2. 보호대책 요구사항
[두음] 정인외물재 인접 암개 운보사
2.1 정책, 조직, 자산 관리
[두음] 정조자
2.1.1 정책의 유지관리
- 정책 / 시행 문서, 연계성, 정기적 타당성 검토
- 제 · 개정 시 이력관리, 일관성, 중대한 변경 발생 시 영향 검토
- (개인)정보보호 정책 및 시행문서의 타당성 검토 절차 수립 및 정책 제 · 개정
- 법규, 조직의 정책 연계성, 조직 환경 변화 등을 반영할 수 있도록 타다성 검토 수행
- 중대한 변화 발생 시 검토하고 필요 시 정책 제 · 개정
- 제 · 개정 시 이해관계자와 협의 · 검토
- 변경사항 이력 관리
2.1.2 조직의 유지관리
- 구성원, 역할 및 책임 할당, 활동 평가 체계, 상호 의사소통 체계
- 정보보호 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의
- 정보보호 활동 평가체계 수립
- 정보보호 구성원 간 의사소통 체계 수립 · 이행
2.1.3 정보자산의 관리
- 정보자산, 보안등급, 취급절차 및 보호대책, 정보자산 책임자 및 관리자 지정
- 정보자산의 보안등급에 따른 취급절차 및 보호대책 정의 · 이행
- 정보자산 책임자, 관리자 지정
2.2 인적 보안
2.2.1 주요 직무자 지정 및 관리
- 직무 기준과 관리방안, 주요 직무자 최소한 지정, 목록 최신 관리
- 개인정보의 취급, 주요 시스템 접근 등 주요 직무 기준 정의
- 주요 직무자로 공식 지정하고 목록을 최신화하여 관리
- 개인정보취급자 지정 및 목록 관리
2.2.2 직무 분리
- 권한 오·남용 등으로 인한 잠재적인 피해 예방
- 직무 분리 기준 수립, 적용
- 직무 분리가 불가피할 시 보완통제 마련
2.2.3 보안 서약
- 정보보호 및 개인정보보호 서약서, 책임, 비밀유지 의무, 안전하게 보관 · 관리
- 신규 인력 채용 시 (개인)정보보호서약서 받기
- 외부자에게 정보자산 접근권한 부여 시 서약서 받기
- 임직원 퇴직 시 별도의 비밀유지 서약서 받기
- 서약서를 안전하게 보존하고 확인 가능하도록 관리
2.2.4 인식제고 및 교육훈련
- 인식제고, 정보보호 및 개인정보보호 교육 계획, 연 1회 이상 정기적 교육,
- 직무별 전문성 제고 위한 별도 교육, 교육 효과와 적성성 평가, 다음 교육 계획에 반영
- 연간 (개인)정보보호 교육계획 수립 후 경영진 승인
- 모든 임직원, 외부자를 연 1회 이상 정기적 교육
- 채용, 계약 시 업무 시작 전 교육 시행
- 주요 직무자에 직무별 전문성 제고를 위한 별도 교육 시행
- 교육 시행 기록 보존 및 교육 효과와 적정성 평가하여 다음 교육 계획에 반영
2.2.5 퇴직 및 직무변경 관리
- 퇴직 및 직무변경, 인사변경 내용 공유,
- 정보자산 반납, 접근권한 회수 · 조정, 결과 확인
- 인사 변경 내용을 관련 부서간 신속히 공유
- 퇴직 및 직무변경 시 정보자산 반납, 접근 권한 회수 등 절차 수립 이행
2.2.6 보안 위반 시 조치
- 정보보호 및 개인정보보호 위반, 처벌 규정, 조치 절차 수립 · 이행
- 법규, 내규 위반 시 처벌 규정 수립
- 위반 적발 시 내부 절차에 따라 조치 수해
2.3 외부자 보안
2.3.1 외부자 현황 관리
- 업무 위탁 및 외부 시설·서비스의 이용, 현황 식별, 법적 요구사항과 위험을 파악,
- 보호대책업무 위탁 및 외부 시설·서비스의 이용, 현황 식별, 법적 요구사항과 위험을 파악, 보호대책
- 업무 위탁, 시설 또는 서비스 이용 현황 식별
- 업무 위탁 및 외부 서비스 현황 목록 작성 현행화 관리
- 법적 요구사항, 위험 파악 및 보호대책 마련
2.3.2 외부자 계약 시 보안
- 외부 서비스 이용 및 업무 위탁, 정보보호 및 개인정보보호 요구사항 식별, 계약서 또는 협정서 등에 명시
- 외부자 선정 시 정보보호 역량 평가 절차 마련
- 보안 요구사항 정의 및 계약 시 반영
- 개발을 위탁 시 (개인)정보보호 요구사항을 계약서에 명시
2.3.3 외부자 보안 이행 관리
- 외부자의 보호대책 이행 여부, 주기적인 점검 또는 감사 등 관리·감독
- 외부자의 보안 요구사항 주기적 점검 또는 감사 수행
- 발견된 문제점에 대한 개선계획 수립 · 이행
- 수탁자가 제3자에게 재위탁 시 위탁자의 승인
2.3.4 외부자 계약 변경 및 만료 시 보안
- 외부자 계약만료, 업무종료, 담당자 변경 시,
- 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기,
- 업무 수행 중 취득정보의 비밀유지 확약서 징구
- 외부자 계약 만료 시 보안대책 수립 · 이행
- 중요정보 및 개인정보 보유 시 회수 · 파기 절차 수립 · 이행
2.4 물리 보안
2.4.1 보호구역 지정
- 물리적·환경적 위협
- 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호
- 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정, 구역별 보호대책을 수립·이행
- 물리적 보호구역 지정기준 마련
- 보호구역 지정 및 보호대책 수립 · 이행
2.4.2 출입통제
- 보호구역, 책임추적성 확보, 출입 및 접근 이력 주기적 검토
- 출입통제 절차 마련 및 출입 인원 현황 관리
- 출입기록 보존 및 출입기록 및 출입권한 주기적 검토
2.4.3 정보시스템 보호
- 정보시스템 중요도, 용도, 특성 등을 고려 배치
- 물리적 배치도, 자산목록 관리 및 현행화
- 전력 및 통신케이블 안전하게 보호
- 정보시스템 중요도를 고려하여 배치 장소 분리
- 물리적 위치 확인 방안 마련
- 전력 및 통신케이블을 전기적 영향으로부터 보호
2.4.4 보호설비 운영
- 정보시스템 보호설비 운영절차 수립 · 운영
- 온·습도 조절, 화재감지, 소화 설비, 누수감지, UPS, 비상발전기, 이중전원선
- IDC 위탁 운영 시 물리적 보호 요구사항의 계약서 반영
- 보호구역 별 보호설비 운영절차 수립 · 운영
- IDC 위탁 운영 시 보안 요건 계약서 반영 및 운영 상태 주기적 검토
2.4.5 보호구역 내 작업
- 보호구역 내 작업 절차 수립 · 이행, 작업 기록 주기적 검토
- 보호구역 내 작업 신청 및 수행 절차 수립 · 이행
- 보호구역 내 작업 기록 주기적 검토
2.4.6 반출입 기기 통제
- 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립 · 이행,
- 주기적 검토
- 보호구역 내 정보기기 반출입 시 통제 절차 수립 · 이행
- 반출입 기록 관리 및 이력 주기적 점검
2.4.6 업무환경 보안
공용 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등), 개인 업무 환경(업무용 PC, 책상 등)
클린데스크, 정기점검 등 업무환경 보호대책을 수립 · 이행
공용시설 및 사무용기기 보호 대책 수립 · 이행
개인업무 환경 내 중요정보 유 · 노출 방지 보호대책 수립 · 이행
개인 및 공공업무 환경에서의 정보보호 준수여부 주기적 검토
2.5 인증 및 권한관리
2.5.1 사용자 계정 관리
[두음] 계생등변삭
- 비인가 접근 통제, 접근권한 최소한 부여
- 사용자 계정 및 접근권한 등록 · 변경 · 삭제 · 해지 절차 수립 · 이행
- 직무별 접근권한 분류체계에 따라 최소한의 권한만을 부여
- 계정에 대한 보안책임 본인임을 인식시킴 (보안책임 인식)
2.5.2 사용자 식별
- 사용자 계정, 식별자 할당
- 식별자 공유 사용하는 경우, 사유와 타당성 검토
- 책임자의 승인 및 책임추적성 확보, 보완대책 수립 · 이행
- 사용자별 유일 식별자 할당 및 추측 가능한 식별자 사용 제한
- 동일한 식별자 공유 사용 시 책임자 승인
2.5.3 사용자 인증
[두음] 지소생기
- 안전한 인증절차, 강화된 인증방식
- 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행
- 정보시스템에 대한 접근 시 안전한 인증절차에 의해 통제
- 외부에서 정보시스템에 접속 시 안전한 인증수단 또는 접속수단 적용
2.5.4 비밀번호 관리
[두음] 영수특 2-10 3-8
- 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립 · 이행
- 안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립 · 이행
- 사용자 비밀번호 관리절차 및 작성규칙 수립 · 이행
- 정보주체(이용자) 비밀번호 작성규칙 수립 · 이행
2.5.5 특수 계정 및 권한 관리
- 특수권한은 최소한의 인원에게만 부여, 공식적인 권한 신청 및 승인 절차를 수립 · 이행
- 특수 목적을 위하여 부여한 계정 및 권한을 식별
- 별도의 목록으로 관리하는 등 통제절차를 수립 · 이행
- 최소한의 인원에게만 부여하기 위한 공식적인 권한 신청 및 승인 절차 수립 · 이행
- 특수 계정 및 권한 식별, 목록관리 등 통제 절차 수립 · 이행
2.5.6 접근권한 검토
[두음] 권개삼정오
- 사용자 계정 및 접근권한 생성 · 등록 · 부여 · 이용 · 변경 · 말소 등의 이력 관리
- 사용자 계정 및 접근권한의 적정성 검토 정기적 이행
- 접근권한 검토 결과 문제점 발견 시 조치 절차 수립 이행
2.6 접근통제
2.6.1 네트워크 접근
- 네트워크 분리 [DMZ(Demilitarized Zone), 서버팜, 데이터베이스존, 개발존 등]
- 접근통제 적용
- IP 관리, 네트워크 전송구간 보호대책
- 네트워크 경로 식별 및 네트워크 접근통제 관리절차 수립 · 이행
- 네트워크 영역 분리 및 영역간 접근통제 적용
- 사설 IP 할당 및 외부에서 직접 접근이 불가능 하도록 설정
- 물리적으로 떨어진 네트워크 연결 시 안전한 접속환경 구성 (전용회선 또는 VPN(가상사설망))
2.6.2 정보시스템 접근
[두음] 사방수 세서독
사용자, 접근제한 방식, 안전한 접근수단세션 차단,
불필요한 서비스 및 포트 제거, 독립된 서버
- 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단의 정의 및 통제
- 정보시스템 별 OS 접근이 허용되는 사용자, 접근 수단 등 정의
- 장시간 미사용 시 시스템 접속 차단 조치 (세션 타임아웃 설정)
- 사용목적과 관계 없는 서비스 및 포트 제거
- 주요 서비스 제공 서버는 독립된 서버로 운영
2.6.3 응용 프로그램 접근
- 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여
- 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등) 최소화를 위한 응용프로그램 구현 · 운영
- 응용프로그램 세션 타임아웃 설정 및 사용자의 동시 세션수 제한
- 관리자 전용 응용프로그램 비인가자 접근통제 수행
2.6.4 데이터베이스 접근
- 데이터베이스 내에서 저장·관리되고 있는 정보를 식별
- 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행
- 데이터베이스 정보를 식별하고 지속적 현행화 관리
- 데이터베이스 내 정보에 접근 대상 식별 및 접근 통제
2.6.5 무선 네트워크 접근
[두음] 무인암통
무선 네트워크 보호대책, 사용자 인증, 송수신 데이터 암호화, AP 통제
- 무선 네트워크 보호대책을 적용 (사용자 인증, 송수신 데이터 암호화, AP 통제 등)
- 비인가 무선 네트워크 접속으로부터 보호대책을 수립 · 이행
- 무선 AP 및 네트워크 구간을 위한 보호대책 수립 · 이행
- 무선 네트워크 사용 신청 및 해지 절차 수립 · 이행
2.6.6 원격접근 통제
- 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지
- 원격접근을 허용하는 경우 보호대책을 수립 · 이행
- 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정
- 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등)
- 인터넷 외부 네트워크를 통한 원격운영 금지
- 내부 네트워크를 통한 원격 운영 시 특정 단말에 한하여 접근 허용
- 원격업무 수행 시 침해사고 예방 대책 수립 · 이행
- 개인정보처리시스템에 직접 접속하는 단말기에 대한 보호조치 적용
2.6.7 인터넷 접속 통제 (★★★)
[두음] 인망
인터넷 접근 통제, 망분리
[두음] 망삼백백
망분리 의무(개인정보취급자), 전년도 말 직전 3개월간,일일평균 이용자 수 100만 명 이상,
정보통신서비스부문 전년도 매출액 100억 원 이상 (정보통신서비스 제공자 등)
[두음] 다파접
다운로드,파기, 접근권한
- 망분리
- 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등
- 인터넷 접속 또는 서비스 제한(P2P, 웹하드, 메신저 등)
- 인터넷 접속 통제 정책을 수립 · 이행
- 업무용 PC의 인터넷 접속에 대한 통제 정책
- 주요 정보시스템에서 불필요한 외부 인터넷 접속 통제
- 망분리 의무 대상자를 안전한 방식으로 망분리 적용
2.7 암호화 적용
2.7.1 암호정책 적용
- 개인정보 및 주요정보 보호,
- 암호화 대상, 암호 강도, 암호 사용 정책을 수립
- 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용
2.7.2 암호키 관리
- 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립·이행
- 암호키 별도의 안전한 장소에 보관, 접근권한 최소화
2.8 정보시스템 도입 및 개발 보안
2.8.1 보안 요구사항 정의
- 정보시스템의 도입·개발·변경 시
- 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등
- 보안 요구사항을 정의하고 적용
- 보안성 검증 기준 및 절차, 보안성 검토
2.8.2 보안 요구사항 검토 및 시험
- 사전 정의된 보안 요구사항에 따른 정보시스템 도입 또는 구현 여부 검토
- 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등
- 검토 기준과 절차를 수립·이행, 문제점에 대한 개선조치를 수행
- 확인, 시험, 개선계획, 이행점검
2.8.3 시험과 운영 환경 분리
- 개발 및 시험 시스템과 운영시스템 분리
- 분리 어려운 경우 보안대책 마련
- 상호검토, 상급자 모니터링, 변경 승인, 책임 추적성 확보 등
2.8.4 시험 데이터 보안
- 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립·이행
- 개발 및 시험 과정에서 실제 운영 데이터의 사용 제한
- 불가피한 사용 시 통제 절차를 수립·이행
- 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등
2.8.5 소스 프로그램 관리
- 비인가자에 의한 소스 프로그램 접근 통제 절차를 수립·이행
- 소스 프로그램은 운영환경이 아닌 곳에 안전하게 보관
- 소스 프로그램에 대한 변경이력 관리
- 형상관리 시스템
2.8.6 운영환경 이관
- 운영환경으로 안전하게 이관하기 위한 통제 절차 수립·이행
- 운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련
- 운영환경에는 서비스 실행에 필요한 파일만을 설치
2.9 시스템 및 서비스 운영
2.9.1 변경관리
- 정보시스템 자산 변경 절차 수립 · 이행
- 정보시스템 자산 변경 수행 전 성능 및 보안 영향 분석
2.9.2 성능 및 장애 관리
- 성능 및 용량 모니터링 절차 수립 · 이행
- 임계치 초과 시 대응절차 수립 · 이행
- 장애 대응 절차 수립 · 이행
- 장애 조치내역 기록 및 관리
- 장애원인 분석 및 재발방지 대책 마련
2.9.3 백업 및 복구 관리
- 정보시스템 가용성과 데이터 무결성 유지
- 백업 및 복구절차 수립 · 이행
- 정기적 복구 테스트 실시
- 백업매체 소산
2.9.4 로그 및 접속기록 관리
- 사용자 접속 기록, 시스템로그, 권한부여 내역 등
- 로그유형, 보존기간, 보존방법 등을 정하고 안전하게 보존 · 관리
- 로그관리 절차 수립 및 로그 생성 · 보관
- 로그기록을 별도 저장장치를 통해 백업 및 로그기록 접근권한 최소화
- 개인정보처리시스템 접속기록은 법적 요구사항 준수
2.9.5 로그 및 접속기록 점검
- 접근 및 사용에 대한 로그 검토기준 수립,
- 주기적 점검, 문제 발생 시 사후조치 적시 수행
- 이상접속 및 이상행위에 대한 모니터링 및 경고·알림 정책(기준)이 수립
- 로그 검토 및 모니터링 절차 수립 · 이행
- 로그 검토 및 모니터링 결과 보고 및 이상징후 발견 시 대응
- 개인정보처리시스템 접속기록 정기적 점검
- 다운로드 사유 확인
2.9.6 시간 동기화
- 정보시스템 표준 시간 동기화
- 시간 동기화 주기적 점검
2.9.7 정보자산의 재사용 및 폐기
- 정보자산의 재사용 및 폐기 절차 수립 · 이행
- 재사용 및 폐기 시 중요정보가 복구되지 않는 방법으로 처리
- 자체적 폐기 시 관리대장을 통한 이력관리
- 외부업체통한 폐기 시 폐기절차를 계약서에 명시 및 절차 준수 확인
- 유지보수 과정에서 교체, 복구 발생 시 보호 대책 마련
2.10 시스템 및 서비스 보안관리
2.10.1 보안시스템 운영
- 보안시스템 운영절차 수립 · 이행
- 보안시스템 허용 인원 최소화 및 비인가자 접근 통제
- 보안시스템 정책 변경 공식 절차 수립 · 이행
- 보안시스템 예외 정책 등록 절차 관리 및 예외 정책 사용자 최소화 관리
- 보안시스템 설정 정책 타당성 주기적 검토
- 개인정보처리시스템에 대한 보안시스템 설치 · 운영
2.10.2 클라우드 보안
- 클라우드 서비스 제공자와 (개인)정보보호 책임과 역할 계약서 반영
- 클라우드 서비스 이용 시 보안 통제 정책 수립 · 이행
- 클라우드 서비스 관리자 권한 최소화 및 보호대책 적용
- 클라우드 서비스 보안 운영현황 모니터링 및 정기적 검토
2.10.3 공개서버 보안
- 공개서버 운영 시 보호대책 수립 · 이행
- 공개서버는 서비스 관리자 권한 최소화 및 보호대책 적용
- 공개서버 중요정보 게시 절차 수립 · 이행
- 웹사이트 중요정보 노출 차단 조치 수행
2.10.4 전자거래 및 핀테크 보안
- 전자거래 및 핀테크 서비스 제공 시 보호대책 수립 · 이행
- 외부시스템과 연계 시 송 · 수신 정보 보호 대책 수립 · 이행 및 안전성 점검
2.10.5 정보전송 보안
- 외부에 중요정보 전송 시 안전한 전송 정책 수립
- 조직 간 중요정보를 상호교환 시 보호대책 수립
2.10.6 업무용 단말기기 보안
- 업무용 단말기 보안 통제 정책 수립 · 이행
- 업무용단말기를 통해 중요정보 유출 방지 정책 수립 · 이행
- 업무용 모바일 기기의 중요정보 유 · 노출을 방지 보안 대책 적용
- 업무용 단말기기 접근통제 대책 적절성 검토
2.10.7 보조저장매체 관리
- 보조저장매체 사용 정책 및 절차 수립 · 이행
- 보조저장매체 관리현황 주기적 점검
- 보호구역 내 보조저장매체 사용 제한
- 보조저장매체 보호대책 마련
- 보조저장매체를 안전한 장소에 보관
2.10.8 패치관리
- 패치관리 정책 및 절차 수립 · 이행
- 패치적용 현황 주기적 관리
- 최신 패치 미적용 시 보완대책 마련
- 주요 자산은 인터넷 접속을 통한 패치 제한
- 패치관리시스템(PMS) 활용 시 보호대책 마련
2.10.9 악성코드 통제
- 악성코드 보호대책 수립 · 이행
- 백신을 통한 악성코드 예방 타지 활동 수행
- 백신 최신 상태 유지 및 필요 시 긴급 업데이트 수행
- 악성코드 감염 시 대응절차 수립 · 이행
2.11 사고 예방 및 대응
2.11.1 사고 예방 및 대응체계 구축
- 침해사고 예방 및 대응체계 구축
- 외부 기관 활용 시 침해사고 대응절차 내용 계약서 반영
- 침해사고 관련 기관과 협조체계 수립
2.11.2 취약점 점검 및 조치
- 취약점 점검 절차 수립 및 정기적 점검 수행
- 발견된 취약점 조치 수행 및 책임자 보고
- 최신 보안취약점 파악 및 영향도 분석 · 조치
- 취약점 점검 이력 기록 관리
2.11.3 이상행위 분석 및 모니터링
- 이상행위 분석 및 모니터링 수행
- 이상행위 판단 기준 · 임계치 정의 및 조치 수행
2.11.4 사고 대응 훈련 및 개선
- 사고 대응 훈련계획 수립 및 실시
- 사고 대응체계 개선
- 모의훈련 연 1회 이상 실시, 훈련결과 반영한 대응체계 개선
2.11.5 사고 대응 및 복구
- 사고 대응 절차에 따라 대응 및 보고
- 개인정보 침해사고 발생 시 신고 절차 이행
- 사고 종결 후 결과 보고
- 침해사고 대응체계 변경
2.12 재해 복구
2.12.1 재해 ∙ 재난 대비 안전조치
- IT 재해 유형 식별 및 핵심 업무 및 시스템 식별
- 복구 목표시간, 복구 목표시점 정의
- RTO, RPO, 재해 복구체계 구축
2.12.2 재해 복구 시험 및 개선
- 재해 복구 시험계획 수립 · 이행
- 복구전략 및 대책 검토 · 보완
'도전! ISMS-P 인증 심사원 > [학습 요약] ISMS-P 인증기준 안내서' 카테고리의 다른 글
| 2. 보호대책 요구사항 (0) | 2023.05.08 |
|---|---|
| 1. 관리체계 수립 및 운영 (0) | 2023.05.08 |
| 1. "관리체계 수립 및 운영" 인증기준 키워드 정리 (0) | 2023.02.21 |
| ISMS-P 개인정보 처리 단계별 요구사항 인증기준 (0) | 2023.02.20 |
| 3. "개인정보 처리 단계별 요구사항" 인증기준 키워드 정리 (0) | 2023.02.04 |
댓글