그사람.net

항목 : 2.9.5 로그 및 접속기록 점검 ■ 인증기준 : 정보시스템의 정상적인 사용을 보장하고 사용자 오·남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다. ■ 주요 확인사항 정보시스템 관련 오류, 오·남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립·이행하고 있는가? 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가? 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가? ■ 관련 법규 개인정보 보호법 ..

항목 : 2.9.4 로그 및 접속기록 관리 ■ 인증기준 : 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속 기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위·변조, 도난, 분실되지 않도록 안전하게 보존·관리하여야 한다. ■ 주요 확인사항 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가? 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고, 로그기록에 대한 접근 권한은 최소화하여 부여하고 있는가? 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가? ■ 관련 ..

항목 : 2.9.3 백업 및 복구관리 ■ 인증기준 : 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관 장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다. ■ 주요 확인사항 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하고 있는가? 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가? 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치 의무) 개인정보의 안전성 확보조치 기준 제12조(재해·재난 대비 안..

항목 : 2.9.2 성능 및 장애관리 ■ 인증기준 : 정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지·기록·분석·복구· 보고 등의 절차를 수립·관리하여야 한다. ■ 주요 확인사항 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립·이행하고 있는가? 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립· 이행하고 있는가? 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립·이행하고 있는가? 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통하여 장애조치내역을 기록하여 관리하고 있는가? 심각도가 높은 장애의 경우 원인분석을..

항목 : 2.9.1 변경관리 ■ 인증기준 : 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다. ■ 주요 확인사항 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립·이행하고 있는가? 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가? 금융분야 추가확인사항 장애 또는 오류 등에 의한 전산원장 변경을 위하여 별도의 변경절차를 수립･운영하고 있는가? 안전하고 체계적인 일괄작업(batch) 수행을 위한 사항을 준수하고 있는가? ■ 관련 법규 전자금융감독규정 제27조(전산원장 통제) 제1항, 제2항 전자금융감독규정 제14조(정보처리시스템..

항목 : 2.8.6 운영환경 이관 ■ 인증기준 : 신규 도입·개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다. ■ 주요 확인사항 신규 도입·개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립·이행하고 있는가? 운영환경으로 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가? 운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가? 금융분야 추가확인사항 ■ 관련 법규 전자금융감독규정 제29조(프로그램 통제) 제6호, 제7호, 제10호 ■ 세부 설명 ① 신규 도입·개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립·이행하여야 한다. 개발자 본인 ..

항목 : 2.8.5 소스 프로그램 관리 ■ 인증기준 : 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다. ■ 주요 확인사항 비인가자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립·이행하고 있는가? 소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가? 소스 프로그램에 대한 변경이력을 관리하고 있는가? 금융분야 추가확인사항 ■ 관련 법규 전자금융감독규정 제29조(프로그램 통제) 제1호, 제2호, 제4호, 제5호, 제9호 ■ 세부 설명 ① 비인가자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립·이행하여야 한다. 소스 프로그램의 접근 및 사용에 대한 절차 수립 인가된 개발자 및 담당자만이 접..

항목 : 2.8.4 시험 데이터 보안 ■ 인증기준 : 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립·이행하여야 한다. ■ 주요 확인사항 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가? 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립·이행하고 있는가? 금융분야 추가확인사항 ■ 관련 법규 전자금융감독규정 제13조(전산자료 보호대책) 제1항제10호 신용정보업감독규정 [별표3] 기술적･물리적･관리적 보호대책 마련 기준 Ⅲ 관리적 보안대책 3. 개인신용정보 이용제한 등 ■ 세부 설명 ① 정보시스템의 개발 및..

항목 : 2.8.3 시험과 운영 환경 분리 ■ 인증기준 : 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다. ■ 주요 확인사항 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가? 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가? ■ 세부 설명 ① 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하여야 한다. 개발 및 시험 시스템과 운영시스템은 원칙적으로 분리하여 구성 개발자가 불필요하게 운영시스템에 접근할 수 없도록 개발 및 시험 시스템과 운영시스템 간 접근통제 방안 수립·이행 ② 불가피한 사유로 개발과 운영환경의 분리가 어려..

항목 : 2.8.2. 보안 요구사항 검토 및 시험 ■ 인증기준 : 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다. ■ 주요 확인사항 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가? 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가? 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를..