[ISMS-P] 보호대책 요구사항 (2.9 시스템 및 서비스 운영관리)

#보호대책 요구사항 기준

2.9 시스템 및 서비스 운영관리

2.9.1 변경관리

인증기준 : 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립/이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.

 

확인사항

- 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립/이행하고 있는가?

- 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?

 

증거자료

- 변경관리 절차

- 변경관리 수행 내역(신청/승인, 변경 내역 등)

- 변경에 따른 영향분석 결과

 

결함사례

1) 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행/승인 증적이 확인되지 않은 경우

2) 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되어 있지 않은 경우

3) 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석/협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않은 경우

---

2.9.2 성능 및 장애관리

인증기준 : 정보시스템의 가용성 보장을 위하여 성능 및 용령 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지/기록/분석/복구/보고 등의 절차를 수립/관리하여야 한다.

 

확인사항

- 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립/이행하고 있는가?

- 정보시스템 성능 및 용령 요구사항(임게치)를 초과하는 경우에 대한 대응절차를 수립/이행하고 있는가?

- 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립/이행하고 있는가?
- 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하고 있는가?

- 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?

 

증거자료

- 성능 및 용량 모니터링 절차

- 성능 및 용령 모니터링 증적(내부보고 결과 등)

- 장애대응 절차

- 장애조치보고서

 

결함사례

1) 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검 보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우

2) 성능 또는 용령 기준을 초과하였으나 관련 검토 및 후속조치방안 수립/이행이 이루어지고 있지 않은 경우

3) 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내외부 환경변화가 적절히 반영되지 않은 경우

4) 장애처리절차와 장애유형별 조치방법 간 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속/정확하고 체계적인 대응이 어려운 경우

---

2.9.3 백업 및 복구관리

인증기준 : 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립/이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

 

확인사항

- 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립/이행하고 있는가?

- 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?

- 중요정보가 저장된 백업매체의 경우 재해/재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치 의무)

- 개인정보의 안전성 확보조치 기준 제12조(재해/재난 대비 안전조치)

 

증거자료

- 백업 및 복구 절차

- 복구테스트 결과

- 소산백업 현황

 

결함사례

1) 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우

2) 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우

3) 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안 시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우

4) 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구 테스트를 장기간 실시하지 않은 경우

---

2.9.4 로그 및 접속기록 관리

인증기준 : 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위/변조, 도난, 분실되지 않도록 안전하게 보존/관리하여야 한다.

 

확인사항

- 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?

- 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고, 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가?

- 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?

증거자료

- 로그관리 절차

- 로그기록 내역

- 로그 저장장치에 대한 접근통제 내역

- 개인정보 접속기록 내역

 

결함사례

1) 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우

2) 보안 이벤트 로그, 응용 프로그램 및 서비스 로그 등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록/보관되고 있지 않은 경우

3) 중요 리눅스 계약 서버에 대한 로그 기록으 별도로 백업하거나 적절히 보호하지 않아 사용자의 명량 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우

4) 개인정보처리시스템에 접속한 기록을 확인할 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기고 있으나, 처리한 정보주체 정보 및 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우

5) 로그 서버의 용령의 충분하지 않아서 개인정보처리시스템 접속기록이 3개월밖에 남아 있지 않은 경우

6) 공공기관 등 개인정보처리자가 정보주체 10만 명의 개인정보를 처리하는 개인정보처리 시스템의 접속기록을 1년간만 보관하고 있는 경우

---

2.9.5 로그 및 접속기록 점검

인증기준 : 정보시스템의 정상적인 사용을 보장하고 사용자 오/남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다.

 

확인사항

- 정보시스템 관련 오류, 오/남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립/이행하고 있는가?

- 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?

- 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)

- 개인정보의 기술적/관리적 보호조치 기준 제5조(접속기록의 위/변조 방지)

 

증거자료

- 로그 검토 및 모니터링 절차

- 로그 검토 및 모니터링 결과(검토내역, 보고서 등)

- 개인정보 접속기록 점검 내역

- 개인정보 다운로드 시 사유 확인 기준 및 결과

- 이상징후 발견 시 대응 증적

 

결함사례

1) 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적/연속적 조회 등)에 대한 모니터링 및 경고 알림 정책(기준)이 수립되어 있지 않은 경우

2) 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검, 모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우

3) 개인정보처리자 또는 정보통신서비스제공자가 개인정보처리시스템의 접속기록 점검 주기를 반기 1회로 정하고 있는 경우

4) 개인정보처리자의 내부관리계획에는 1000명 이상의 정보주체에 대한 개인정보를 다운로드 한 경우에는 사유를 확인하도록 기준이 책정되어 있는 상태에서 1000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우

---

2.9.6 시간 동기화

인증기준 : 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다.

 

확인사항

- 정보시스템의 시간을 표준시간으로 동기화하고 있는가?

- 시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가?

 

증거자료

- 시간 동기화 설정

- 주요 시스템 시간 동기화 증적

 

결함사례

1) 일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며, 관련 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우

2) 내부 NTP 서버와 시각을 동기화하도록 설정하고 있으나 일부 시스템의 시각이 동기화되지 않고 있고 이에 대한 원인분석 및 대응이 이루어지고 있지 않은 경우

---

2.9.7 정보자산의 재사용 및 폐기

인증기준 : 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구/재생되지 않도록 안전한 재사용 및 폐기 절차를 수립/이행하여야 한다.

 

확인사항

- 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립/이행하고 있는가?

- 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?

- 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적으로 함께 보관하고 있는가?

- 외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기하였는지 여부를 확인하고 있는가?

- 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?

 

관련법규

- 개인정보 보호법 제21조(개인정보의 파기)

- 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)

 

증거자료

- 정보자산 폐기 및 재사용 절차

- 저장매체 관리대장

- 정보자산 및 저장매체 폐기증적

- 정보자산 및 저장매체 파기 관련 위탁 계약서

 

결함사례

1) 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재상하고 있는 등 관련 절차가 이행되고 있지 않은 경우

2) 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리/감독이 이루어지지 않은 경우

3) 폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기이력 및 추적할 수 있는 증적을 확인할 수 없는 경우

4) 회수 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우