728x90
반응형
SMALL
| 2.10.1 보안시스템 운영 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| ※ 보안시스템 유형 (예시) ㆍ네트워크 보안시스템 : 침입차단시스템(방화벽), 침입방지시스템(IPS), 침입탐지시스템(IDS) , 네트워크 접근제어(NAC), DDoS대응시스템 등 ㆍ서버보안 시스템 : 시스템 접근제어, 보안운영체제(SecureOS) ㆍDB보안 시스템 : DB접근제어 ㆍ정보유출 방지시스템 : Network DLP(Data Loss Prevention), Endpoint DLP 등 ㆍ개인정보보호 시스템 : 개인정보 검출솔루션, 출력물 보안 등 ㆍ암호화 솔루션 : DB암호화, DRM 등 ㆍ악성코드 대응 솔루션 : 백신, 패치관리시스템(PMS) 등 ㆍ기타 : VPN, APT대응솔루션, SIEM(Security Incident & Event Monitoring), 웹방화벽 등 사례 1 : 침입차단시스템(IPS) 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우 사례 2 : 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우 사례 3 : 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우 사례 4 : 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록 ․ 보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우 기타 : 방화벽 정책 설정시 이에 대한 절차가 없어 장비 담당자가 임의로 정책을 설정하는 경우 |
|
| 2.10.2 클라우드 보안 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우 사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우 사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지 않고 등록 ․ 변경된 접근제어 룰이 다수 발견된 경우 사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통해 공개되어 있는 경우 기타 : 클라우드 서비스에 대한 보안설정 변경이력을 별도로 검토한 증적이 없는 경우 |
|
| 2.10.3 공개서버 보안 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통해 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우 사례 2 : 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하 지 않고 개인정보가 게시된 사례가 다수 존재한 경우 사례 3 : 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정 ․ 삭제하거나 비밀번호로 보호된 글 을 열람할 수 있는 경우 |
|
| 2.10.4 전자거래 및 핀테크 보안 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통해 결제 관련 정보가 모두 평문으로 전송되는 경우 사례 2 : 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우 사례 3 : 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정 상의 이유로 보안성 검토를 수행하지 않은 경우 |
|
| 2.10.5 정보전송 보안 | |
| 대중 | 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
| 사례 1 : 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통해 안전하게 정보를 전송하고 있으나 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황 관리가 적절히 이루어지지 않고 있는 경우 기타 : 법규를 준수하기 위해 주기적으로 금융감독원에 정보주체의 개인정보를 전송하면서 법적 근거에 대한 현황관리를 하지 않음. 사례 2 : 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우 |
|
| 2.10.6 업무용 단말기기 보안 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 업무적인 목적으로 노트북, 태블릿PC 등 모바일기기를 사용하고 있으나 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않는 경우 사례 2 : 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차 를 통해 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별 ․ 관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우 사례 3 : 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난 ․ 분실에 대한 보호대책이 적용되어 있지 않은 경우 사례 4 : 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어 지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우 기타 : 사용자의 핸드폰을 업무용으로 사용하고 있는데 이에 대한 적절한 접근통제정책을 적용하고 있으나 접근통제대책의 적절성에 대해 검토한 이력이 없는 경우 |
|
| 2.10.7 보조저장매체 관리 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인 절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우 사례 2 : 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우 사례 3 : 보조저장매체 통제 솔루션을 도입 ․ 운영하고 있으나 일부 사용자에 대해 적절한 승인 절차없이 예외처리 되어 쓰기 등이 허용된 경우 사례 4 : 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한 쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않는 경우 (공용PC라고 해서 2.4.7 업무환경보안 은 아님, 매체반입 이라고해서 2.4.6 반출입기기통제 아님.) |
|
| 2.10.8 패치관리 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우 사례 2 : 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우 사례 3 : 상용 소프트웨어 및 OS에 대해서는 최신패치가 적용되고 있으나, 오픈소스 프로그램(openssl,openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정 되어 있지 않아 최신 보안 패치가 적용되고 있지 않은 경우 |
|
| 2.10.9 악성코드 통제 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패악 |
|
| 사례 1 : 일부 PC 및 서버에 백신이 설치되어 있지 않거나, 백신 엔진이 장기간 최신 버전으로 업데이트되지 않은 경우 사례 2 : 백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할 수 있음 에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우 사례 3 : 백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성 이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파 가능성이 있는 경우 사례 4 : 일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나 감염 현황, 감염경로 및 원인 분석, 그에 따른 조치내역 등이 확인되지 않은 경우 |
|
| 2.11.1 사고 예방 및 대응체계 구축 | |
| (침내 비대 위법계) | 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.11 사고예방 및 대응 - 체취이훈대 |
| 사례 1 : 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우 사례 2 : 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나 침해사고 발생 시 사고 유형 및 심각도에 따른 신고 ․ 통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우 사례 3 : 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나 담당자별 역할과 책임이 명확히 정의 되어 있지 않은 경우 사례 4 : 침해사고 신고 ․ 통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등 이 잘못 명시 되어 있거나 일부 기관 관련 정보가 누락 또는 현행화 되지 않은 경우 사례 5 : 외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우 사례 6 : 침해사고 대응절차를 수립하였으나 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하 는 경우 기타 : 보안관제업체와의 계약서에 침해사고 대응체계와 관련한 내용이 누락되어 있는 경우 |
|
| 2.11.2 취약점 점검 및 조치 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.11 사고예방 및 대응 - 체취이훈대 |
|
| 사례 1 : 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나,주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우 사례 2 : 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치 할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우 |
|
| 2.11.3 이상행위 분석 및 모니터링 | |
| (침위임) | 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.11 사고예방 및 대응 - 체취이훈대 |
| 사례 1 : 외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우 사례 2 : 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁 하고 있으나, 위탁업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계 를 갖추고 있지 않은 경우 사례 3 : 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나 이에 대한 대응조치가 이루어지고 있지 않는 경우 '2.11.1 사고 예방 및 대응체계 구축' 은 침해사고및 시도에 대한 대응체계를 구축하고, 비상연락망 현행화라던가 외부 보안전문업체에 위탁시 SLA에 관련 사항 명시 등 체계구축이고 '2.11.3 이상행위 분석 및 모니터링' 은 실제 침해시도를 인지할수 있도록 모니터링 체계 구축, 외부기관에 위탁 했다면 위탁업체가 제고한 보고서 검토, 실제 임계치 초과 트래픽 발생했을 경우 대응조치 했는지 여부를 말한다 |
|
| 2.11.4 사고 대응 훈련 및 개선 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.11 사고예방 및 대응 - 체취이훈대 |
|
| 사례 1 : 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않는 경우 사례 2 : 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우 사례 3 : 모의훈련을 계획하여 실시하였으나 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우 |
|
| 2.11.5 사고 대응 및 복구 | |
| (보원) | 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.11 사고예방 및 대응 - 체취이훈대 |
| 사례 1 : 내부 침해사고 대응지침에는 침해사고 발생 시 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 실제 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우 (실제 침해사고가 발생을 한 경우이다.) 사례 2 : 최근 DDoS 공격으로 의심되는 침해사고로 인해 서비스 일부가 중단된 사례가 있으나 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우 |
|
| 2.12.1 재해 ․ 재난 대비 안전조치 | |
| (복구절차서 RTO) | 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.12 재해복구 - 안시 |
| 사례 1 : IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우 사례 2 : 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업센터를 구축하여 운영하고 있으 나 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우 사례 3 : 서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며 이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우 사례 4 : 재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간(RTO), 복구 목표시점(RPO) 등이 정의되어 있지 않은 경우 사례 5 : 현실적 대책 없이 복구 목표시간(RTO)을 과도 또는 과소하게 설정하고 있거나 복구 목표점(RPO)과 백업 정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우 (H사는 RTO를 5분으로 수립하고 있으나 실제 서버 리부팅과 프로그램 재가동에만 최소10분이 걸려 매번 재해대응 복구 목표를 만족하지 못하고 있는 경우) 기타 : 최근 실시한 BIA (Business Impace Analysis) 결과증적에 D서비스에 대한 수행증적이 없는 경우 (재해유형식별 -> 영향도분석(BIA) -> IT핵심서비스,시스템식별 -> BCP (RTO,RPO) ) |
|
| 2.12.2 재해 복구 시험 및 개선 | |
| 2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.12 재해복구 - 안시 |
|
| 사례 1 : 재해 복구 훈련을 계획․행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않는 경우 사례 2 : 재해 복구 훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과 보고가 확인되지 않는 경우 사례 3 : 재해 복구 훈련을 계획하여 실시하였으나 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우 |
|
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 결함사례 (7/7) (0) | 2021.02.04 |
|---|---|
| ISMS-P 결함사례 (6/7) (0) | 2021.02.04 |
| ISMS-P 결함사례 (4/7) (0) | 2021.01.29 |
| ISMS-P 결함사례 (3/7) (0) | 2021.01.27 |
| ISMS-P 결함사례 (2/7) (0) | 2021.01.25 |