반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.11 사고 예방 및 대응 | 2.11.1 사고 예방 및 대응체계 구축 |
| 2.11.2 취약점 점검 및 조치 | |
| 2.11.3 이상행위 분석 및 모니터링 | |
| 2.11.4 사고 대응 훈련 및 개선 | |
| 2.11.5 사고 대응 및 복구 |
개천오일 정무일
침해시도 탐지 · 대응 · 분석 및 공유 체계 / 절차 수립,
외부기관 및 전문가 협조체계 구축
개인정보처리자, 1천 명 이상 개인정보 유출 시 보호위원회 또는 KISA에 신고
정보통신서비스 제공자, 유출건수 무관, 24시간 이내 신고
핵심 키워드
침해사고 예방 및 대응체계 구축
외부 기관 활용 시 침해사고 대응절차 내용 계약서 반영
침해사고 관련 기관과 협조체계 수립
▶ 개인정보 유출 신고 기준
연관 두음
▶ 개인정보 유출 신고 기준
[두음] 개천오일 정무일
개인정보처리자, 1천 명 이상 유출, 5일 이내
정보통신서비스 제공자, 유출 건수와 무관, 24시간(1일) 이내
인증기준
침해사고 및 개인정보 유출 등을 예방하고
사고 발생 시 신속하고 효과적으로 대응할 수 있도록
내 · 외부 침해시도의 탐지 · 대응 · 분석 및 공유를 위한 체계와 절차를 수립하고,
관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
주요 확인사항
* 침해사고 및 개인정보 유출사고를 예방하고
사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
* 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축 · 운영하는 경우
침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
* 침해사고의 모니터링, 대응 및 처리를 위하여
외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
세부 설명
□ 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시
신속하고 효과적으로 대응하기 위한 체계와 절차를 다음 내용을 포함하여 마련하여야 한다.
▶ 침해사고의 정의 및 범위(개인정보 유출사고, 서비스거부공격 등)
▶ 침해사고 유형 및 중요도
▶ 침해사고 선포절차 및 방법
▶ 비상연락망 등의 연락체계
▶ 침해사고 탐지 체계
▶ 침해사고 발생 시 기록, 보고절차
▶ 침해사고 신고 및 통지 절차(관계기관, 정보주체 및 이용자 등)
▶ 침해사고 보고서 작성
▶ 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
▶ 침해사고 복구조직의 구성, 책임 및 역할
▶ 침해사고 복구장비 및 자원조달
▶ 침해사고 대응 및 복구 훈련, 훈련 시나리오
▶ 외부 전문가나 전문기관의 활용방안
▶ 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
□ 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축 · 운영하는 경우
침해사고 대응절차의 세부사항을 계약서(SLA 등)에 반영하여야 한다.
□ 침해사고의 모니터링, 대응 및 처리를 위하여
외부전문가, 전문업체, 전문기관 등과 협조체계를 수립하여야 한다.
결함사례
사례 1 :
침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
사례 2 :
내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등)
대응 절차를 수립하여 명시하고 있으나,
침해사고 발생 시 사고 유형 및 심각도에 따른
신고 · 통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
사례 3 :
침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나,
담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
사례 4 :
침해사고 신고 · 통지 및 대응 협조를 위한 대외기관 연락처에
기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나,
일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
사례 5 :
외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나,
침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가
계약서나 SLA에 명확하게 정의되지 않은 경우
사례 6 :
침해사고 대응절차를 수립하였으나,
개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
가상자산 사업자 대상 주요 확인사항
월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시
보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.11.3 이상행위 분석 및 모니터링 (0) | 2023.01.16 |
|---|---|
| 2.11.2 취약점 점검 및 조치 (0) | 2023.01.16 |
| 2.10.9 악성코드 통제 (0) | 2023.01.15 |
| 2.10.8 패치관리 (0) | 2023.01.15 |
| 2.10.7 보조저장매체 관리 (0) | 2023.01.15 |
댓글