728x90
반응형
SMALL
2.10.1 보안시스템 운영
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 - 클 공거전 업보 패악
※ 보안시스템 유형 (예시)
ㆍ네트워크 보안시스템 : 침입차단시스템(방화벽), 침입방지시스템(IPS), 침입탐지시스템(IDS)
    , 네트워크 접근제어(NAC), DDoS대응시스템 등
ㆍ서버보안 시스템 : 시스템 접근제어, 보안운영체제(SecureOS)
ㆍDB보안 시스템 : DB접근제어
ㆍ정보유출 방지시스템 : Network DLP(Data Loss Prevention), Endpoint DLP 등
ㆍ개인정보보호 시스템 : 개인정보 검출솔루션, 출력물 보안 등
ㆍ암호화 솔루션 : DB암호화, DRM 등
ㆍ악성코드 대응 솔루션 : 백신, 패치관리시스템(PMS) 등
ㆍ기타 : VPN, APT대응솔루션, SIEM(Security Incident & Event Monitoring), 웹방화벽 등

사례 1 : 침입차단시스템(IPS) 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이
           다수 존재하는 경우
사례 2 : 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나
           이를 준수하지 않은 경우
사례 3 : 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우
사례 4 : 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록 ․ 보관하도록 정하고 있으나
           정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인
           시스템의 보안정책이 상이한 경우
기타 : 방화벽 정책 설정시 이에 대한 절차가 없어 장비 담당자가 임의로 정책을 설정하는 경우
2.10.2 클라우드 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전 업보 패악
사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게
           부여되어 있는 경우
사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고
           있으나 승인절차를 거치지 않고 등록 ․ 변경된 접근제어 룰이 다수 발견된 경우
사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통해 공개되어 있는 경우
기타    : 클라우드 서비스에 대한 보안설정 변경이력을 별도로 검토한 증적이 없는 경우
2.10.3 공개서버 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  거전 업보 패악
사례 1 : 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통해 열람 권한이 없는 타인의 개인정보에
          접근할 수 있는 경우
사례 2 : 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하
           지 않고 개인정보가 게시된 사례가 다수 존재한 경우
사례 3 : 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정 ․ 삭제하거나 비밀번호로 보호된 글
          을 열람할 수 있는 경우
2.10.4 전자거래 및 핀테크 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  전 업보 패악
사례 1 : 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통해
          결제 관련 정보가 모두 평문으로 전송되는 경우
사례 2 : 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무
           시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
사례 3 : 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에
           신규 핀테크 서비스를 연계하면서 일정 상의 이유로 보안성 검토를 수행하지 않은 경우
2.10.5 정보전송 보안
대중 2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거 업보 패악
사례 1 : 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통해 안전하게 정보를
           전송하고 있으나 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황
           관리가 적절히 이루어지지 않고 있는 경우
기타   : 법규를 준수하기 위해 주기적으로 금융감독원에 정보주체의 개인정보를 전송하면서 법적 근거에 대한
          현황관리를 하지 않음.
사례 2 : 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토,
           보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우
2.10.6 업무용 단말기기 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전 보 패악
사례 1 : 업무적인 목적으로 노트북, 태블릿PC 등 모바일기기를 사용하고 있으나 업무용 모바일 기기에 대한 허용
          기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않는 경우
사례 2 : 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차
           를 통해 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별
       ․ 관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우
사례 3 : 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난 ․ 분실에 대한 보호대책
           적용되어 있지 않은 경우
사례 4 : 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어
           지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우
기타    : 사용자의 핸드폰을 업무용으로 사용하고 있는데 이에 대한 적절한 접근통제정책을 적용하고 있으나
            접근통제대책의 적절성에 대해 검토한 이력이 없는 경우
2.10.7 보조저장매체 관리
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전  패악
사례 1 : 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인
          절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한
          주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우
사례 2 : 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에
           방치하고 있는 경우
사례 3 : 보조저장매체 통제 솔루션을 도입 ․ 운영하고 있으나 일부 사용자에 대해 적절한 승인 절차없이 예외처리
          되어 쓰기 등이 허용된 경우
사례 4 : 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한 쓰기가 가능한 상황이나 매체 반입 및
          사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않는 경우
           (공용PC라고 해서 2.4.7 업무환경보안 은 아님, 매체반입 이라고해서 2.4.6 반출입기기통제 아님.)
2.10.8 패치관리
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전 업보 
사례 1 : 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
사례 2 : 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이
           수립되어 있지 않은 경우
사례 3 : 상용 소프트웨어 및 OS에 대해서는 최신패치가 적용되고 있으나, 오픈소스 프로그램(openssl,openssh,
            Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정 되어 있지 않아 최신 보안
           패치가 적용되고 있지 않은 경우
2.10.9 악성코드 통제
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재
  - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패
사례 1 : 일부 PC 및 서버에 백신이 설치되어 있지 않거나, 백신 엔진이 장기간 최신 버전으로 업데이트되지 않은
          경우
사례 2 : 백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할 수 있음
          에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우
사례 3 : 백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성
          이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파
          가능성이 있는 경우
사례 4 : 일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나 감염 현황, 감염경로 및 원인
          분석, 그에 따른 조치내역 등이 확인되지 않은 경우
2.11.1 사고 예방 및 대응체계 구축
 (침내 비대 위법계) 2. 보호대책 요구사항 - 정인외물 인접암정 운보재 
  - 2.11 사고예방 및 대응 - 취이훈대
사례 1 : 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
사례 2 : 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고
          있으나 침해사고 발생 시 사고 유형 및 심각도에 따른 신고 ․ 통지 절차, 대응 및 복구 절차의 일부 또는
          전부를 수립하고 있지 않은 경우
사례 3 : 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나 담당자별 역할과 책임이 명확히 정의
          되어 있지 않은 경우
사례 4 : 침해사고 신고 ․ 통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등 이 잘못 명시
          되어 있거나 일부 기관 관련 정보가 누락 또는 현행화 되지 않은 경우
사례 5 : 외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나 침해사고
          대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우
사례 6 : 침해사고 대응절차를 수립하였으나 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하
          는 경우
기타 : 보안관제업체와의 계약서에 침해사고 대응체계와 관련한 내용이 누락되어 있는 경우
2.11.2 취약점 점검 및 조치
  2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 이훈대
사례 1 : 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나,주요 시스템
           중 일부가 취약점 점검 대상에서 누락된 경우
사례 2 : 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치 할 수 없는
          취약점에 대한 타당성 검토 및 승인 이력이 없는 경우
2.11.3 이상행위 분석 및 모니터링
  (침위임) 2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 훈대
사례 1 : 외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는
          상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
사례 2 : 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁 하고 있으나, 위탁업체가 제공한
          관련 보고서를 검토한 이력이 확인되지 않거나 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계
          를 갖추고 있지 않은 경우
사례 3 : 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나 이에 대한 대응조치가
           이루어지고 있지 않는 경우

'2.11.1 사고 예방 및 대응체계 구축' 은 침해사고및 시도에 대한 대응체계를 구축하고, 비상연락망 현행화라던가
외부 보안전문업체에 위탁시 SLA에 관련 사항 명시 등 체계구축이고
'2.11.3 이상행위 분석 및 모니터링'실제 침해시도를 인지할수 있도록 모니터링 체계 구축, 외부기관에 위탁
했다면 위탁업체가 제고한 보고서 검토, 실제 임계치 초과 트래픽 발생했을 경우 대응조치 했는지 여부를 말한다
2.11.4 사고 대응 훈련 및 개선
  2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 취이
사례 1 : 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않는 경우
사례 2 : 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은
           경우
사례 3 : 모의훈련을 계획하여 실시하였으나 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우
2.11.5 사고 대응 및 복구
   (보원) 2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 취이훈
사례 1 : 내부 침해사고 대응지침에는 침해사고 발생 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고
          있으나, 실제 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에
          보고하지 않은 경우 (실제 침해사고가 발생을 한 경우이다.)
사례 2 : 최근 DDoS 공격으로 의심되는 침해사고로 인해 서비스 일부가 중단된 사례가 있으나 이에 대한 원인분석
          및 재발방지 대책이 수립되지 않은 경우
2.12.1 재해 ․ 재난 대비 안전조치
(복구절차서 RTO) 2. 보호대책 요구사항 - 정인외물 인접암정 운보사
  - 2.12 재해복구 -
사례 1 : IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한
          내용이 누락되어 있는 경우
사례 2 : 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업센터를 구축하여 운영하고 있으
           나 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가
           효과적으로 진행되기 어려운 경우
사례 3 : 서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며 이에 대한 적절한
          복구 대책을 마련하고 있지 않은 경우
사례 4 : 재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간(RTO),
          복구 목표시점(RPO) 등이 정의되어 있지 않은 경우
사례 5 : 현실적 대책 없이 복구 목표시간(RTO)을 과도 또는 과소하게 설정하고 있거나 복구 목표점(RPO)과 백업
          정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우
           (H사는 RTO를 5분으로 수립하고 있으나 실제 서버 리부팅과 프로그램 재가동에만 최소10분이 걸려
            매번 재해대응 복구 목표를 만족하지 못하고 있는 경우)
기타 : 최근 실시한 BIA (Business Impace Analysis) 결과증적에 D서비스에 대한 수행증적이 없는 경우
         (재해유형식별 -> 영향도분석(BIA) -> IT핵심서비스,시스템식별 -> BCP (RTO,RPO) )
2.12.2 재해 복구 시험 및 개선
  2. 보호대책 요구사항 - 정인외물 인접암정 운보사 
  - 2.12 재해복구 - 
사례 1 : 재해 복구 훈련을 계획․행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않는 경우
사례 2 : 재해 복구 훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과
          보고가 확인되지 않는 경우
사례 3 : 재해 복구 훈련을 계획하여 실시하였으나 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아
          수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
ISMS-P 결함사례 (2/7)  (0) 2021.01.25
728x90
반응형
SMALL
2. 보호대책 요구사항 - 정인외물 인접암정 운보사재
2.1 정책,조직,자산 정 – 정조자  2.1.1 정책의 유지관리
2.1.2 조직의 유지관리
2.1.3 정보자산 관리
2.2 인적보안 인 – 직분서인퇴위 2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무변경 관리
2.2.6 보안 위반 시 조치
2.3 외부자보안 외 – 현계보변 2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료시 보안
2.4 물리보안 물 – 구출정설작반업  2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안
2.5 인증및 권한관리 인 – 계식인비특접 2.5.1 사용자 계정 관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한관리
2.5.6 접근권한 검토
2.6 접근통제 접 – 네정응데무원인  2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근 통제
2.6.7 인터넷 접속 통제
2.7 암호화적용 암 – 정키 2.7.1 암호정책 적용
2.7.2 암호키 관리
2.8 정보시스템 도입및개발보안 정 – 요검시데소운 2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관
2.9 시스템 및 서비스 운영관리 운 – 변성 백로 점시재  2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9,.7 정보자산 재사용 및 폐기
2.10 시스템 및 서비스 보안관리 보 – 보클 공거전 업보 패악 2.10.1 보안시스템 운영
2.10.2 클라우드 보안
2.10.3 공개서버 보안
2.10.4 전자거래 및 핀테그 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제
2.11 사고예방 및 대응 사 – 체취이훈대 2.11.1 사고예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고대응훈련 및 개선
2.11.5 사고대응 및 복구
2.12 재해복구 재 – 안시 2.12.1 재해.재난 대비 안전조치
2.12.2 재해 복구 시험 및 개선

 

2.9 시스템 및 서비스 운영관리 (변성 백로 점시재)

항목 설명 및 사례 keyword
2.9.1 변경관리 •정보시스템자산의 모든 변경내역을 관리하는 절차 수립.이행
•변경전에 영향도 분석  실시
예) 신규장비 도입시 공식적인 절차 준수해야함		 변경 절차,
변경 전 영향 분석 
2.9.2 성능 및 장애관리 •가용성보장을 위해 성능,용량 모니터링 절차수립.이행
  : 성능및 용량관리 대상식별 -> 성능요구사항(임계치) 정의 -> 초과
   여부를 모니터링할수 있는 방안 수립
임계치 초과시 대응절차 수립 및 이행
장애발생시 대응절차 수립 (비상연락망)
•장애발생시 절차에 따라 조치하고 장애조치내역을 기록.관리한다.
•심각도가 높은 장애에 대해서는 재발방지책 수립		 성능 및 용량 모니터링 절차,
초과 시 대응절차,
장애 대응절차,
장애조치 기록,
재발방지대책 
2.9.3 백업 및 복구관리 •백업및 복구절차 수립.이행
•정기적인 복구 테스트
•중요백업매체는 물리적으로 떨어진 장소에 소산
※ 주요 백업 대상 (예시)
ㆍ중요정보(개인정보, 기밀정보 등)
ㆍ중요 데이터베이스
ㆍ각종 로그(정보시스템 감사로그, 이벤트로그, 보안시스템 이벤트로그)
ㆍ환경설정 파일 등 		백업 및 복구절차
(대상,주기,방법,절차),
복구테스트,
중요정보 저장 백업매체 소산 
2.9.4 로그 및 접속기록 관리 •로그관리절차 수립하고 로그를 셍성,보관
•로그기록은 별도 백업
•접속기록은 법적준수를 위해 일정기간 보관
*개인정보보호법
 - 접속기록 : 최소 1년 이상
 - 다만, 5만명이상이거나 고유식별정보,민감정보 처리시 2년 이상 보관
*정통망법
 - 접속기록 : 최소 1년 이상 보관
 - 단 기간통신사업자는 최소 2년 이상 보관

▶ 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목 
     • 계정 또는 식별자 : 개인정보취급자 아이디 등 
     • 접속일시 : 접속 날짜 및 시분초
     • 접속지 정보 : 접속자 IP주소 등  
     • 수행업무 : 개인정보 조회, 변경, 입력, 삭제, 다운로드 등
▶ 접속기록의 안전한 보관방법 (예시)
     • 물리적으로 분리된 별도의 저장장치에 백업 보관
     • DVD, WORM Disk 등 덮어쓰기가 방지된 저장매체에 보존 등		 관리 절차,
생성 보관,
별도 저장장치 백업,
로그 접근권한 최소화,
개처시 접속기록
2.9.5 로그 및 접속기록 점검 •이상접속, 이상행위에 대한 모니터링,알림정책 수립
•접속기록 점검주기
 - 월1회 이상 (개인정보법,정통망법 동일)

① 정보시스템 관련 오류, 오․남용(비인가접속, 과다조회 등), 부정행위
    등 이상 징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을
    포함한 로그 검토 및 모니터링 절차를 수립․이행하여야 한다
② 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견
    시 절차에 따라 대응하여야 한다.
③ 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라
    정기적으로 점검하여야 한다.  (월1회이상)		 로그 검토기준
(비인가 접속, 과다조회),
주기적 점검,
문제 발생 시 사후조치 
2.9.6 시간 동기화 •표준시간으로 동기화
•주기적 점검 및 문제시 대응절차		 정보시스템 시간 동기화,
주기적 점검 
2.9.7 정보자산의 재사용및 폐기 •정보자산 재사용 및 폐기 절차수립
•폐기시에는 복원이 불가능하도록 처리
 - 복원이 불가능한 방법이란 현재의 기술수준에서 사회통념상 적정한
   비용으로 복원이 불가능하게 하는 조치
      : 완전파괴 (소각,파쇄)
        전용소자장비 (디가우저)
        초기화 또는 덮어쓰기
•폐기이력 관리		 재사용 및 폐기 절차,
복구 불가 방법,
폐기이력 및 증적,
폐기절차 계약서,
교체 복구시 대책 

 

2.10 시스템 및 서비스 보안관리 (보클 공거전 업보 패악)

항목 설명 및 사례 keyword
2.10.1 보안시스템 운영 •보안시스템에 대한 운영절차 수립.이행
•비인가의 접근통제
•정책의 신규등록,변경,삭제를 위한 공식적인 절차
•예외정책등록에 대한 절차, 최소한의 권한
•정책의 타당성여부의 주기적 검토
•법령에서 정한 기능을 수행하는 보안시스템의 설치
* 방화벽 정책 관련

1 : 침입차단시스템(IPS) 보안정책에 대한 정기 검토가 수행되지 않아 불필
    요하거나 과도하게 허용된 정책이 다수 존재하는 경우
2 : 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및
    기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
3 : 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절
    히 이행되고 있지 않은 경우
4 : 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력
    기록 ․보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지
    않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인 시스템
    의 보안정책이 상이한 경우
기타 : 방화벽 정책 설정시 이에 대한 절차가 없어 장비 담당자가 임의로 정
         책을  설정하는 경우		 운영절차,
접근인원 최소화,
정책 변경절차,
예외 최소화,
정책 타당성 검토

보안정책 정기검토
보안정책 신청,변경 절차/기준
보안시스템 관리자 지정 감독
보안정책 변경이력 기록/보관
2.10.2 클라우드 보안 •클라우스 서비스 제공자의 정보보호에 대한 역할과 책임을 SLA에 반영

사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한
           사항이 포함되어 있지 않은 경우
사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상
           반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule)
          변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지
          않고 등록․변경된 접근제어 룰이 다수 발견된 경우
사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을
           통해 공개되어 있는 경우
기타 : 클라우드 서비스에 대한 보안설정 변경이력을 별도로 검토한 증적이
        없는 경우		 CSP R&R SLA 반영,
이용시 보안 통제 정책수립·이행,
관리자권한 보호대책,
정기적 검토 
2.10.3 공개서버 보안 웹서버등 공개서버를 운영하는 경우 보호대책 수립
•공개서버는 DMZ영역에 설치, 내부와 차단
•공개서버에 개인정보 게시,저장시 승인등 게시절차
•중요정보가 웹서버를 통해 노출되는지 주기적 검사
 - 공개된 웹사이트(홈페이지), 게시판등 웹프로그램 		공개서버 보호대책,
DMZ에 설치,
보안시스템 통해 보호,
게시 저장 시 절차,
노출 확인 및차단
2.10.4 전자거래 및 핀테크 보안 •결제시스템 연계시 보호대책 수립
 - 전자결재대행업체와 연계시		 전자거래 및 핀테크 보호대책, 
연계 시 송수신 정보 보호대책
2.10.5 정보전송 보안 •외부조직에 개인정보및 중요정보 전송시 안전한 정책
•조직간 상호교환시 안전한 전송을 위한 보호대책
 - 정보전송기술표준 정의
예)법규준수를 위해 주기적으로 금융감독원에 개인정보를 전송하면서
   외부기관별 연계시기,방식,담당자및 책임자, 연계정보, 법적근거 등에
   대한 현황관리가 적절히 이루어지고 있지 않은 경우		 외부에 개인정보 전송 정책 수립,
조직 간 개인정보 상호교환 시 협약체결 등 보호대책 
2.10.6 업무용 단말기 보안 •업무용 단말기(PC,노트북,태블릿)에 대한 통제절차(기기인증,승인)
•업무용 단말기에 자료공유프로그램 금지, 공유폴더금지
•업무용 모바일 단말기의 분실,도난에대한 보안대책 (MDM)
•업무용 단말기에 대한 통제정책의 주기적 점검 		업무용 단말기 접근통제 정책,
공유 시 DLP 정책,
분실 시 DLP 대책,
주기적 점검 
2.10.7 보조저장매체 관리 •외장하드USB,CD등 보조저장매체 취급,보관,폐기, 재사용 절차
•통제구역등에서 보조저장매체 사용 제한
•개인정보가 포함된 보조저장매체는 잠금장치가 있는 안전한 장소에
  보관

사례 1 : 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을
           수립하여 운영하고 있으나, 예외 승인절차를 준수하지 않고 보조
           저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리
           실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장
           의 현행화가 미흡한 경우
사례 2 : 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소
           에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우
사례 4 : 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한
           쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록
           및 검토 등 통제가 적용되고 있지 않는 경우
      (공용PC라고 해서 2.4.7 업무환경보안 은 아님, 매체반입 이라고해서
        2.4.6 반출입기기통제 아님.)		 보조저장매체 취급 정책,
주기적 점검,
통제구역 사용 제한,
악성코드 및 DLP 대책, 보관 
2.10.8 패치관리 •OS패치가 장기간 적용안되고 있는 경우
•지원이 종료된 EOS 버전을 사용중이거나
•주요 서버, 네트워크시스템, 보안시스템 등의 경우
 공개 인터넷 접속을 통한 패치를 제한하여야 한다		 패치관리 정책,
패치현황 관리,
불가시 보완대책,
인터넷 패치 제한,
PMS 보호대책 
2.10.9 악성코드 통제 •내부망PC에 대해서는 백신업데이트가 되지 않았다
•일부임직원의 PC에서 백신의 실시간 검사를 해제
•일부임직원이 도박사이트에 접속하여 악성코드에 감염되었으나 별도
 현황파악및 조치를 안했다.
•백신 패턴 배포시 무결성 검증을 하지않아 악의적인 행위자에 의해
 위변조되었다.		 악성코드 보호대책,
예방탐지 활동,
보안프로그램 최신상태 유지,
감염 시 대응절차

 

2.11 사고예방 및 대응 (체취이훈대)

항목 설명 및 사례 keyword
2.11.1 사고예방및 대응체계구축 •침해사고에 대비한 대응조직및  대응 절차 수립
•보완관제서비스와 계약시 침해사고 대응관련 내용이 누락되어 있는
 경우 (SLA에 누락)
비상연락망이 현행화되어있지 않은 경우
  (대응조직도, 대외협조기관 연락처 현행화)

•침해사고 대응 7단계
 1단계 : 사고 전 준비
 2단계 : 사고 탐지
 3단계 : 초기 대응
 4단계 : 대응 전략 체계화 - 최적의 전략을 결정하고 관리자의 승인을
              획득, 초기조사결과를 참고하여 소송이 필요한 사항인지 결정
              하여 사고조사과정에 수사기관 공조여부 판단.
 5단계 : 사고 조사
 6단계 : 보고서 작성
 7단계 : 해결		 사고대응체계,
외부기관 침해사고 대응절차 계약서 반영,
외부기관 협조체계 수립 
2.11.2 취약점 점검 및 조치 •취약점 점검절차 수립
 - 모의침투테스트, 연1회 이상 취약점 점검 실시
•최신 보안취약점 발생여부 지속적 파악
•취약점 점검 이력 기록 관리.		 점검 절차 수립 및 정기적 점검,
결과 보고,
최신 보안취약점,
취약점 점검 이력 기록관리 
2.11.3 이상행위 분석및 모니터링 •임계치를 초과하는 이상 트래픽 대응
* 침해시도를 인지할 수 있는 모니터링 체계 수립
* 외부보완관제업체의 침해시도 모니터링 보고서를 검토한 이력이 없는
  경우
* 이상트래픽이 지속적으로 발생하나 조치를 안취함.		 내외부 침해시도,
개인정보 유출시도,
부정행위 모니터링,
임계치 정의 및 이상행위 판단 
2.11.4 사고대응훈련 및 개선 •모의훈련을 연1회 이상 실시
* 모의훈련 했으나 보고서를 작성안함
* 대응훈련을 계획했으나 수행하지 않은 경우		 모의훈련 계획수립,
모의훈련 연1회 실시,
대응체계 개선 
2.11.5 사고대응 및 복구  *개인정보 유출시 정보주체에게 알려야할 사항 *
개인정보보호법 - 1.유출된 개인정보의 항목
                     2.유출된 시점과 그 경위
                     3.피해를 최소화하기 위해 정보주체가 할수 있는 방법
                     4. 개인정보처리자의 대응조치 및 피해 구제절차
                     5.담당부서 및 연락처
정보통신망법 - 1. 유출된 개인정보 항목
                   2. 유출등이 발생한 시점
                   3. 이용자가 취할 수 있는 조치
                   4. 정보통신제공자의 대응조치
                   5. 부서및 연락처

 *개인정보 유출 신고 기준 *
구분                 개인정보법                             정통망법
신고대상건수  1천명이상 개인정보 유출시  유출건수 무관
신고시점        지체없이(5일이내)             정당한 사유가 없는한 그사실
                                                           을 안날부터 24시간이내
신고기관        행안부 or KISA                   방통위 or KISA   
신고방법        전자우편,팩스,인터넷사이트를 통해 유출사고 신고 및
                     신고서제출, 시간적여유가 없거나 특별한 사정이 있는
                    경우 전화를 통하여 통지내용 신고후 유출신고서를
                     제출할 수 있음.
홈페이지        7일 이상 게재                      30일이상 게재          

위는 신고기준이고 1명이라도 유출되면 정보주체에게 통지해야 한다.
   구체적인 유출내용을 확인 못한 경우 일단 정보주체에게 먼저 통지한 후 나중에 추가 확인된 사항을 알려줄수 있다. 		사고 인지 시 대응 및 보고,
정보주체 통지 및 관계기관 신고,
종결 후 공유, 재발방지대책 

 

2.12 재해복구 (안시)

항목 설명 및 사례 keyword
2.12.1 재해.재난 대비 안전조치 •연속성을 위협할 수 있는
   IT재해유형 식별하고
   영향도 분석하여
   핵심IT서비스 및 시스템을 식별
•복구목표시간(RTO), 복구목표시점(RPO) 정의
•재해복구계획 수립.이행 (BCP)

예)재해복구절차서에 비상연락망이 누락
예)재해복구정책에 백업센터를 활용한 재해복구절차 등이 수립되어 있지
   않아 재해복구시험 및 복구가 효과적으로 진행되기 어려운 경우
예)중요시스템에대한 복구목표시간이 정의되어 있지 않은 경우		 IT재해유형 식별,
영향 분석,
핵심 IT서비스 및 시스템 식별,
RTO, RPO 정의,
BCP 
2.12.2 재해 복구 시험 및 개선 ① 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여
   재해 복구 시험 및 훈련 계획을 수립 ․이행하고 있는가? Ÿ
② 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수
    있도록 복구전략 및 대책을 정기적으로 검토․보완하고 있는가?		 BCP 수립·이행,
복구전략 및 대책 정기적 검토·보완 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3)  (0) 2021.01.07
ISMS-P 인증기준 - 2. 보호대책 요구사항 (1/3)  (0) 2021.01.06
ISMS-P 인증기준 - 1. 관리체계 수립 및 운영  (0) 2021.01.06

+ Recent posts

티스토리툴바