하루에 하나씩

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.7 보조저장매체 관리항목상세내용2.10.7보조저장매체 관리보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립•이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관하여야 한다.주요 확인사항ㆍ외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립‧이행하고 있는가? ㆍ보조저장매체 보유현황, 사용 및 관리실태를 주기적으로 점검하고 있는가? ㆍ주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가? ㆍ보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책..

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.6 업무용 단말기기 보안항목상세내용2.10.6업무용 단말기기 보안PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.주요 확인사항ㆍPC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립•이행하고 있는가? ㆍ업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용통제 등의 정책을 수립•이행하고 있는가? ㆍ업무용 모바일 기기의 분실, 도난 등으로 ..

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.5 정보전송 보안항목상세내용2.10.5정보전송 보안타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직간 협의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.주요 확인사항ㆍ외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가? ㆍ업무상 조직 간 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립•이행하고 있는가?관련 법규ㆍ개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) ㆍ전자금융거래법 제21조(안전성의 확보의무) ● 중요사안- 조직 또는 계열사 간 업무수행을 위..

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.4 전자거래 및 핀테크 보안항목상세내용2.10.4전자거래 및 핀테크 보안전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작•사기 등의 침해사고 예방을 위해 인증•암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.주요 확인사항ㆍ전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립•이행하고 있는가? ㆍ전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송•수신되는 관련 정보의 보호를 위한 대책을 수립•이행하고 안전성을 점검하고 있는가?관련 법규ㆍ개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)..

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.3 공개서버 보안항목상세내용2.10.3공개서버 보안외부 네트워크에 공개되는 서버의 경우 내부망과 분리하고 취약점 점검, 접근통제, 인증, 정보 수집•저장•공개 절차 등 강화된 보호대책을 수립•이행하여야 한다.주요 확인사항ㆍ공개서버를 운영하는 경우 이에 대한 보호대책을 수립•이행하고 있는가? ㆍ공개서버는 내부 네트워크와 분리된 DMZ영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가? ㆍ공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립•이행하고 있는가? ㆍ조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지..

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.2 클라우드 보안항목상세내용2.10.2클라우드 보안클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유•노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립•이행하여야 한다.주요 확인사항ㆍ클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA)에 반영하고 있는가? ㆍ클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책..

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.1 보안시스템 운영항목상세내용2.10.1보안시스템 운영보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립•이행하고 보안시스템별 정책적용 현황을 관리하여야 한다.주요 확인사항ㆍ조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립•이행하고 있는가? ㆍ보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가? ㆍ보안시스템별로 정책의 신규등록, 변경, 삭제 등을 위한 공식적인 절차를 수립•이행하고 있는가? ㆍ보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가? ㆍ보안..

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.7 정보자산의 재사용 및 폐기항목상세내용2.9.7정보자산의 재사용 및 폐기정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구•재생되지 않도록 안전한 재사용 및 폐기 절차를 수립•이행하여야 한다.주요 확인사항ㆍ정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립•이행하고 있는가? ㆍ정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가? ㆍ자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가? ㆍ외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하..

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.6 시간 동기화항목상세내용2.9.6시간 동기화로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다.주요 확인사항ㆍ정보시스템의 시간을 표준시간으로 동기화하고 있는가? ㆍ시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가?관련 법규  ● 중요사안- NTP는 대부분의 조직에서 사용하고 있으나, 내부 서버팜에서 외부로 직접 연결을 할 수 없기때문에 내부 NTP를 만들어 사용하게 되는데, 관리소홀로 실제 시각이 정확하게 일치하지 않는 경우가 발생한다. 이런 상황이 계속될 경우 유출사고 발생 시 사고관련 정확한 로그기록을 찾기 어렵기 때문..

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.5 로그 및 접속기록 점검항목상세내용2.9.5로그 및 접속기록 점검정보시스템의 정상적인 사용을 보장하고 사용자 오•남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다.주요 확인사항ㆍ정보시스템 관련 오류, 오•남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립•이행하고 있는가? ㆍ중요정보 및 주요 정보시스템에 대한 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가? ㆍ개인정보처..