그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.2 취약점 점검 및 조치)

_그사람 2023. 3. 21. 07:55

항목 : 2.11.2 취약점 점검 및 조치

■ 인증기준 : 정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고, 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.

 

 

 

■ 주요 확인사항

  • 정보시스템 취약점 점검 절차를 수립하고, 정기적으로 점검을 수행하고 있는가? 
  • 발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고하고 있는가?
  • 최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? 
  • 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대하여 보호대책을 마련하고 있는가?

금융분야 추가확인사항

  • 전자금융기반시설에 대한 취약점 점검(분석・평가)을 자체적으로 수행하는 경우 적절한 자격을 갖춘 전담반을 구성하고 있는가?
  • 전자금융기반시설의 취약점 분석·평가 수행을 종료한 후 30일 이내에 금융위원회에 결과보고 및 이행계획서를 제출하고 있는가?

 

 관련 법규

  • 개인정보 보호법 제29조(안전조치의무) 
  • 개인정보의 안전성 확보조치 기준 제6조(접근통제) 
  • 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

금융분야 추가확인사항

  • 전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석・평가) 제1항
  • 전자금융거래법 시행령 제11조의4(전자금융기반시설 취약점 분석・평가의 내용)
  • 전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석・평가 주기, 내용 등) 제1항, 제4항
  • 전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석・평가 주기, 내용 등) 제2항, 제37조의3(전자금융기반시설의 취약점 분석・평가 전문기관의 지정 등) 제1항
  • 전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석・평가) 제2항
  • 전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석・평가 주기, 내용 등) 제5항
  • 전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석・평가) 제1항
  • 전자금융거래법 시행령 제11조의5(전자금융기반시설의 취약점 분석·평가의 절차 및 방법 등) 제3항
  • 전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석・평가 전문기관의 지정 등) 제2항

 

 

 세부 설명

①  정보시스템 취약점 점검 절차를 수립하고, 정기적으로 점검을 수행하여야 한다.

  • 취약점 점검 절차에 포함되어야 할 사항

      - 취약점 점검 대상(예 : 서버, 네트워크 장비 등) 

      - 취약점 점검 주기(법적 요구사항, 중요도 등 고려) 

      - 취약점 점검 담당자 및 책임자 지정

      - 취약점 점검 절차 및 방법 등 

      - 중요도에 따른 조치 기준 

      - 취약점 점검 결과 보고 절차 

      - 미조치 취약점에 대한 보안성 검토 등

      - 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등

  • 취약점 점검 대상

      - 라우터, 스위치 등 네트워크시스템 구성 및 설정 취약점

      -  서버 OS 보안 설정 취약점 ∙ 방화벽 등 보안시스템 취약점

      -  애플리케이션 취약점

      -  웹서비스 취약

      - 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등

  • 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려 
  • 고유식별정보를 처리하는 개인정보처리자에 해당하는 경우 인터넷 홈페이지를 통하여 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점 점검 실시(개인정보의 안전성 확보조치 기준 제6조제4항)

금융분야 추가확인사항

  • 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투 테스트를 수행하는 것을 고려
  • 고유식별정보를 처리하는 개인정보처리자에 해당하는 경우 인터넷 홈페이지를 통하여 고유식별정보가 유출・변조・훼손되지 않도록 연 1회 이상 취약점 점검 실시(개인정보의 안전성 확보조치 기준 제6조제4항)
  • 금융회사 및 전자금융업자는 다음 사항에 대해 취약점 분석・평가 수행

      - 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

      -  정보기술부문의 전자적 장치 및 접근매체에 관한 사항

      - 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

      - 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항 

      - 전자금융거래의 안정성과 신뢰성을 확보하기 위해 필요한 사항

  • 전자금융기반시설에 해당되는 정보시스템, 네트워크 장비, 정보보호시스템 등에 대해서는 취약점 분석・평가를 연 1회 이상(홈페이지 6개월 1회 이상) 실시
  • 취약점 점검 결과 발견된 취약점이 실제 위험이 있는 여부를 확인하기 위해 (인증기준 1.2.3 위험 평가)에 따라 기술적 위험 식별 및 평가 수행

② 전자금융기반시설에 대한 취약점 분석・평가를 수행하기 위해 자체 전담반을 다음과 같이 구성하여야 한다.(총자산 2조원 이상이고, 상시 종업원 수 300명 이상인 금융회사 등이 해당)

  • 정보보호 최고책임자(CISO)를 포함하여 5인 이상으로 구성
  • 구성원 중 100분의 30 이상은 「정보보호산업의 진흥에 관한 법률 시행규칙」 제8조의 정보보호 전문서비스 기업 지정기준에서 정한 고급 기술인력 이상의 자격을 갖출 것
  • 자체 전담반원은 금융회사 내 컴플라이언스 관련 담당자, 전자금융업무 범위 내 보안 담당자, 전자금융업무 범위 내 IT 개발 및 운영 관련 담당자, 전산실 또는 전산장비를 관리하는 시설 담당자, 건물을 관리하는 총괄 담당자 등을 고려하여 선정
  • 다음과 같은 평가전문기관에 위탁하는 경우에는 자체전담반을 미구성 가능

      - 「정보통신기반 보호법」 제16조에 따라 금융분야 정보공유・분석센터로 지정된 자 

      - 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호전문서비스 기업

      -  침해사고대응기관 ∙ 금융위원장이 지정하는 자

 

③ 발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고하여야 한다.

  • 취약점 점검 시 이력관리가 될 수 있도록 점검일시, 점검대상, 점검방법, 점검내용 및 결과, 발견사항, 조치사항 등이 포함된 보고서 작성 
  • 취약점별로 대응조치 완료 후 이행점검 등을 통하여 완료 여부 확인 
  • 불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고

금융분야 추가확인사항

  • 정기적으로 수행하는 전자금융기반시설 취약점 분석・평가의 경우에는 발견된 취약점별로 대응방안(이행계획)을 수립・시행, 적절히 조치되었는지 여부 검토 및 조치결과 문서화를 하여야 하며 조치결과서는 최고경영자에게 보고
  • 취약점의 제거 또는 이에 상응하는 조치가 불가한 경우 그 사유를 명확하게 확인하고 최고경영자의 승인을 득해야 하며, 이행계획의 시행 결과를 최고경영자에게 보고
  • 일상 또는 수시적인 취약점 점검인 경우 그 시행 결과 등을 정보보호 최고책임자에게 보고

④ 금융회사 및 전자금융업자는 전자금융기반시설의 취약점 분석·평가수행을 종료한 후 30일 이내에 다음과 같은 사항이 포함된 결과보고 및 보완조치 이행계획서를 금융위원회에 제출하여야 한다.

  • 취약점 분석·평가의 사유, 대상, 기간 등 실시개요
  • 취약점 분석·평가의 세부 수행방법
  • 취약점 분석·평가 결과
  • 취약점 분석·평가 결과에 따른 필요한 보완조치의 이행계획

⑤ 최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.

  • 정기적인 보안취약점 점검 외에도 지속적으로 최신 보안취약점 파악 
  • 최신 보안취약점이 발견된 경우 해당 보안취약점이 정보시스템에 미치는 영향을 분석하여 필요시 대응 조치

⑥ 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대한 보호대책을 마련하여야 한다.

  • 취약점 점검 이력에 대한 기록관리
  • 취약점 점검 시 지난 취약점 점검결과와 비교 분석하여 취약점 재발 여부 확인 
  • 유사한 취약점이 재발되고 있는 경우 근본원인 분석 및 재발방지 대책 마련

 

 

 증적예시

  • 취약점 점검 계획서 
  • 취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크시스템, 보안시스템, DMMS 등) 
  • 취약점 점검 이력 
  • 취약점 조치계획서 
  • 취약점 조치완료보고서 
  • 모의해킹 계획서/결과보고서

 

 결함사례

  1. 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우 
  2. 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우

금융분야 추가확인사항

   3. 금융회사등이 취약점 분석평가 후 명확한 사유의 확인없이 담당부서의 의견만으로 판단하여 취약점을 조치하지 않거나, 최고경영자의 승인을 득하지 않고 위험 수용을 결정한 경우

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람

 

저작자표시 비영리 변경금지

'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.4 사고 대응 훈련 및 개선)  (0) 2023.03.21
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.3 이상행위 분석 및 모니터링)  (0) 2023.03.21
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.1 사고 예방 및 대응체계 구축)  (0) 2023.03.21
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.9 악성코드 통제)  (0) 2023.03.20
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.8 패치 관리)  (0) 2023.03.20

'그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)'의 다른글

  • 현재글ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.2 취약점 점검 및 조치)

관련글

티스토리툴바