대책 구현 및 운영

(1) 정보보호 대책 구현

①. 통제(Control) : 합리적인 수준 보증을 제공하기 위하여 설계된 정책, 절차, 실무관행 그리고 조직 구조 정의

②. 통제 구분

1. 통제 수행 시점

- 예방통제 : 발생가능한 잠재적인 문제들을 식별 사전에 대처하는 능동적인 개념의 통제

- 탐지통제 : 예방통제를 우회하는 문제점을 찾아내는 통제. 로깅기능을 통한 감사증적 등이 해당

- 교정통제 :  탐지 통제를 통하여 발견된 문제점들을 해결하기 위하여 조치가 필요하다. 문제 발생 원인과 영향을 분석하여 교정하기 위한 조치가 필요한 통제

- 잔류위험 :  관리를 통하여 사건 발생 가능성과 손실관점에서 위험을 허용하는 부분에 남아있는 위험

2. 통제 구현 방식에 다른 시점

- 관리통제 : IT자원을 관리하는 직원에 대한통제, 직원의 보안, 직무분리, 직무순환, 최소한의 원칙, 최소지식의 원칙

- 운영통제 : 운영에 관련된 통제를 의미한다. 이에는 문서화, 하드웨어 통제, 소프트웨어 통제, 매체 통제등이 속함.

3. 통제 구체성에 따라

- 일반통제

- 응용통제(입력통제, 처리통제, 출력통제)

 

(2) 정보보호 교육 및 훈련

①. 정보보호 인식 프로그램 : 조직내의 보안에 대한 인식수준을 높이기 위함. 연간계획서를 수립 계획표에 따라 실제 적용 할수 있도록 한다.

 

②. 교육 대상자 분류

1. 최고 경영자를 포함한 임직원

2. 조직의 신입지원

3. 조직의 IT이용자 그룹

4. IT시스템 운여자와 개발자 그룹

5. 시설을 물리적/전자적으로 출입하는 제3자 그룹

6. 조직이 제공하는 정보를 이용하는 일반 외부자 그룹

7. 개인정보보호 교육의 경우 취급자, 고나리자 담당자, 책임자 대상별 교육

 

③. 교육 내용

1. 일반교육 : 직원, 외부직원을 대상으로 기본적인 정보보호 이행 활동 및 정보보호에 대한인식 전환을 목표로 연1~2회 실시, 정책 규정 변경시, 직원 채용시 실시

2. 전문교육 : 정보보호 담당자 및 정보시스템 업무 종사자를 대상으로 실무적인 관점에서 주요 정보시스템을 보호하기 위한 전문적인 지식 습득을 목표로 연 1회이상 실시.

 

④. 교육평가와 피드백

교육 훈련 진행 후에는 반드시 설문조사를 통한 교육에 대한 피드백을 받아야 한다.

 

 

(3) 컴퓨터/네트워크 보안운영

① 컴퓨터 운영

1. 컴퓨터 운영관리 기준

- 컴퓨터 운영 관리 기준을 수립하여 사용자에게 기준 준수를 제시한다. 시스템 시작과 종료시간, 시스템 오류 및 수정내용, 데이터 파일 및 컴퓨터 출력물의 정확한 취급에 대한 확인등 컴퓨터 운영의 확인이나 사고조사를 위해 활동에 대한 기록을 남기고 주기적으로 검토

- 개인의 책임성

- 사고조사

- 침입 탐지

2. PC보안 운영 준수 가이드

-업무적 목적 외사용제한

-주변장치 설치 및 변경제한

- 이동식 보조기억장치의 승인, PC및 저장매체 반출 승인, 저장매체 폐기

- 지적재산권 준수

- 소프트 웨어 설치 제한

- PC유지보수

- 바이러스 백신 프로그램 운영관리, 보안패치 적용 권고, 인터넷 사용의 기준수립

- 이동 컴퓨팅 장비의 사용 승인, 공용 PC의 사용 관리

 

② 네트워크 보안정책과 네트워크 운영

- 네트워크 물리적, 논리적 접근에 대한 보안정책을 수립하고 운영해야 하며 네트워크 운영간에 기술적, 관리적 인 세부절차를 마련.

- 정보통신망 접속에 따른 접속기준 및 절차를 규정하고 접근 가능한 통신 및 경로를 최소화하여 장애 발생을 최소화

 

1. 업무망과 인터넷 망의 분리

- 업무망과 인터넷 망은 원칙적으로 분리

2. 개발업무와 다른 업무용 네트워크 분리

- 개발 업무와 다른 네트워크 업무를 사용하는 네트워크 분리

3. 인가된 서비스에 대해서만 접속 가능하도록 설정

4. 네트워크 운영 효율성을 위해 세그먼트 또는 서비스별로 나누어 관리

 

③ 매체관리

1. 데이터 보관

- 데이터 식별번호

- 보관목적

- 보관일시

- 보관기간

- 보관 책임자

2. 데이터 폐기

- 데이터 보존연한

- 데이터 매체에 따른 폐기방식

- 폐기 확인 방법

- 폐기 이유

- 폐기 일시

- 폐기 내용

- 폐기관리대장 목록 작성

④

⑤