2.11.1 사고 예방 및 대응체계 구축

2. 보호대책 요구사항 > 2.11 사고 예방 및 대응 > 2.11.1 사고 예방 및 대응체계 구축

항목		상세내용
2.11.1	사고 예방 및 대응체계 구축	침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내•외부 침해시도의 탐지•대응•분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
주요 확인사항		ㆍ침해사고 및 개인정보 유출사고를 예방하고 사고 발생시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가? ㆍ보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축‧운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가? ㆍ침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
관련 법규		ㆍ개인정보 보호법 제34조(개인정보의 유출 등의 통지·신고) ㆍ정보통신망법 제48조의3(침해사고의 신고 등), 제48조의4(침해사고의 원인분석 등)

 

● 중요사안

- 침해사고 유형, 침해사고 경보단계, 신고 및 통지 절차 등을 포함한 침해사고 대응절차를 수립하여야 한다.
- 침해사고를 효과적으로 모니터링하고 신속하게 대응하기 위한 중앙 집중적인 대응체계를 수립하여야 한다.
  > 침해사고 발생 시 침해사고를 전담할 수 있는 조직을 신속하게 구성하고 탐지, 대응, 분석 과정에서 발생하는 중요 이슈사항을 CISO 등 책임자에게 신속하게 보고해야 한다.
  > 보고 시 혼선과 중복 등을 제거하고 신속하게 보고하기 위하여 조직의 가장 효과적이고 효율적인 방안을 마련하여 보고체계를 수립하여야 한다.
- 침해사고 대응체계를 외부 기관을 통해 구축한 경우 수립된 침해사고 대응절차 및 체계를 계약서 등에 반영하여야 한다.
- 침해사고의 모니터링, 대응 및 처리와 관련되어 외부전문가, 전문업체, 전문기관(KISA) 등과의 연락 및 협조체계를 수립하여야 한다.

 

● 운영현황

- 침해사고 발생을 대비하여 침해사고대응절차, 업무연속성계획을 수립하고 있으며, 침해사고의 유형/등급/체계와 예방/대응/복구 활동을 포함하고 있음
- 메인/DR 센터를 운영하여 DDoS와 같은 침해사고 발생 시 DR센터로 전환하는 등 보안대책을 수립하고 있음
- 침해사고 대응조직의 구성, 보고체계, 관련기관 통보 등을 포함하는 대응체계를 구축하고 있음
- 보안관제서비스를 이용하고 있으며 침해사고 발생 시 발생내용, 원인, 피해확산방지, 조치사항, 예방 방법 등을 안내받고 협조받을 수 있도록 계약서에 반영하고 있음

 

● 기록(증적자료)

- 침해사고 대응지침 문서(매뉴얼, 정책서 등)
- 업무연속성계획
- 모니터링 시스템 구성도
- 침해사고 대응 조직도 및 비상연락망
- 보안관제서비스 계약서(SLA 등)
- 관제보고서(모니터링 보고서)

 

● 주요 결함사례

- 침해사고 대응 조직 및 대응 절차 등을 명확히 정의하고 있지 않은 경우
- 내부 지침 및 절차에 침해사고 단계별 대응절차는 수립하고 있으나 실제 침해사고 발생 시 사고 유형 및 심각도에 따른 세부 신고, 통지, 대응, 복구 절차 일부 또는 전부의 이행이 미흡한 경우
- 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나 담당자별 역할과 책임이 명확히 정의되어있지 않은 경우
- 침해사고 신고, 통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
- 외부기관을 통하여 침해사고 대응체계를 구축, 운영하는 경우에 침해사고 대응절차가 계약서에 반영되어있지 않은 경우