항목 : 2.11.1 사고 예방 및 대응체계 구축
■ 인증기준 : 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
■ 주요 확인사항
- 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
- 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축·운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
- 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
금융분유 추가확인사항
- 서비스 거부 공격(DDoS)의 경우 공격 정도에 따른 대응방안을 수립・이행하고 있는가?
■ 관련 법규
- 개인정보 보호법 제34조(개인정보의 유출통지 등), 제39조의4(개인정보 유출 등의 통지·신고에 대한 특례)
- 정보통신망법 제48조의3(침해사고의 신고 등), 제48조의4(침해사고의 원인분석 등)
금융분야 추가확인사항
- 전자금융감독규정 제21조의5(침해사고의 통지 등)
- 신용정보법 제39조의4(개인신용정보 누설통지 등)
■ 세부 설명
① 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음 내용을 포함하여 마련하여야 한다.
- 침해사고의 정의 및 범위(개인정보 유출사고, 서비스거부공격 등)
- 침해사고 유형 및 중요도
- 침해사고 선포절차 및 방법
- 비상연락망 등의 연락체계
- 침해사고 탐지 체계
- 침해사고 발생 시 기록, 보고절차
- 침해사고 신고 및 통지 절차(관계기관, 정보주체 및 이용자 등)
- 침해사고 보고서 작성
- 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
- 침해사고 복구조직의 구성, 책임 및 역할
- 침해사고 복구장비 및 자원조달
- 침해사고 대응 및 복구 훈련, 훈련 시나리오
- 외부 전문가나 전문기관의 활용방안
- 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
금융분야 추가확인사항
② 중단없는 서비스 제공을 위해 서비스 거부 공격(DDoS)에 대한 보안대책을 수립・적용하여야 한다.
③ 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축·운영하는 경우 침해사고 대응절차의 세부사항을 계약서(SLA 등)에 반영하여야 한다.
- 보안관제서비스의 범위
- 침해 징후 발견 시 보고 및 대응 절차
- 침해사고 발생 시 보고 및 대응절차
- 침해사고 발생에 따른 책임 및 역할에 관한 사항 등
④ 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과 협조체계를 수립하여야 한다.
■ 증적예시
- 침해사고 대응 지침·절차·매뉴얼
- 침해사고 대응 조직도 및 비상연락망
- 보안관제서비스 계약서(SLA 등)
■ 결함사례
- 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
- 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
- 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나, 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
- 침해사고 신고·통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나, 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
- 외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나, 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우
- 침해사고 대응절차를 수립하였으나, 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.3 이상행위 분석 및 모니터링) (0) | 2023.03.21 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.2 취약점 점검 및 조치) (0) | 2023.03.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.9 악성코드 통제) (0) | 2023.03.20 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.8 패치 관리) (0) | 2023.03.20 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.7 보조저장매체 관리) (0) | 2023.03.17 |