그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.8 패치 관리)

_그사람 2023. 3. 20. 07:21

항목 : 2.10.8 패치 관리

■ 인증기준 : 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.

 

 

 

■ 주요 확인사항

  • 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하고 있는가?
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가? 
  • 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? 
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? 
  • 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?

 

 관련 법규

  • 개인정보 보호법 제29조(안전조치의무) 
  • 개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)
  • 개인정보의 기술적·관리적 보호조치 기준 제7조(악성프로그램 방지)

금융분야 추가확인사항

  • 전자금융감독규정 제14조(정보처리시스템 보호대책) 제7호, 제15조(해킹 등 방지대책) 제1항제2호
  • 전자금융감독규정 제15조(해킹 등 방지대책) 제1항제4

 

 

 세부 설명

① 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다.

  • 패치 적용 대상 : 서버, 네트워크시스템, DMMS, 응용프로그램, 상용 소프트웨어 오픈소스, 보안시스템, PC 등 
  • 패치 주기 : 자산 중요도 및 특성 반영 
  • 패치 정보 확인 방법 
  • 패치 배포 전 사전 검토 절차 
  • 긴급 패치 적용 절차 
  • 패치 미적용 시 보안성 검토 
  • 패치 담당자 및 책임자 
  • 패치 관련 업체(제조사) 연락처 등

주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.

  • 주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용 현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
  • 최신 보안패치 적용 필요 여부를 주기적으로 확인

금융분야 추가확인사항

  • 운영체제(OS), 시스템 유틸리티 등 긴급하고 중요한 패치사항을 즉시 패치(정보시스템에 미치는 영향도 분석이 필요한 경우 분석 종료 후 패치적용 고려)

③ 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다.

  • 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 운영시스템의 중요도와 특성을 고려하여 영향도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 적용 
  • 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리

④ 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.

  • 다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용

⑤ 패치관리시스템(PMS)을 활용하는 경우 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.

  • 패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등 
  • 업데이트 파일 배포 시 파일 무결성 검사 등

 

 

 증적예시

  • 패치 적용 관리 정책·절차 
  • 시스템별 패치 적용 현황 
  • 패치 적용 관련 영향도 분석 결과

 

 결함사례

  1. 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우 
  2. 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우
  3. 상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람

 

저작자표시 비영리 변경금지

'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.1 사고 예방 및 대응체계 구축)  (0) 2023.03.21
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.9 악성코드 통제)  (0) 2023.03.20
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.7 보조저장매체 관리)  (0) 2023.03.17
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.6 업무용 단말기기 보안)  (0) 2023.03.17
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.5 정보전송 보안)  (0) 2023.03.13

'그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)'의 다른글

  • 현재글ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.8 패치 관리)

관련글

티스토리툴바