그사람.net

항목 : 2.4.5 보호구역 내 작업 ■ 인증기준 : 보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립· 이행하고, 작업 기록을 주기적으로 검토하여야 한다. ■ 주요 확인사항 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하고 있는가? 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가? ■ 세부 설명 ① 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다. 작업절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등 작업기록 : 작업일시, ..

항목 : 2.4.4 보호설비 운영 ■ 인증기준 : 보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온·습도 조절, 화재감지, 소화 설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립· 운영하여야 한다. ■ 주요 확인사항 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가? 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가? ■ 관련 법규 정보통신망법 제46조(집적된 정보통신시설의 보호) 화재예방, 소방시설 설치유지 및 안전관리에 관한 법률 제9조(특정소방대상물에 설치하는 ..

항목 : 2.4.3 정보시스템 보호 ■ 인증기준 : 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다. ■ 주요 확인사항 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가? 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가? 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가? ■ 관련 법규(금융분야 추가확인사항) 전자금융감독규정 제10조(전원, 공조 등 설비에 관한 사항) 제1호, 제11조(전산실 등에 관한 사항) 제7호 ■ 세부 설명 ① 정보시스템의 중요도, 용도, 특성을 고려하여 ..

항목 : 2.4.2 출입통제 ■ 인증기준 : 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다. ■ 주요 확인사항 보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가? 각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고 출입기록 및 출입 권한을 주기적으로 검토하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지) 금융분야 추가확인사항 전자금융감독규정 제9조(건물에 관한 사항) 제1호, 제10조(전원, 공조 등 설비에 관한 사항) 제1호, 제10조(전원, 공조 등 설비에..

항목 : 2.4.1 보호구역 지정 ■ 인증기준 : 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가? 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립· 이행하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) 개인정보의 기술적·관리적 보호조치 기준..

항목 : 2.3.3 외부자 계약 변경 및 만료 시 보안 ■ 인증기준 : 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호 대책을 이행하여야 한다 ■ 주요 확인사항 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안 대책을 수립·이행하고 있는가? 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수·파기할 수 있도록 절차를 수립·이행하고 있는가? ■ 관련 법규 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제..

항목 : 2.3.3 외부자 보안 이행 관리 ■ 인증기준 : 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리･감독하여야 한다. ■ 주요 확인사항 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립·이행하고 있는가? 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? ■ 관련 법규 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 정보통신망법 제50조의3(영리목적의 광고성 정보 ..

항목 : 2.3.2 외부자 계약시 보안 ■ 인증기준 : 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보 보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. ■ 주요 확인사항 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? 금융분야 추가확인사항 신용정보회사등이 신용정보제공･이용자가 다른 신용정보제공･이용자 또는 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사와 서로 신용정보를 제공하는 경우 신용정보 보..

항목 : 2.3.1 외부자 현황 관리 ■ 인증기준 : 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. ■ 주요 확인사항 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 식별하고 있는가? 업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가? ■ 관련 법규 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 정보통신망법 제50조의3(영리목적의..

항목 : 2.2.6 보안 위반 시 조치 ■ 인증기준 : 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. ■ 주요 확인사항 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가? 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? ■ 관련 법규(금융분야 추가확인사항) 전자금융감독규정 제8조(인력, 조직 및 예산) 제1항제5호 ■ 세부 설명 ① 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하여야 한다. 관련 법규 및 내부 규정 ..