그사람.net

항목 : 2.8.1 보안 요구사항 정의 ■ 인증기준 : 정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. ■ 주요 확인사항 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립·이행하고 있는가? 정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가? 금융분야 추가확인사항 ■ 관련 법규 전자금융감독규정 제20조(정보처리시스템 구축 및 전자금융거래 관련 사업 추진) ..

항목 : 2.7.2 암호키 관리 ■ 인증기준 : 암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요시 복구방안을 마련하여야 한다. ■ 주요 확인사항 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립·이행하고 있는가? 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) 금융분야 추가확인사항 전자금융감독규정 제31조(암호프로그램 및 키 관리 통제) 제1항, 제2항 ■ 세부 설명 ① 암호키 생성, 이용, 보관, ..

항목 : 2.7.1 암호정책 적용 ■ 인증기준 : 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. ■ 주요 확인사항 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? ■ 관련 법규 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) 금융분야 추가..

항목 : 2.6.7 인터넷 접속 통제 ■ 인증기준 : 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다. ■ 주요 확인사항 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제 정책을 수립·이행하고 있는가? 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의..

항목 : 2.6.6 원격접근 통제 ■ 인증기준 : 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가? 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가? 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹..

항목 : 2.6.5 무선 네트워크 접근 ■ 인증기준 : 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립·이행하고 있는가? 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립· 이행하고 있는가? AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선 네트워크에 대한 보호대책을 수립·이행하고 있는가? ■ 관련 법규 ..

항목 : 2.6.4 데이터베이스 접근 ■ 인증기준 : 테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다. ■ 주요 확인사항 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 있는가? 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제) 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) ■ 세부 설명 ① 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보..

항목 : 2.6.3 응용프로그램 접근 ■ 인증기준 : 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. ■ 주요 확인사항 서요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가? 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가? ■ 관련 법규 개인정보 보호법 ..

항목 : 2.6.2 정보시스템 접근 ■ 인증기준 : 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. ■ 주요 확인사항 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? 정보시스템의 사용목적과 관계 없는 서비스를 제거하고 있는가? 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제6조(접근통제) 개인정보의 기술적·관리적..

항목 : 2.6.1 네트워크 접근 ■ 인증기준 : 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립· 이행하고, 업무목적 및 중요도에 따라 네트워크 분리[DMZ(Demilitarized Zone), 서버팜, 데이터베이스존, 개발존 등]와 접근통제를 적용하여야 한다. ■ 주요 확인사항 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가? 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 외부 연결이 필요하지 않..