별했으나 보안대응을 하지 않은 경우 * 지침서에는 보안등급을 표시한다고 했으나 실제 보안등급이 표시되어 있지 않은 문서가 발견됨 * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미하고, 2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 있는가를 체크하는 것을 말한다. - 정보자산의 보안등급에 따른 취급절차(생성․도입, 저장, 이용, 파기 등) 를 정의하고 이에 따라 암호화, 접근통제 등 적절한 보호대책을 정의 하고 이행하여야 한다. - 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리․운영하는 책임자 , 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다. |
보안등급 취급절차, 책임자 |
2.2 인적보안 (직분서인퇴위)
| 항목 | 설명 및 사례 | keyword |
| 2.2.1 주요 직무자 지정 및 관리 | •주요직무자명단, 퇴사한 임직원 포함 ,과다한 주요직무자 ① 개인정보및 중요정보의 취급, 주요시스템 접근 등 주요 직무의 기준 을 명확히 정의. ② 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다 ③ 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록 을 관리하여야 한다 (※ 개인정보취급자의 정의 ㆍ임직원, 파견근로자, 시간제근로자 등 개인정보취급자의 지휘․ 감독을 받아 개인정보를 처리하는 자) ④ 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화 하는 등 관리방안을 수립․이행하여 야 한다. 예)직무자명단에 DBA가 누락 예)퇴사한 직원이 개인정보취급자 목록에 포함되어 현행화가 안되어 있는 경우 예) 부서단위로 개인정보 취급자 권한을 부여하고있어 필요가 없는 인원에게까지 취급자 직무자로 지정 예)주요 직무자 지정시 보안팀의 승인을 받아 보안서약서를 징구하도 록 되어있으나 보안팀 승인없이 직무자권한을 부여 |
기준, 지정, 최신 , 개인정보취급자 , 최소화 |
| 2.2.2 직무 분리 | •직무분리기준 수립 •직무분리가 어려운 경우 직무자간 상호검토, 책임추적성 확보등 보완통제 마련 ① 권한 오․남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용 하여야 한다. ② 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다 |
기준, 보완통제(상호검토, 상위관리자 승인, 개인계정,로그감사) |
| 2.2.3 보안 서약 | •임직원 ①채용시, 외부자에게 ②권한부여시, ③퇴사하는 경우에 각각 보안서약서 받음 * 주의할것은 외부업체에 대한 보안결함은 2.3.2 외부자 계약시 보안에 해당된다. 예) 외주계약시 계약서에 비밀유지에 대한 내용만 있고 개인정보보호에 대한 내용은 없다. -> 2.2.3 보안서약이 아닌 2.3.2 외부자계약시보안 결함이다 |
채용, 퇴직, 외부자, 보관 |
| 2.2.4 인식제고 및 교육훈련 | •개인정보보호관련 교육계획 •관리체계범위내 모든 임직원과 외부자가 교육대상임 (전산실출입청소원,경비원,외주개발자까지도 대상) •단, 외부업체에 대해서는 직접교육이 아니라 그 업체에서 교육을 하고 있는지만 관리.감독하면 된다. |
계획, 승인, 연1회, 직무자 별도, 평가 |
| 2.2.5 퇴직 및 직무변경 관리 | •퇴직 및 직무변경시 정보자산반납,접근권한회수.조정 처리및 결과확인 시스템간 계정정보 동기화 ① 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사 부서, 정보보호및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 간에 공유되고 있는가? ② 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무 변경 시 지체 없는 정보자산 반납, 접근권한 회수 ․조정, 결과 확인 등의 절차를 수립 ․ 이행하고 있는가? |
인사변경 공유, 반납&회수&확인 |
| 2.2.6 보안 위반 시 조치 | •위반자에 대한 처리기준수립 및 조치수행 인사규정, 위반자징계내역, 사고사례전파 |
처벌규정, 적발 시 절차 수행 |
2.3 외부자보안 (현계보변)
| 항목 | 설명 및 사례 | keyword |
| 2.3.1 외부자 현황 관리 | •외부 위탁 및 서비스 사용현황 목록 •내부시스템을 외부 클라우드로 이전시 식별 및 위험 평가수행 |
위탁 업무/시설/서비스 식별, 위험관리(파악, 보호대책) |
| 2.3.2 외부자 계약 시 보안 | 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야한다. •위탁 계약서에 정보보호관련 요구사항 명시 * 위탁문서에 포함되어야 할 사항 7개 (금기 목재 안감배) ① 위탁업무 수행목적외 개인정보처리 금지 ② 개인정보의 기술적.관리적 보호조치에 관한 사항 ③ 위탁업무의 목적 및 범위 ④ 재위탁 제한에 관한 사항 ⑤ 개인정보접근에 대한 안정성 확보조치 사항 ⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 ⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 |
위탁업체 역량, 계약서(업무요건, 개발요건) |
| 2.3.3 외부자 보안 이행 관리 | •외부자 보호대책의 이행여부 주기적 점검 •점검시 발견된 문제점에 대한 개선계획 수립.이해 •재위탁시 승인 받았는지 |
점검&감사, 개선계획, 재위탁 시 승인 |
| 2.3.4 외부자 계약 변경 및 만료 시 보안 | •외부자 계약만료 및 담당자 변경 시 - 정보자산반납,접근계정삭제,중요정보파기,비밀유지 확약서 징구 - 외부자가 중요정보,개인정보 보유여부 확인 및 폐기,회수절차가 있는지 |
회수(자산, 계정, 권한), 서약서, 파기 |
2.4 물리보안 (구출정설작반업)
| 항목 | 설명 및 사례 | keyword |
| 2.4.1 보호구역 지정 | •물리적보호구역 지정 - 접견구역 < 제한구역 < 통제구역 •보호구역별 보호대책 마련 |
기준(통제, 제한, 접견), 대책 |
| 2.4.2 출입통제 | •물리적보호구역에 대한 출입통제절차를 마련하고, 출입가능 인원현황 을 관리하며, 출입기록,접근기록을 주기적으로 점검하여 책임추적성을 확보한다. (출입대장) |
출입 통제 절차, 출입 기록 점검 |
| 2.4.3 정보시스템 보호 | •정보시스템을 전산랙,케이지등을 이용해서 분리 배치 •배치도 구비 (랙실장도 최신화.현행화) •전력및 통신케이블 보호 - 물리적 분리 배치 - 케이블,통신,전력 보호 : 랙 실장도 * 랙실장도에만 누락된 경우 |
배치, 배치도(서버, 랙), 케이블(전력, 통신) |
| 2.4.4 보호설비 운영 | •화재,수해,정전 등에 대비한 보호설비 운영 - 항온항습기,UPS,소화기,CCTV,누수감지기,비상등 •IDC에 위탁시 계약서에 보호설비 명시 |
보호설비(항온항습, 화재감지,소화, 누수, UPS, 발전기, 이중전원), IDC 계약서&검토 |
| 2.4.5 보호구역 내 작업 | •보호구역내 작업시 작업신청및 수행절차 •작업기록에 대한 주기적 검토 |
보호구역 내 작업신청, 작업기록 검토 |
| 2.4.6 반출입 기기 통제 | •보호구역내 전산장비 반출입시 반출입내용 기록하고 서명 •통제구역내 노트북 반출입 통제절차수립 및 이해 |
통제절차(서버, 모바일, 저장매체/보안스티커 , 보안SW설치), 기록 검토 |
| 2.4.7 업무환경 보안 | •공용 시설및 사무용기기를 통한 정보유출 대책수립 •개인PC, 책상등을 통한 정보유츌 대책 (Clean Desk) - 잠금장치, 화면보호기 - 암호화안된 파일, 보안업데이트 미적용, 백신미설치 |
시설(문서고) 기기(복합기 , 파일서버), 개인 업무환경(PC, 책상)대책, 검토 |
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3) (0) | 2021.01.13 |
|---|---|
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3) (0) | 2021.01.11 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3) (0) | 2021.01.07 |
| ISMS-P 인증기준 - 1. 관리체계 수립 및 운영 (0) | 2021.01.06 |
| ISMS-P 인증기준항목 두음신공 정리 (0) | 2021.01.06 |