정보보안 점검의 날

1. 개요

매월 정보보안 점검의 날을 지정하여 보안실태를 점검하고 업무환경의 안전성을 유지/관리

 

2. 근거

§전자금융감독규정 제37조의5(정보보호최고책임자의 업무) 

정보보호최고책임자는 정보보안점검의 날을 지정하고, 임직원이 금융감독원장이 정하는 정보보안 점검항목을 준수했는지 여부를 매월 점검하고, 그 점검 결과 및 보완 계획을 최고경영자에게 보고하여야 한다.

[본조신설 2015. 2. 3.]

 

 

3. 점검 내용

- 37개 항목

 

§전자금융감독규정 시행세칙 <별표3의2> 정보보안 점검항목 참조

[별표 3의2] 정보보안 점검항목(전자금융감독규정시행세칙).hwp

0.06MB

+ (단말기) 단말기 내 개인정보가 포함된 파일의 암호화 저장 및 목적 달성된 파일의 파기 여부

+ (전산자료) 네트워크형 파일서버(NAS) 내 불필요한 권한 잔류여부

+ (정보처리시스템) 개인정보처리시스템 접속기록 등의 점검 여부(DBMS 부문은 DBA 주체로 별도 보고)

+ (업무환경) 개인·공용사무실, 공용사무기기 인근에 중요문서, 저장매체 방치여부

 

 

4. 점검 상세내용

영역	항목	점검 세부사항
전산실 (2)	상시출입자 외 출입자에 대한 책임자 승인 및 출입관리기록부 기록ㆍ보관 여부	- 외부자의 출입이 필요한 경우 책임자의 승인을 받고 있는가? - 외부자의 출입이 필요한 경우 권한이 있는 자가 동행을 하는가? - 출입관리대장을 작성 및 유지하고 있는가? - 출입관리에 대한 기록을 10년간 보관하고 있는가?
	무인감시카메라 또는 출입자동기록시스템 등의 정상 작동 여부	- CCTV가 설치되어 있으며 정상 작동하고 있는가? - 출입통제시스템이 설치되어 있으며 정상 작동하고 있는가?
단말기 (7)	업무담당자 이외의 단말기 무단조작 금지 조치 여부	- 권한이 없는 사용자의 단말기 접근을 제한하고 있는가? - 화면보호기, 비밀번호 설정 등 보호조치를 취하고 있는가?
	정보처리시스템 접속 단말기의 정당한 사용자인가를 확인할 수 있는 기록 유지 여부	- 정보처리시스템 접속기록을 남기고 있는가? - 기록을 통하여 정당한 사용자인가를 식별할 수 있는가?
	중요 단말기의 외부 반출 금지 여부	- 중요 단말기의 외부 반출을 원칙적으로 금지하고 있는가? - 중요 단말기의 외부 반출을 시스템상 통제하고 있는가? - 중요 단말기의 외부 반출 시 기록을 남기고 있는가?
	중요 단말기의 인터넷 접속 금지 여부	- 인터넷 접속이 가능한 외부망과 인터넷 접속이 불가능한 내부망으로 망분리를 적용하고 있는가? - 정보처리시스템 접속이 가능한 중요 단말기의 외부 인터넷 접속을 차단하고 있는가?
	중요 단말기의 그룹웨어 접속 금지 여부	- 정보처리시스템 접속이 가능한 중요 단말기의 그룹웨어 접속을 차단하고 있는가?
	단말기에서 보조기억매체 및 휴대용 전산장비 접근 통제 여부	- 인가되지 않은 보조기억매체 및 휴대용 전산장비의 접근을 시스템상 통제하고 있는가? - 인가되지 않은 보조기억매체 및 휴대용 전산장비의 접근 시 기록을 남기고 있는가?
	단말기 내 개인정보가 포함된 파일의 암호화 저장 및 목적 달성된 파일의 파기 여부	- 개인정보가 포함된 파일을 암호화 저장하여 보관하고 있는가? (ex. 파일 자체 비밀번호 설정, 암호화 솔루션 사용 등) - 사용 목적이 달성된 개인정보파일은 복구할 수 없는 방법으로 즉시 삭제하고 있는가?
전산자료 (9)	개인별 사용자 계정과 비밀번호 부여 여부	- 원칙적으로 1인 1계정을 부여하고 있는가? - 안전한 비밀번호 작성규칙을 적용하고 있는가? (ex. 문자, 숫자, 특수문자 중 2가지를 포함하여 10자리 이상 또는 3가지를 포함하여 8자리 이상) - 공용 계정을 사용하지 않는가?
	사용자계정과 비밀번호 등록ㆍ변경ㆍ폐기의 체계적 관리 여부	- 계정의 등록ㆍ변경ㆍ폐기 시 책임자의 승인을 받고 있는가? - 계정의 등록ㆍ변경ㆍ폐기 시 이력을 남기고 있는가?
	이용자 정보 조회ㆍ출력 통제 여부	- 관리자 및 일반사용자 등 권한을 차등부여하고 있는가? - 조회ㆍ출력 시 개인정보는 마스킹 처리를 하고 있는가? - 정보 조회ㆍ출력 시 이력을 남기고 있는가?
	테스트시 이용자 정보 사용 금지 및 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제 여부	- 테스트 환경에서 운영데이터의 사용을 금지하고 있는가? - 테스트 종료시 데이터를 즉시 삭제하고 있는가? - 테스트 데이터의 생성ㆍ변환ㆍ파기 시 이력을 남기고 있는가?
	단말기에 이용자 정보 등 주요정보 보관을 금지하고 불가피한 경우 책임자의 승인을 받고 있는지 여부	- 고유식별정보 또는 민감정보를 포함한 파일의 보관을 금지하고 있는가? - 고유식별정보 또는 민감정보를 포함한 파일의 보관 시 암호화하여 저장하고 있는가? - 고유식별정보 또는 민감정보를 포함한 파일의 반출 시 책임자의 승인을 받고 있는가?
	단말기 공유 금지 여부	- 공유하여 사용하는 단말기가 존재하는가?
	네트워크형 파일서버(NAS) 내 불필요한 권한 잔류여부	- 권한이 없는 사용자의 파일서버 접근을 차단하고 있는가? - 파일서버 접근권한을 차등부여하고 있는가? - 공용 폴더를 사용하고 있는가?
	전산자료 및 전산장비의 반출ㆍ반입 통제 여부	- 전산자료 및 전산장비의 반출ㆍ반입 시 책임자의 승인을 받고 있는가? - 전산자료 및 전산장비의 반출ㆍ반입 시 시스템상 통제하고 있는가? - 전산자료 및 전산장비의 반출ㆍ반입 시 이력을 남기고 있는가?
	사용자 인사 조치 시 지체없이 해당 사용자계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리시스템 접근을 통제하고 있는지 여부	- 퇴직, 부서이동 등 인사 변경조치 시 사용자의 계정 및 권한을 즉시 삭제 및 변경하고 있는가?
정보처리시스템 (2)	내부통신망의 비인가 전산장비ㆍ무선통신 접속 통제 여부	- 인가받지 않은 전산장비ㆍ무선통신의 접속을 차단하고 있는가? - 무선통신망 사용 시 안전한 보안설정을 적용하고 있는가? (ex. WPA2 등)
	개인정보처리시스템 접속기록 등의 점검 여부(DBMS부문은 DBA 주체로 별도 보고)	- 개인정보처리시스템 접속기록을 남기고 있는가? - 개인정보처리시스템의 외부 불법적인 접근을 분석ㆍ기록하고 있는가? - 개인정보처리시스템 접속기록 중 다운로드 이력 및 위반행위에 대하여 개인소명을 확인받고 있는가? - 개인정보처리시스템 접속기록을 주기적으로 검토하여 책임자에게 보고하고 있는가?
해킹 등 방지대책 (6)	해킹 등을 방지하기 위한 정보보호시스템의 정상 작동 여부	- 방화벽, WAF, IPS 등 외부 불법적인 접근을 탐지/차단하기 위한 정보보호시스템을 상시 운영하고 있는가? - 정보시스템의 외부 불법적인 접근이력을 분석ㆍ기록하고 있는가?
	정보보호시스템에 최소한의 서비스 번호와 기능만을 적용하고 있는지 여부	- 불필요한 서비스 port가 활성화 되어있지 않는가? - 사용중인 서비스 port와 기능에 대해 최소한의 접근을 허용하고 있는가?
	정보보호시스템에 업무목적 이외 기능 및 프로그램 제거 여부	- 업무목적 이외 기능이 활성화 되어있지 않는가? - 업무목적 이외 프로그램이 설치되어있지 않는가?
	정보보호시스템의 원격관리 금지 여부	- 외부에서 원격으로 정보보호시스템 접근을 차단하고 있는가?
	시스템 프로그램 등 긴급하고 중요한 보정사항에 대한 즉시 보정작업 실시 여부	- 주기적으로 시스템 보안 업데이트를 수행하고 있는가? - 업데이트 전 영향도를 분석하고 있는가?
	무선통신망 이용 업무에 대한 승인 및 사전 지정 여부	- 비인가자의 무선통신망 이용을 통제하고 있는가? - 무선통신망 이용 시 책임자의 승인을 받고 있는가? - 무선통신망 사용 시 안전한 보안설정을 적용하고 있는가? (ex. WPA2 등)
악성코드 (2)	악성코드 검색 및 치료 프로그램의 최신상태 유지 여부	- 백신 프로그램을 설치/운영하고 있는가? - 1일 1회 또는 주기적으로 자동 업데이트를 적용하여 최신 상태를 유지하고 있는가?
	중요 단말기의 악성코드 감염여부를 매일 점검하고 있는지 여부	- 실시간 감시기능 및 자동치료 기능을 활성화하고 있는가?
공개용 웹서버 (2)	사용자 계정에 아이디ㆍ비밀번호 이외 추가 인증수단 적용 여부	- 시스템 접속 시 안전한 인증수단을 적용하고 있는가?
	DMZ구간 내 이용자 정보 등 주요정보를 저장, 관리하지 않는지 여부	- DMZ구간 내 개인정보를 저장하고 있는가? - DMZ구간 내 개인정보를 저장하는 경우 암호화하고 있는가?
내부사용자 비밀번호 (2)	접근자 비밀번호 설정ㆍ운영 여부	- 안전한 비밀번호 작성규칙을 적용하고 있는가? (ex. 문자, 숫자, 특수문자 중 2가지를 포함하여 10자리 이상 또는 3가지를 포함하여 8자리 이상)
	비밀번호 보관 시 법적 기준을 충족하는 안전한 암호화 알고리즘 적용 여부	- 비밀번호 저장 시 안전한 암호화 알고리즘을 사용하고 있는가? (ex. SHA-224/256/384/512)
이용자 비밀번호 관리	정보처리시스템 및 전산자료에 보관하고 있는 이용자 비밀번호 암호화 보관 여부	- 비밀번호 저장 시 안전한 암호화 알고리즘을 사용하고 있는가? (ex. SHA-224/256/384/512)
이용자 유의사항 (3)	비밀번호 유출위험 및 관리에 관한 사항의 공지 여부	- 내부관리계획을 통해 이용자의 비밀번호 관리에 관한 사항을 명시하고 있는가?
	제공하고 있는 이용자보호 제도에 관한 사항의 공지 여부	- 내부관리계획을 통해 이용자 보호 제동에 관한 사항을 명시하고 있는가?
	해킹ㆍ피싱 등 전자적 침해방지에 관한 사항의 공지 여부	- 내부관리계획을 통해 침해사고의 종류, 대응절차 등에 관한 사항을 명시하고 있는가?
전자금융 사고보고	전자적 침해행위에 대한 보고 및 조치 여부	- 해킹 등 외부 불법적인 접근으로 인한 침해행위가 발생한 경우 그 사실을 알게 되었을 때 지체없이 신고하는가? - 사고 추적 및 분석, 보안 조치를 수행하는가?
업무환경	개인ㆍ공용사무실, 공용사무기기 인근에 중요문서, 저장매체 방치여부	- 개인 책상 위에 중요정보가 포함되어있는 서류 또는 메모지를 방치하고 있는가? - 중요문서는 잠금장치가 부착된 캐비닛에 보관하고 있는가? - 중요문서, 저장매체 등을 공용사무실 내 공간에 방치하고 있는가?

 

 

5. 기타

- 사내 클린데스크를 함께 수행

① 책상 위 업무 서류는 방치하지 않고 항상 정리(개인정보, 비밀번호 메모지에 적어 붙여놓지 않기)
② 자리를 비울 때는 PC 화면보호기 설정(타인이 PC에 접근할 수 없도록)
③ 복합기 사용 시 공용 사무기기에 문서를 놓고 오거나 방치하지 않기
④ 사용 완료한 문서는 파쇄기를 통해 파기하기
⑤ 퇴근 전 PC 잠금화면으로 설정 혹은 전원 off, 개인서랍은 잠그고 퇴근
⑥ PC에 불필요한 무선매체(USB) 연결 사용금지