2.10.1 보안시스템 운영

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.10 시스템 및 서비스 보안관리	2.10.1 보안시스템 운영
	2.10.2 클라우드 보안
	2.10.3 공개서버 보안
	2.10.4 전자거래 및 핀테크 보안
	2.10.5 정보전송 보안
	2.10.6 업무용 단말기기 보안
	2.10.7 보조저장매체 관리
	2.10.8 패치관리
	2.10.9 악성코드 통제

---

---

보안시스템 운영 절차 수립 · 이행, 정책적용 현황 관리

관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링

방화벽 정책의 적정성과 방화벽 접근 계정 정기적 검토

핵심 키워드 

 

보안시스템 운영절차 수립 · 이행
보안시스템 허용 인원 최소화 및 비인가자 접근 통제
보안시스템 정책 변경 공식 절차 수립 · 이행
보안시스템 예외 정책 등록 절차 관리 및 예외 정책 사용자 최소화 관리
보안시스템 설정 정책 타당성 주기적 검토
개인정보처리시스템에 대한 보안시스템 설치 · 운영

 

연관 두음

---

인증기준

 

보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의
운영절차를 수립 · 이행하고 보안시스템별 정책적용 현황을 관리하여야 한다.

 

주요 확인사항

 

* 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립 · 이행하고 있는가?

* 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고
  비인가자의 접근을 엄격하게 통제하고 있는가?

* 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립 · 이행하고 있는가?

* 보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며,
  예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가?

* 보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가?

* 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여
  관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가?

 

세부 설명

 

□ 조직에서 운영하고 있는 보안시스템에 대하여 다음 내용을 포함한 운영절차를 수립 · 이행하여야 한다.

 

▶ 보안시스템 유형별 책임자 및 관리자 지정

▶ 보안시스템 정책(룰셋 등) 적용(등록, 변경, 삭제 등) 절차

▶ 최신 정책 업데이트 방안 :

  IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한

  최신 패턴(시그너처) 및 엔진의 지속적 업데이트

▶ 보안시스템 이벤트 모니터링 절차(정책에 위배되는 이상징후 탐지 및 확인 등)

▶ 보안시스템 접근통제 정책(사용자 인증, 관리자 단말 IP 또는 MAC 등)

▶ 보안시스템 운영현황의 주기적 점검

▶ 보안시스템 자체에 대한 접근통제 방안 등

 

 

□ 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하여야 한다.

 

□ 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립 · 이행하여야 한다.

 

□ 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립 · 이행하여야 한다.

 

□ 보안시스템에 설정된 정책의 타당성 여부를 다음 사항을 고려하여 주기적으로 검토하여야 한다.

 

▶ 내부 보안정책·지침 위배(과다 허용 규칙 등)

▶ 공식적인 승인절차를 거치지 않고 등록된 정책

▶ 장기 미사용 정책

▶ 중복 또는 사용기간 만료 정책

▶ 퇴직 및 직무변경자 관련 정책

▶ 예외 관련 정책 등

 

□ 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여

   법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하여야 한다.

 

결함사례

 

사례 1 :
침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아
불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우

사례 2 :
보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나,
절차는 있으나 이를 준수하지 않은 경우

사례 3 :
보안시스템의 관리자 지정 및 권한 부여 현황에 대한
관리감독이 적절히 이행되고 있지 않은 경우

사례 4 :
내부 지침에는 정보보호담당자가
보안시스템의 보안정책 변경 이력을 기록 · 보관하도록 정하고 있으나,
정책관리대장을 주기적으로 작성하지 않고 있거나
정책관리대장에 기록된 보안 정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)