그사람.net

항목 : 2.10.6 업무용 단말기기 보안 ■ 인증기준 : PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다. ■ 주요 확인사항 PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하고 있는가? 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립· 이행하고 있는가? 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 보안대책을 적용하고..

항목 : 2.10.5 정보전송 보안 ■ 인증기준 : 다른 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통하여 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다. ■ 주요 확인사항 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가? 업무상 조직 간 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립·이행하고 있는가? ■ 세부 설명 ① 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하여야 한다. 정보전송 기술 표준 : 암호화 방식, 키 교환 및 관리, 전문 규칙, 연계 및 통신 방식 등 정보전송 검토 절차 : 보고 및..

항목 : 2.10.4 전자거래 및 핀테크 보안 ■ 인증기준 : 전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위하여 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다. ■ 주요 확인사항 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가? 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가? 금융분야 추가확인사항 관련 법적 요구사항에 따른 전자(상)거래 기록의 보존 및 관리를 하고 있는가? 전자금융거래에서 이용자에게 제공하거나 거래를 처리..

항목 : 2.10.3 공개서버 보안 ■ 인증기준 : 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하고 있는가? 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안 시스템을 통하여 보호하고 있는가? 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하고 있는가? 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가? 금..

항목 : 2.10.2 클라우드 보안 ■ 인증기준 : 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가? 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립·이행하고 있는가? 클라우드 서비스 관리자 권한은 역할에 따..

항목 : 2.10.1 보안시스템 운영 ■ 인증기준 : 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영 절차를 수립･이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. ■ 주요 확인사항 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립·이행하고 있는가? 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가? 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립· 이행하고 있는가? 보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가? 보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가? 개인정..

항목 : 2.9.7 정보자산의 재사용 및 폐기 ■ 인증기준 : 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다. ■ 주요 확인사항 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하고 있는가? 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가? 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가? 외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기하였는지 여부를 확인하고 있는가? 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복..

항목 : 2.9.6 시간 동기화 ■ 인증기준 : 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다. ■ 주요 확인사항 정보시스템의 시간을 표준시간으로 동기화하고 있는가? 시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가? ■ 세부 설명 ① 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 각 정보시스템의 시간을 표준 시간으로 동기화하여야 한다. NTP(Network Time Protocol) 등의 방법을 활용하여 시스템 간 시간 동기화 시간 정확성이 요구되는 모든 정보시스템은 빠짐없이 동기화 필요(출입통제시스템, CCTV저장장치 등 ② 시간 동기화가 정상적으로 이루어지고 있는..

항목 : 2.9.4 로그 및 접속기록 관리 ■ 인증기준 : 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속 기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위·변조, 도난, 분실되지 않도록 안전하게 보존·관리하여야 한다. ■ 주요 확인사항 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가? 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고, 로그기록에 대한 접근 권한은 최소화하여 부여하고 있는가? 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가? ■ 관련 ..

항목 : 2.9.3 백업 및 복구관리 ■ 인증기준 : 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관 장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다. ■ 주요 확인사항 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립·이행하고 있는가? 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가? 중요정보가 저장된 백업매체의 경우 재해·재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치 의무) 개인정보의 안전성 확보조치 기준 제12조(재해·재난 대비 안..