2.11.2 취약점 점검 및 조치

2. 보호대책 요구사항 > 2.11 사고 예방 및 대응 > 2.11.2 취약점 점검 및 조치

항목		상세내용
2.11.2	취약점 점검 및 조치	정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.
주요 확인사항		ㆍ 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? ㆍ발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? ㆍ최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? ㆍ취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?
관련 법규		ㆍ개인정보 보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검), 제6조 (접근통제)

 

● 중요사안

- 정보시스템에 대하여 점검 대상, 주기, 절차, 방법, 담당자 등을 포함한 취약점 점검 계획을 수립하고, 정기적인 취약점 점검을 수행하여야 한다.
- 취약점 점검 시 회사 규모 및 정보의 중요도에 따라 모의침투 테스트를 수행하는 것을 고려하여야 한다.
- 발견된 취약점에 대해서는 취약점별 대응방안 및 조치결과를 문서화하여 책임자에게 보고하여야 한다.

 

● 운영현황

- 정보시스템 취약점 점검을 연 1회 이상 수행하고 있으며, 웹/앱 응용프로그램의 경우 연 2회 이상 모의해킹을 수행하고 있음
- 취약점 점검을 통해 식별된 위험은 조치계획을 수립하고 이행점검을 수행하고 있음
- 취약점 점검 및 위험분석•평가를 수행한 사항은 정보보호위원회 심의•의결을 거쳐 책임자 및 대표이사에게 보고하고 있음

 

● 기록(증적자료)

- 취약점 점검(모의해킹) 수행계획서
- 취약점 점검(모의해킹) 결과보고서
- 취약점 점검(모의해킹) 조치계획서
- 취약점 조치 완료보고서
- 취약점 분석•평가 보고서
- 정보보호위원회 심의•의결 내용

 

● 주요 결함사례

- 연 1회 이상 주요시스템에 대한 기술적 취약점을 점검하도록 정하고 있으나 일부 시스템에 대한 취약점 점검을 누락한 경우
- 시스템에 대한 기술적 취약점 식별 및 보완조치가 미흡한 경우
- 보완조치를 이행하지 않거나 조치계획을 타당한 근거 없이 과도하게 장기적으로 계획한 경우
- 확인된 취약점에 대한 조치계획 및 이행점검결과를 적절히 보고하지 않거나 조치불가로 표시한 취약점에 대한 타당한 근거 또는 승인내역이 확인되지 않는 경우
- 정기적인 취약점 점검 계획이 수립되어 있지 않은 경우