정보보호 관리체계 인증 관리과정 요구사항
1. 정보보호정책 수립 및 범위설정
1.1 정보보호정책의 수립 조직이 수행하는 모든 정보 보호 활동의 근거를 포함할 수 있도록 정보보호 정책을 수립하고 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다.
1.2 범위설정 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.
2. 경영진 책임 및 조직구성
2.1 경영진 참여 정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여야 한다.
2.2 정보보호 조직 구성 및 자원 할당 최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보하여야 한다.
3. 위험관리
3.1 위험관리 방법 및 계획 수립 관리적, 기술적,물리적, 법적 분야 등 조직의 정보보호 전 영역에 대한 위험 시별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체 적으로 포함한 위험관리계획을 사전에 수립하여야 한다.
3.2 위험식별 및 평가 위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 선정하여 관리하여야한다.
3.3 정보보호대책 선정 및 이행계획 수립 위험을 수용 가능한 수준으로 감소시키기 위해 정보보호 대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한이행계획을 수립하여 경영진의 승인을 받아야 한다.
4. 정보보호대책 구현
4.1 정보보호대책의 효과적 구현 정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행 결과의 정확성 및 효과성 여부를 확인하여야 한다.
4.2 내부 공유 및 교육 구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련내용을 공유하고 교육하여야 한다.
5. 사후관리
5.1 법적요구사항 준수검토 조직이 준수해야 할 정보보호 관련 법적요구사항을 지속적으로 파악하여 최신성을 유지하고 준수여부를 지속적으로 검토 하여야 한다.
5.2 정보보호 관리체계 운영현황 관리 정보보호 관리 체계 범위 내에서 주기적 또는 상시적으로 수행 해야 하는 활동을 문서화하고 그 운영현황을 지속 적으로 관리하여야 한다.
5.3 조직은 정보보호 관리체계가 정해진 정책 및 법적요구사항에 따라 효과적으로 운영되고있는 지를 점검하기 위하여 연 1회 이상 내부감사를 수행하여야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료하여 경영진 및 관련 책임자에게 보고하여야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에대한 자격요건을 정의하여야 한다.
정보보호 관리체계 인증 정보보호대책 통제사항
1. 정보보호정책
1.1 정책의 승인 및 공표
1.1.1 정책의 승인 정보보호정책은 이해관련자의 검토와 최고경영자의 승인을 받아야 한다.
1.1.2 정책의 공표 정보보호정책 문서는 모든 임직 원 및 관련자에게 이해하기 쉬운 형태로 전달하 여야 한다.
1.2 정책의 체계
1.2.1 상위 정책과의 연계성 정보보호정책은 상위조직 및 관련 기관의 정책과 연계성을 유지하여야 한다.
1.2.2 정책시행 문서수립 정보보호정책의 구체적인시행을 위한 정보보호지침, 절차를 수립하고 관련 문서간의 일관성을 유지하여야 한다.
1.3 정책의 유지관리
1.3.1 정책의 검토 정기적으로 정보보호정책 및 정책시행문서의 타당성을 검토하고, 중대한 보안사고 발생, 새로운 위협 또는 취약성의 발견, 정보보호 환경에 중대한 변화 등이 정보보호정책에 미치는 영향을 분석하여 필요한 경우 제.개정하여야 한다.
1.3.2 정책 문서 관리 정보보호정책 및 정책 시행 문서의 이력관리를 위해 제정, 개정, 배포, 폐기 등의 관리절차를 수립하고 문서는 최신본으로 유지 하여야 한다. 또한 정책문서 시행에 따른 운영기록을 생성하여 유지하여야 한다.
2. 정보보호 조직
2.1 조직 체계
2.1.1 정보보호 최고책임자 지정 최고경영자는 임원급의 정보보호 최고책임자를 지정하고 정보보호 최고책임자는 정보보호정책 수립, 정보보호 조직 구성, 위험 관리, 정보보호위원회 운영 등의 정보보호에 관한 업무에 총괄 관리하여야 한다.
2.1.2 실무조직 구성 최고경영자는 정보보호 최고책임자의 역할을 지원하고 조직의 정보보호 활동을 체계적으로 이행하기 위해 실무조직을 구성하고 조직 구성원의 정보보호 전문성을 고려하여 구성 한다.
2.1.3 정보보호위원회 정보보호 자원할당 등 조직 전반에 걸친 중요한 정보보호 관련사항에 대한 검토 및 의사결정을 할 수 있도록 정보보호위원회를 구성하여 운영하여야 한다.
2.2 역할 및 책임
2.2.1 역할 및 책임 정보보호 최고책임자와 정보보호관련 담당자에 대한 역할 및 책임을 정의하고 그 활동을 평가할 수 있는 체계를 마련하여야 한다.
3. 외부자 보안
3.1 보안 요구사항 정의
3.1.1 외부자 계약 시 보안요구 사항 조직의 정보 처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시하여야 한다.
3.2 외부자 보안 이행
3.2.1 외부자 보안 이행관리 외부자가 계약서 및 협정서에 명시된 보안요구사항의 이행여부를 관리 감독하고 주기적인 점검 또는 감사를 수행하여야 한다.
3.2.2 외부자 계약 만료 시 보안 외부자와의 계약 만료, 업무 종료, 담당자 변경 시 조직이 외부자에게 제공한 정보자산의 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무수행 시 알게 된 정보의 비밀유지서약서 등의 내용을 확인하여야 한다.
4. 정보자산 분류
4.1 정보자산 식별 및 책임
4.1.1 정보자산 식별 조직의 업무특성에 따라 정보 자산 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다. 또한 식별된 정보자산을 목록으로 관리하여야 한다.
4.1.2 정보자산별 책임할당 식별된 정보자산에 대한책임자 및 관리자를 지정하여 책임소재를 명확히
하여야 한다.
4.2 정보자산의 분류 및 취급
4.2.1 보안등급과 취급 기밀성, 무결성, 가용성, 법적 요구사항 등을 고려하여 정보자산이 조직에 미치는 중요도를 평가하고 그 중요도에 따라 보안등급을 부여하여야 한다. 또한 보안등급을 표시하고 등급 부여에 따른 취급절차를 정의하여 이행하여야 한다.
5. 정보보호 교육
5.1 교육 프로그램 수립
5.1.1 교육계획 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 계획을 수립하여야 한다.
5.1.2 교육대상 교육 대상에는 정보보호 관리체계 범위 내 임직원 및 외부자를 모두 포함하여야 한다.
5.1.3 교육내용 및 방법 교육에는 정보보호 및 정보보호 관리체계, 보안사고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.
5.2 교육 시행 및 평가
5.2.1 교육 시행 및 평가 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 조직 내.외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행하여야 한다. 또한 교육 시행에 대한 기록을 남기고 평가하여야
한다
6. 인적 보안
6.1 정보보호 책임
6.1.1 주요 직무자 지정 및 감독 인사정보, 영업비밀,산업기밀, 개인정보 등 중요정보를 대량으로 취급 하는 임직원의 경우 주요직무자로 지정하고 주요 직무자 지정을 최소화 하는 등 관리할 수 있는 보호대책을 수립하여야 한다.
6.1.2 직무분리 권한 오남용 등 고의적인 행위로 인해 발생할 수 있는 잠재적인 피해를 줄이기 위하여 직무분리 기준을 수립하고 적용하여야 한다. 다만 인적 자원 부족 등 불가피하게 직무분리가
어려운 경우 별도의 보완통제를 마련하여야 한다.
6.1.3 비밀유지서약서 임직원으로부터 비밀유지서약서를 받아야 하고 임시직원이나 외부자에게 정보 시스템에 대한 접근권한을 부여할 경우에도 비밀 유지서약서를 받아야 한다.
6.2 인사 규정
6.2.1 퇴직 및 직무변경 관리 퇴직 및 직무변경 시 인사부서와 정보보호 및 시스템 운영 부서 등 관련 부서에서 이행해야 할 자산반납, 접근권한 회수. 조정, 결과 확인 등의 절차를 수립하여야 한다.
6.2.2 상벌규정 인사규정에 직원이 정보보호 책임과 의무를 충실히 이행했는지 여부 등 정보보호 활동 수행에 따른 상벌규정을 포함하여야 한다.
7. 물리적 보안
7.1 물리적 보호구역
7.1.1 보호구역 지정 비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역 별 보호대책을 수립.이행하여야 한다.
7.1.2 보호설비 각 보호구역의 중요도 및 특성에 따라 화재, 전력이상 등 인.재해에 대비하여 온습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 설비를 충분히 갖추고 운영절차를 수립하여 운영하여야 한다. 또한 주요 시스템을 외부 집적정보통신시설에 위탁운영하는 경우 관련 요구사항을 계약서에 반영하고 주기적으로 검토를 수행하여야 한다.
7.1.3 보호구역 내 작업 유지보수 등 주요 설비 및 시스템이 위치한 보호구역 내에서의 작업 절차를 수립하고 작업의 대한 기록을 주기적으로 검토하여야 한다.
7.1.4 출입통제 보호구역 및 보호구역 내 주요 설비 및 시스템은 인가된 사람만이 접근할 수 있도록 출입을 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
7.1.5 모바일기기 반출입 노트북 등 모바일 기기 미승인 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방을 위하여 보호 구역 내 임직원 및 외부자 모바일 기기 반출입 통제절차를 수립하고 기록.관리하여야 한다.
7.2 시스템 보호
7.2.1 케이블 보안 데이터를 송수신하는 통신케이블 이나 전력을 공급하는 전력케이블은 손상을 입지
않도록 보호하여야 한다.
7.2.2 시스템 배치 및 관리 시스템은 그 특성에 따라 분리하여 배치하고 장애 또는 보안사고 발생 시
주요 시스템의 위치를 즉시 확인할 수 있는 체계를 수립하여야 한다.
7.3 사무실 보안
7.3.1 개인업무 환경보안 일정시간 동안 자리를 비울 경우에는 책상 위에 중요한 문서나 저장매체를 남겨놓지 않고 컴퓨터 화면에 중요정보가 노출되지 않도록 화면보호기 설정, 패스워드 노출 금지 등 보호대책을 수립하여야 한다.
7.3.2 공용업무 환경보안 사무실에서 공용으로 사용 하는 사무처리 기기, 문서고, 공용 PC, 파일서버 등을 통해 중요정보 유출이 발생하지 않도록 보호 대책을 마련하여야 한다.
8. 시스템 개발보안
8.1 분석 및 설계 보안관리
8.1.1 보안 요구사항 정의 신규 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적요구
사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안요구사항을
명확히 정의하고 이를 적용하여야 한다.
8.1.2 인증 및 암호화 기능 정보시스템 설계 시 사용자 인증에 관한 보안요구사항을 반드시 고려하여야하며 중요정보의 입.출력 및 송수신 과정에서 무결성, 기밀성이 요구될 경우 법적요구사항을 고려하여야
한다.
8.1.3 보안로그 기능 정보시스템 설계 시 사용자의 인증, 권한 변경, 중요정보 이용 및 유출 등에 대한 감사증적을 확보할 수 있도록 하여야 한다.
8.1.4 접근권한 기능 정보시스템 설계 시 업무의 목적 및 중요도에 따라 접근권한을 부여할 수 있도록
하여야 한다.
8.2 구현 및 이관 보안
8.2.1 구현 및 시험 안전한 코딩방법에 따라 정보 시스템을 구현하고, 분석 및 설계 과정에서 도출한 보안요구사항이 정보시스템에 적용되었는지 확인 하기 위하여 시험을 수행하여야 한다. 또한 알려진 기술적 보안 취약성에 대한 노출여부를 점검하고
8.2.2 개발과 운영환경 분리 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을
감소하기 위해 원칙적으로 분리하여야 한다.
8.2.3 운영환경 이관 운영환경으로의 이관은 통제된 절차에 따라 이루어져야 하고 실행코드는 시험
과 사용자 인수 후 실행하여야 한다.
8.2.4 시험 데이터 보안 시스템 시험 과정에서 운영 데이터 유출을 예방하기 위해 시험데이터 생성,
이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립하여 이행하여야 한다.
8.2.5 소스 프로그램 보안 소스 프로그램에 대한 변경관리를 수행하고 인가된 사용자만이 소스 프로그램에 접근할 수 있도록 통제절차를 수립 하여 이행하여야 한다. 또한 소스 프로그램은 운영 환경에 보관하지 않는 것을 원칙으로 한다.
8.3 외주개발 보안
8.3.1 외주개발 보안 정보시스템 개발을 외주 위탁 하는 경우 분석 및 설계단계에서 구현 및 이관까지의 준수해야 할 보안요구사항을 계약서에 명시하고 이행여부를 관리.감독하여야 한다.
9. 암호통제
9.1 암호정책
9.1.1 암호 정책 수립 조직의 중요정보 보호를 위하여 암호화 대상, 암호 강도(복잡도), 키관리, 암호
사용에 대한 정책을 수립하고 이행하여야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화
적용 등 암호화 관련 법적요구사항을 반드시 반영 하여야 한다.
9.2 암호키 관리
9.2.1 암호키 생성 및 이용 암호키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고 필요 시 복구방안을 마련하여야 한다.
10. 접근통제
10.1 접근통제 정책
10.1.1 접근통제 정책 수립 비인가자의 접근을 통제 할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립 하여야 한다.
10.2 접근권한 관리
10.2.1 사용자 등록 및 권한부여 정보시스템 및 중요 정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.
10.2.2 관리자 및 특수 권한 관리 정보시스템 및 중요정보 관리 및 특수 목적을 위해 부여한 계정
및 권한을 식별하고 별도 통제하여야 한다.
10.2.3 접근권한 검토 정보시스템 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장시간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검하여야 한다.
10.3 사용자 인증 및 식별
10.3.1 사용자 인증 정보시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고
등 안전한 사용자 인증 절차에 의해 통제되어야 하고, 필요한 경우 법적요구사항 등을 고려하여 중요정보시스템 접근 시 강화된 인증방식을 적용 하여야 한다.
10.3.2 사용자 식별 정보시스템에서 사용자를 유일 하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
10.3.3 사용자 패스워드 관리 법적요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 사용자 패스워드 관리절차를 수립.이행하고 패스워드 관리 책임이 사용자에게 있음을 주지시켜야 한다. 특히 관리자 패스워드는 별도 보호대책을 수립하여 관리하여야 한다.
10.3.4 이용자 패스워드 관리 고객, 회원 등 외부 이용자가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위해 계정 및 패스워드 등의 관리 절차를 마련하고 관련 내용을 공지하여야 한다.
10.4 접근통제 영역 관리
10.4.1 네트워크 접근 네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제 리스트,네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내.외부 네트워크를 분리하여야 한다.
10.4.2 서버 접근 서버별로 접근이 허용되는 사용자,접근제한 방식, 안전한 접근수단 등을 정의하여 적용하여야 한다.
10.4.3 응용 프로그램 접근 사용자의 업무 또는 직무에 따라 응용프로그램 접근권한을 제한하고 불필요한 중요정보 노출을 최소화해야 한다.
10.4.4 데이터베이스 접근 데이터베이스 접근을 허용 하는 응용 프로그램 및 사용자 직무를 명확하게
정의하고 응용프로그램 및 직무별 접근통제 정책을 수립하여야 한다. 또한 중요정보를 저장하고 있는
데이터베이스의 경우 사용자 접근내역을 기록하고 접근의 타당성을 정기적으로 검토하여야 한다.
10.4.5 모바일기기 접근 모바일기기를 업무 목적으로 내.외부 네트워크에 연결하여 활용하는 경우 중요
정보 유출 및 침해사고 예방을 위해 기기 인증 및 승인, 접근 범위, 기기 보안설정, 오남용 모니터링
등의 접근통제 대책을 수립하여야 한다.
10.4.6 인터넷 접속 인사정보, 영업비밀, 산업기밀,개인정보 등 중요정보를 대량으로 취급.운영하는
주요직무자의 경우 인터넷 접속 또는 서비스 (P2P, 웹메일, 웹하드, 메신저 등)를 제한하고 인터넷 접속은 침입차단시스템을 통해 통제하여야 한다. 필요시 침입탐지시스템 등을 통해 인터넷 접속내역을 모니터링하여야 한다.
11. 운영보안
11.1 운영절차 및 변경관리
11.1.1 운영절차 수립 정보시스템 동작, 문제 발생시 재 동작 및 복구, 오류 및 예외사항 처리 등 시스템 운영을 위한 절차를 수립하여야 한다.
11.1.2 변경관리 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립하고 변경 전 시스템의 전반적인 성능 및 보안에 미치는 영향을분석하여야 한다.
11.2 시스템 및 서비스 운영 보안
11.2.1 정보시스템 인수 새로운 정보시스템 도입 또는 개선 시 필수 보안요구사항을 포함한 인수 기준을 수립하고 인수 전 기준 적합성을 검토하여야 한다.
11.2.2 보안시스템 운영 보안시스템 유형별로 관리자지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립하고 보안시스템 별 정책적용 현황을 관리하여야 한다.
11.2.3 성능 및 용량관리 정보시스템 및 서비스 가용성 보장을 위해 성능 및 용량 요구사항을 정의하고
현황을 지속적으로 모니터링할 수 있는 방법 및 절차를 수립하여야 한다.
11.2.4 장애관리 정보시스템 장애 발생 시 효과적 으로 대응하기 위한 탐지, 기록, 분석, 복구, 보고 등의 절차를 수립하여야 한다.
11.2.5 원격운영 관리 내부 네트워크를 통하여 정보시스템을 관리하는 경우 특정 단말에서만 접근을 할 수 있도록 제한하고, 원격지에서 인터넷 등 외부 네트워크를 통하여 정보시스템을 관리하는 것은 원칙적으로 금지하고 부득이한 사유로 인해 허용하는 경우에는 책임자 승인, 접속 단말 및 사용자 인증, 구간 암호화, 접속단말 보안(백신,패치 등) 등의 보호대책을 수립하여야 한다.
11.2.6 스마트워크 보안 재택근무, 원격협업 등과 같은 원격 업무 수행 시 이에 대한 관리적.기술적
보호대책을 수립하고 이행하여야 한다.
11.2.7 무선네트워크 보안 무선랜 등을 통해 무선 인터넷을 사용하는 경우 무선 네트워크 구간에 대한 보안을 강화하기 위해 사용자 인증, 송수신데이터 암호화 등의 보호대책을 수립하여야 한다.
11.2.8 공개서버 보안 웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시절차를 수립하고 공개서버에 대한 물리적,기술적 보호대책을 수립하여야 한다.
11.2.9 백업관리 데이터의 무결성 및 정보시스템의 가용성을 유지하기 위해 백업 대상, 주기, 방법 등의 절차를 수립하고 사고발생 시 적시에 복구할 수 있도록 관리하여야 한다.
11.2.10 취약점 점검 정보시스템이 알려진 취약점에 노출되어 있는지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다.
11.3 전자거래 및 정보전송 보안
11.3.1 전자거래 보안 전자거래 서비스 제공 시 정보 유출, 데이터 조작, 사기 등의 침해사고를 예방하기 위해 사용자 인증, 암호화, 부인방지 등의 보호대책을 수립하고 결제시스템 등 외부 시스템과의 연계가 필요한 경우 연계 안전성을 점검하여야한다.
11.3.2 정보전송 정책 수립 및 협약 체결 타 조직에 중요정보를 전송할 경우 안전한 전송을 위한 정책을
수립하고 조직 간 정보전송 합의를 통해 관리책임, 전송 기술 표준, 중요정보의 보호를 위한 기술적 보호조치 등을 포함한 협약서를 작성하여야 한다.
11.4 매체 보안
11.4.1 정보시스템 저장매체 관리 정보시스템 폐기 또는 재사용 시 중요정보를 담고 있는 하드디스크,
스토리지, 테잎 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제하여야 한다.
11.4.2 휴대용 저장매체 관리 조직의 중요정보 유출을 예방하기 위해 외장하드, USB, CD 등 휴대용 저장매체 취급, 보관, 폐기, 재사용에 대한 절차를 수립하여야 한다. 또한 매체를 통한 악성코드 감염 방지 대책을 마련하여야 한다.
11.5 악성코드 관리
11.5.1 악성코드 통제 바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위해 악성
코드 예방, 탐지, 대응 등의 보호대책을 수립하 여야 한다.
11.5.2 패치관리 소프트웨어, 운영체제, 보안시스템등의 취약점으로 인해 발생할 수 있는 침해사고를
예방하기 위해 최신 패치를 정기적으로 적용하고 필요한 경우 시스템에 미치는 영향을 분석하여야 한다.
11.6 로그관리 및 모니터링
11.6.1 시각 동기화 로그기록의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위해 정보시스템 시각을 공식 표준시각으로 정확하게 동기화 하여야 한다.
11.6.2 로그기록 및 보존 정보시스템, 응용프로그램,보안시스템, 네트워크 장비 등 기록해야 할 로그 유형을 정의하여 일정기간 보존하고 주기적으로 검토하여야 한다. 보존기간 및 검토주기는 법적 요구사항을 고려하여야 한다.
11.6.3 접근 및 사용 모니터링 중요정보, 정보시스템, 응용프로그램,, 네트워크 장비에 대한 사용자 접근
업무상 허용된 범위에 있는지 주기적으로 확인 하여야 한다.
11.6.4 침해시도 모니터링 외부로부터의 침해시도를 모니터링하기 위한 체계 및 절차를 수립하여야 한다.
12. 침해사고 관리
12.1 절차 및 체계
12.1.1 침해사고 대응절차 수립 DDoS 등 침해사고 유형별 중요도 분류, 유형별 보고.대응.복구 절차,
비상연락체계, 훈련 시나리오 등을 포함한 침해 사고 대응 절차를 수립하여야 한다.
12.1.2 침해사고 대응체계 구축 침해사고 대응이 신속하게 이루어질 수 있도록 중앙 집중적인 대응
체계를 구축하고 외부기관 및 전문가들과의 협조 체계를 수립하여야 한다.
12.2 대응 및 복구
12.2.1 침해사고 훈련 침해사고 대응 절차를 임직원 들이 숙지할 수 있도록 시나리오에 따른 모의훈련을
실시하여야 한다.
12.2.2 침해사고 보고 침해사고 징후 또는 사고 발생을 인지한 때에는 침해사고 유형별 보고 절차에 따라
신속히 보고하고 법적 통지 및 신고 의무를 준수 하여야 한다.
12.2.3 침해사고 처리 및 복구 침해사고 대응절차에 따라 처리와 복구를 신속하게 수행하여야 한다.
12.3 사후관리
12.3.1 침해사고 분석 및 공유 침해사고가 처리되고 종결된 후 이에 대한 분석을 수행하고 그 결과를 보고하여야 한다. 또한 사고에 대한 정보와 발견된 취약점들을 관련 조직 및 임직원들과 공유하여야 한다.
12.3.2 재발방지 침해사고로부터 얻은 정보를 활용 하여, 유사 사고가 반복되지 않도록 재발방지
대책을 수립하고 이를 위해 필요한 경우 정책, 절차, 조직 등의 대응체계를 변경하여야 한다.
13. IT 재해복구
13.1 체계구축
13.1.1 IT 재해복구 체계 구축 자연재앙, 해킹, 통신장애, 전력중단 등의 요인으로 인해 IT 시스템 중단 또는 파손 등 피해가 발생할 경우를 대비하여 비상 시 복구조직, 비상연락체계, 복구절차등 IT 재해복구 체계를 구축하여야 한다.
13.2 대책 구현
13.2.1 영향분석에 따른 복구대책 수립 조직의 핵심 서비스 연속성을 위협할 수 있는 IT 재해 유형을
식별하고 유형별 예상 피해규모 및 영향을 분석 하여야 한다. 또한 IT 서비스 및 시스템 복구목표시간, 복구시점을 정의하고 적절한 복구전략 및 대책을 수립.이행하여야 한다.
13.2.2 시험 및 유지관리 IT 서비스 복구전략 및 대책에 따라 효과적인 복구가 가능한 지 시험을 실시하고 시험계획에는 시나리오, 일정, 방법,절차 등을 포함하여야 한다. 또한 시험결과, IT환경변화, 법규 등에 따른 변화를 반영하여
