전체 글 (49) 썸네일형 리스트형 [ISMS-P] 보호대책 요구사항 (2.11 사고 예방 및 대응) #보호대책 요구사항 기준 2.11 사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 인증기준 : 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내/외부 침해시도의 탐지, 대응, 분석 및 공유를 위한 체계와 절차를 수립하고 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. 확인사항 - 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가? - 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축, 운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가? - 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립.. [ISMS-P] 보호대책 요구사항 (2.10 시스템 및 서비스 보안관리) #보호대책 요구사항 기준 2.10 시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 인증기준 : 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립/이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. 확인사항 - 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립/이행하고 있는가? - 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가? - 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립/이행하고 있는가? - 보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가? - 보안시스템에 설정된 정.. [ISMS-P] 보호대책 요구사항 (2.9 시스템 및 서비스 운영관리) #보호대책 요구사항 기준 2.9 시스템 및 서비스 운영관리 2.9.1 변경관리 인증기준 : 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립/이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다. 확인사항 - 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립/이행하고 있는가? - 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가? 증거자료 - 변경관리 절차 - 변경관리 수행 내역(신청/승인, 변경 내역 등) - 변경에 따른 영향분석 결과 결함사례 1) 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안 위험성 및 성능 평가에 대한 수행/승인 증.. [ISMS-P] 보호대책 요구사항 (2.8 정보시스템 도입 및 개발 보안) #보호대책 요구사항 기준 2.8 정보시스템 도입 및 개발 보안 2.8.1 보안 요구사항 정의 인증기준 : 정보시스템의 도입/개발/변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. 확인사항 - 정보시스템을 신규로 도입, 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립 이행하고 있는가? - 정보시스템을 신규로 도입, 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영되고 있는가? - 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가? 증거자료 - 정보시스템 인수 기준 및 절차 - 정보시스템 도.. [ISMS-P] 보호대책 요구사항 (2.7 암호화 적용) #보호대책 요구사항 기준 2.7 암호화 적용 2.7.1 암호정책 적용 인증기준 : 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장/전송/전달 시 암호화를 적용하여야 한다. 확인사항 - 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? - 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? 관련법규 - 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) - 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) - 개인정보의 기술적/관리적 보호조치 기준 제6조.. [ISMS-P] 보호대책 요구사항 (2.6 접근통제) #보호대책 요구사항 기준 2.6 접근통제 2.6.1 네트워크 접근 인증기준 : 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립/이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ), 서버팜, 데이터베이스좀, 개발존 등와 접근통제를 적용하여야 한다. 확인사항 - 조직의 네트워크 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? - 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가? - 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 외부 연결이 필요하지 않은 경우 .. [ISMS-P] 보호대책 요구사항 (2.5 인증 및 권한관리) #보호대책 요구사항 기준 2.5 인증 및 권한관리 2.5.1 사용자 계정관리 인증기준 : 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록, 해지 및 접근권한 부여, 변경, 말소 절차를 수립/이행하고 사용자 등록 및 권한 부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 확인사항 - 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록, 변경, 삭제에 관한 공식적인 절차를 수립/이행하고 있는가? - 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성/등록/변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가?.. [ISMS-P] 보호대책 요구사항 (2.4 물리 보안) #보호대책 요구사항 기준 2.4 물리 보안 2.4.1 보호구역 지정 인증기준 : 물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역/제한구역/접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립/이행하여야 한다. 확인사항 - 물리적/환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가? - 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립/이행하고 있는가? 관련법규 - 개인정보 보호법 제29조(안전조치의무) - 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) - 개인.. 이전 1 2 3 4 5 ··· 7 다음
