그사람.net

항목 : 2.8.3 시험과 운영 환경 분리 ■ 인증기준 : 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다. ■ 주요 확인사항 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가? 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가? ■ 세부 설명 ① 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하여야 한다. 개발 및 시험 시스템과 운영시스템은 원칙적으로 분리하여 구성 개발자가 불필요하게 운영시스템에 접근할 수 없도록 개발 및 시험 시스템과 운영시스템 간 접근통제 방안 수립·이행 ② 불가피한 사유로 개발과 운영환경의 분리가 어려..

항목 : 2.8.2. 보안 요구사항 검토 및 시험 ■ 인증기준 : 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다. ■ 주요 확인사항 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가? 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가? 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를..

항목 : 2.8.1 보안 요구사항 정의 ■ 인증기준 : 정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. ■ 주요 확인사항 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립·이행하고 있는가? 정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가? 금융분야 추가확인사항 ■ 관련 법규 전자금융감독규정 제20조(정보처리시스템 구축 및 전자금융거래 관련 사업 추진) ..

항목 : 2.7.2 암호키 관리 ■ 인증기준 : 암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요시 복구방안을 마련하여야 한다. ■ 주요 확인사항 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립·이행하고 있는가? 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) 금융분야 추가확인사항 전자금융감독규정 제31조(암호프로그램 및 키 관리 통제) 제1항, 제2항 ■ 세부 설명 ① 암호키 생성, 이용, 보관, ..

항목 : 2.7.1 암호정책 적용 ■ 인증기준 : 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. ■ 주요 확인사항 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? ■ 관련 법규 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) 금융분야 추가..

항목 : 2.6.7 인터넷 접속 통제 ■ 인증기준 : 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다. ■ 주요 확인사항 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제 정책을 수립·이행하고 있는가? 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의..

항목 : 2.6.6 원격접근 통제 ■ 인증기준 : 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가? 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가? 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹..

항목 : 2.6.5 무선 네트워크 접근 ■ 인증기준 : 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립·이행하고 있는가? 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립· 이행하고 있는가? AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선 네트워크에 대한 보호대책을 수립·이행하고 있는가? ■ 관련 법규 ..

항목 : 2.6.4 데이터베이스 접근 ■ 인증기준 : 테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다. ■ 주요 확인사항 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 있는가? 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제) 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) ■ 세부 설명 ① 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보..

항목 : 2.6.3 응용프로그램 접근 ■ 인증기준 : 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. ■ 주요 확인사항 서요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가? 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가? ■ 관련 법규 개인정보 보호법 ..