본문 바로가기
도전! ISMS-P 인증 심사원/2. 보호대책 요구사항

2.10.8 패치관리

by JM's Dad 2023. 1. 15.
반응형

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.10 시스템 및 서비스 보안관리   2.10.1 보안시스템 운영
  2.10.2 클라우드 보안
  2.10.3 공개서버 보안
  2.10.4 전자거래 및 핀테크 보안
  2.10.5 정보전송 보안
  2.10.6 업무용 단말기기 보안
  2.10.7 보조저장매체 관리
  2.10.8 패치관리
  2.10.9 악성코드 통제


패치관리 정책/절차 수립 · 이행,

패치 현황 주기적 관리,

공개 인터넷 접속을 통한 패치를 제한, 

PMS

핵심 키워드 

 

패치관리 정책 및 절차 수립 · 이행
패치적용 현황 주기적 관리
최신 패치 미적용 시 보완대책 마련
주요 자산은 인터넷 접속을 통한 패치 제한
패치관리시스템(PMS) 활용 시 보호대책 마련

 

연관 두음

 


 

인증기준

 

소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여
최신 패치를 적용하여야 한다.
다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우
별도의 보완대책을 마련하여 이행
하여야 한다.

 

주요 확인사항

 

* 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라
  운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립 · 이행하고 있는가?

* 주요 서버, 네트워크시스템, 보안시스템 등의 경우
  설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가?

* 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우
  보완대책을 마련
하고 있는가?

* 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?

* 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?

 

세부 설명

 

□ 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라

   OS와 소프트웨어의 패치관리 정책 및 절차를 수립 · 이행하여야 한다.

 

□ 주요 서버, 네트워크시스템, 보안시스템 등의 경우

   설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.

 

□ 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우

   보완대책을 마련하여야 한다.

 

□ 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.

 

□ 패치관리시스템(PMS)을 활용하는 경우 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로

   패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.

 

결함사례

 

사례 1 :
일부 시스템에서 타당한 사유나 책임자 승인 없이
OS패치가 장기간 적용되고 있지 않은 경우

사례 2 :
일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나,
이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우

사례 3 :
상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나,
오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는
최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아
최신 보안패치가 적용되고 있지 않은 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

반응형

댓글