관리체계 수립 및 운영
1.1 관리체계 기반 마련
1.1.1 경영진의 참여(1)
최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영
문서화, 보고/검토/승인 절차 수립 및 이행
1.1.2 최고책임자의 지정(2)
정보보호 최고 책임자(CISO), 개인정보보호 책임자(CPO)를 임원급으로 지정
정보보호 최고책임자 지정에 대한 법적 요건 준수 필요
겸직 금지
1.1.3 조직 구성(3)
부서별 정보보호와 개인정보보호 담당자로 구성된 실무조직, 위원회, 협의체 구성
정보보호 위원회가 주기적으로 운영되도록 역할, 책임, 주기 등을 정의
조직 전반에 걸친 중요한 정보보호 관련 사항 검토 및 의사결정, 정보보호 실무조직 구성 및 정보보호 활동을 위한 자원할당 등을 수행
1.1.4 범위 설정(4)
핵심 서비스와 개인정보 처리 현황을 고려하여 관리체계 범위 설정 및 문서화
예외사항이 있을 경우 명확한 사유 및 관련자 협의, 책임자 승인 등 근거를 기록/관리
1.1.5 정책 수립(5)
정책 및 시행 문서를 수립, 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시
, 경영진 승인을 받고 임직원에게 이해하기 쉬운 형태로 전달
정보보호 관련 법적 요구사항을 포함해 정보보호지침, 절차, 메뉴얼 등의 형식으로 수립
1.1.6 자원할당(6)
전문성을 갖춘 인력을 확보하고, 예상 및 자원을 할당
- OKR(Objectives and Key Result), MBO(Management By Objectives)과 같은 책임과 역할을 평가할 수 있는 항목을 포함해 활동을 평가하는 체계 마련
1.2 위험관리
1.2.1 정보자산 식별(7)
정보자산 분류기준 수립 후 모든 정보자산을 식별, 분류, 중요도 산정 후 목록을 최신으로 관리
클라우드를 사용하는 경우 자원의 생성, 수정, 삭제의 이력관리 방안 마련
1.2.2 현황 및 흐름 분석(8)
정보서비스 및 개인정보 처리 현황을 분석하고 문서화 및 주기적으로 검토하여 최신성을 유지
정보서비스 흐름도, 개인정보 흐름도, 개인정보 흐름표 작성 및 최신화
1.2.3 위험평가(9)
연 1회 이상 위험 평가, 수용할 수 있는 위험은 경영진의 승인을 받아 관리
위험관리 지침, 매뉴얼, 가이드, 결과 보고서, 위원회/실무협의회 회의록 등을 작성 및 관리
위험평가 결과를 토대로 수용 가능한 목표 위험수준을 정의하고 초과하는 위험을 식별해 보호대책 마련
1.2.4 보호대책 선정(10)
위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정
보호대책의 우선순위와 일정/담당자/예산 등을 포함한 이행계획을 수립하여 경영진의 승인 요함
위험회피, 위험전가, 위험수용, 위험감소 등을 고려해 위험처리 전략을 수립
불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반 위험수용 전략을 선택
법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
1.3 관리체계 운영
1.3.1 보호대책 구현(11)
선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인
항목별로 통제항목 선정 여부, 운영 현황, 관련문서, 기록, 통제항목 미선정 사유 등을 포함해 정보보호 운영명세서를 작성해야 함
1.3.2 보호대책 공유(12)
보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악해 관련 내용을 공유하고 교육
1.3.3 운영현황 관리(13)
상시적 또는 주기적으로 수행하여야 하는 운영활동 기록, 영진은 주기적으로 운영 활동의 효과성을 확인하여 관리
보안활동을 수행주기, 업무내용, 담당자, 산출물, 관련 조항을 포함해 문서화
운영활동에 변화가 있는 경우 관리체계 운영 현황표에 활동이 누락되지 않도록 관리
1.4 관리체계 점검 및 개선
1.4.1 법적 요구사항 준수 검토(14)
조직이 준수하여야 하는 정보보호 및 개인정보 관련 법규 파악
- 망법, 개보법, 신용정보법, 위치정보법, 전자금융법, 전자상거래법 등
준수 여부를 연 1회 이상 주기적으로 검토해 최신성 유지
1.4.2 관리체계 점검(15)
관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고 경영진에게 보고
법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격 요건 등을 포함한 관리체계 점검 계획을 수립 및 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고
1.4.3 관리체계 개선(16)
점검을 통해 식별된 문제점에 대한 원인을 분석하고 재발방지 대책을 수립/이행하고 경영진은 효과성 여부를 확인
재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련
2. 보호대책 요구사항
2.1 정책, 조직, 자산관리
2.1.1 정책의 유지관리(17)
정책과 시행문서는 주기적으로 검토하여야 하며, 제/개정 시 이력 관리
정보보호 정책, 지침, 정차, 메뉴얼 / 검토, 승인, 수립 후 배포 이력 등 관리
2.1.2 조직의 유지관리(18)
조직의 각 구성원에게 정보보호와 개인정보 관련 역할 및 책임을 할당하고 활동을 평가할 수 있는 체계 마련, 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립/운영
책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의하고 OKR 또는 KPI 등 목표를 확인할 수 있는 문서 작성
2.1.3 정보자산 관리(19)
정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립/이행하고, 자산별 책임소재를 명확히 함
정보자산의 보안등급에 따른 취급절차(생성/도입, 저장, 이용, 파기)및 보호대책을 정의하고 이행
2.2 인적 보안
2.2.1 주요 직무자 지정 및 관리(20)
개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립 및 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리
주요 직무에 대한 기준을 명확히 정의하고 그 목록을 최신으로 관리
2.2.2 직무 분리(21)
주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정해 그 목록을 최신으로 관리
직무분리 관련 지침(인적 보안 지침 등)
2.2.3 보안 서약(22)
정보자산을 취급하거나 접근권한이 부여된 자에 대해 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 작성하게 함
2.2.4 인식제고 및 교육훈련(23)
임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 및 교육훈련 계획을 수립/운영
2.2.5 퇴직 및 직무 변경관리(24)
임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성
2.2.6 보안 위반 시 조치(25)
정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차를 수립/이행
2.3 외부자 보안
2.3.1 외부자 현황 관리(26)
업무 위탁 및 외부 시설/서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련
2.3.2 외부자 계약 시 보안(27)
외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시
2.3.3 외부자 보안 이행 관리(28)
계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리/감독
2.3.4 외부자 계약 변경 및 만료 시 보안(29)
외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행
2.4 물리 보안
2.4.1 보호구역 지정(30)
통제구역/제한구역/접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립/이행
접견구역: 외부인이 별다른 출입 허가 없이 출입이 가능한 구역
제한구역: 인가된 인력 이외 출입이 불가하도록 별도의 출입통제 장치 및 감시 시스템이 설치된 구역
통제구역: 제한구역의 통제항목을 모두 포함하고 출입자격이 최소 인원으로 유지되며 출입을 위해 추가적인 인증 절차가 필요한 구역
2.4.2 출입통제(31)
보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토
2.4.3 정보시스템 보호(32)
환경적 위협과 유해요소, 비인가 접근 가능성 감소 후 배치하고 통신 및 전력 케이블 보호
정보시스템의 중요도, 용도, 특성 등을 고려해 배치 장소를 분리하고 물리적 위치를 쉽게 확인할 수 있는 방안을 마련 (물리적 배치도: 시설 단면도, 배치도 등)
2.4.4 보호설비 운영(33)
보호구역에 위치함 정보시스템의 중요도 및 특성에 따라 온도/습도 조절, 화재감지, 소화설비, 누수감지, UPS 등 보호설비를 갖추고 운영절차를 수립/운영
2.4.5 보호구역 내 작업(34)
보호구역 내에서의 비인가행위 및 권한 오/남용 등을 방지하기 위한 작업 절차를 수립/이행하고, 작업 기록을 주기적으로 검토
2.4.6 반출입 기기 통제(35)
보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립/이행하고 주기적 검토
정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립/이행(통제 대상: 정보시스템, 모바일 기기, 저장매체 등)
2.4.7 업무환경 보안(36)
공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립/이행
2.5 정책, 조직, 자산 관리
2.5.1 사용자 계정 관리(37)
사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식
사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력 등 관리
2.5.2 사용자 식별(38)
사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용 제한
동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립/이행
root, administrator 등 계정명을 변경하는 관리가 필요
2.5.3 사용자 인증(39)
정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하고 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립/이행
계정 도용 및 불법적인 인증시도 통제방안
(예시: 로그인 실패횟수 제한, 접속 유지시간 제한, 동시 접속 제한, 불법 로그인 시도 경고)
2.5.4 비밀번호 관리(40)
법적 요구사항, 외부 위헙요인 등을 고려해 정보시스템 사용자 및 고객, 회원 등 정보서비스 이용자가 사용하는 비밀번호 관리절차를 수립/이행
반기별 1회 이상 변경 권고
문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 혹은 3종류 이상을 조합해 8자리 이상
2.5.5 특수 계정 및 권한 관리(41)
정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위해 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별해 통제해야 함
2.5.6 접근권한 검토(42)
내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나 6개월 이상 미접속한 사용자의 계정이 활성화 되어 있는 경우 등을 확인하여 적정성 여부 확인 및 이력 관리
개인정보의 안정성 보호조치 기준(최소 3년간 보관)
개인정보의 기술적/관리적 보호조치 기준(최소 5년간 보관)
2.6 접근통제
2.6.1 네트워크 접근(43)
네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립/이행하고 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근 통제를 적용
NAC와 같은 솔루션을 구축해 운영
- NAC의 특징(검역기능, 인증기능, 권한관리, 모니터링, 장치통제)
2.6.2 정보시스템 접근(44)
서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제
운영체제에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의해 통제
접근통제 방법(SecureOS 솔루션, IPtables, 윈도우 방화벽, TCP Wrapper 등)
안전한 접근 방법(SSH, SFTP 등)
보안강화를 위해 세션 타임아웃, 불필요한 서비스 제거 등의 보안 조치를 적용
2.6.3 응용프로그램 접근(45)
사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용
중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하고 운영
2.6.4 데이터베이스 접근(46)
테이블 목록 등 데이터베이스 내에서 저장/관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립/이행
DB 서버 및 DBMS 접속에 대한 권한은 DBA, 사용자 등으로 구분하고 직무별 접근을 통제할 수 있도록 정책을 수립하고 적용
2.6.5 무선 네트워크 접근(47)
무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하고 AD Hoc 접속, 비인가 AP 통제 등 무선 네트워크 접속으로부터 보호대책을 수립/이행
WIPS(무선 침입방지시스템)을 설치해 보호
2.6.6 원격접근 통제(48)
보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무/장애대응/원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신/패치 등) 등 보호대책 수립 및 이행
VPN 사용 정책, 사용 신청서 및 승인 이역, 접근제어 정책 설정, 계정 목록 등 관리가 필요
2.6.7 인터넷 접속 통제(49)
인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립/이행
악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(DB서버, 파일서버 등)에서 외부 인터넷 접속 제한
2.7 암호화 적용
2.7.1 암호정책 적용(50)
개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장/전송/전달 시 암호화를 적용
- 안전한 해시알고리즘(SHA-512), 안전한 대칭키 알고리즘(AES-256)
2.7.2 암호키 관리(51)
암호키의 안전한 생성/이용/보관/배포/파기를 위한 관리 절차를 수립/이행하고, 필요 시 복구방안을 마련
HSM: 다양한 어플에서 사용할 수 있도록 암호키를 생성 및 저장하는 전용 장치
특징: FIPS 등 인증을 받아 안전, 중앙집중적인 키관리 가능
'관리보안 > ISMS-P' 카테고리의 다른 글
| ISMS-P 개정사항 정리 (0) | 2023.11.30 |
|---|---|
| 정보보호 정책서 및 지침서 공유 (0) | 2023.02.28 |
| [ISMS 교육] 인증심사원 정리 (0) | 2022.10.31 |