하루에 하나씩

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.4 로그 및 접속기록 관리항목상세내용2.9.4로그 및 접속기록 관리서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위•변조, 도난, 분실 되지 않도록 안전하게 보존•관리하여야 한다.주요 확인사항ㆍ서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가? ㆍ정보시스템의 로그기록은 별도 저장장치를 통해 백업하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가? ㆍ개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필..

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.3 백업 및 복구관리항목상세내용2.9.3백업 및 복구관리정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립•이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.주요 확인사항ㆍ백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립•이행하고 있는가? ㆍ백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가? ㆍ중요정보가 저장된 백업매체의 경우 재해•재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?관련 법규ㆍ개인정보보호법 제29조(안전조치 의무..

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.2 성능 및 장애관리항목상세내용2.9.2성능 및 장애관리정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생시 효과적으로 대응하기 위한 탐지•기록•분석•복구•보고 등의 절차를 수립•관리하여야 한다.주요 확인사항ㆍ정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링할 수 있는 절차를 수립•이행하고 있는가? ㆍ정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립•이행하고 있는가? ㆍ정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립•이행하고 있는가? ㆍ장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 장애조치내역..

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.1 변경관리항목상세내용2.9.1변경관리정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립•이행하고 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.주요 확인사항ㆍ정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립•이행하고 있는가? ㆍ정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 옇양을 분석하고 있는가?관련 법규  ● 중요사안- 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하여야 한다. > 영향 분석 시 일반적으로 기술되어야 할 내용(예시)    * 변경 전 후, 무엇이 달라졌는지에 대한 설명    * 수정/변..

이용자의 안전한 인터넷 이용 및 정보보호 투자 활성화를 위하여 정보보호 투자, 인력, 인증, 활동 등 기업의 정보보호 현황을 공개하는 자율·의무공시 제도 [기대효과] 정보보호 측면에서 이용자의 알 권리 보장 및 객관적인 기업 선택의 기준을 제시하고, 기업은 정보보호를 기업경영의 중요요소로 포함하여 자발적인 정보보호 투자를 유도※ 관련근거 : 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시), 동법 시행령 제8조(정보보호 공시) [이행기한] 정보보호 공시를 하려는 자는 매년 6월 30일까지 정보보호 현황을 정보보호 공시 종합포털(isds.kisa.or.kr) 에 등록(자율·의무공시 모두 해당) [과태료] 의무공시 대상 기업이 공시를 이행하지 않을 경우, 최대 1천만원 이하의 과태료 부과 [의무공..

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.6 운영환경 이관항목상세내용2.8.6운영환경 이관신규 도입•개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다.주요 확인사항ㆍ신규 도입•개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립•이행하고 있는가? ㆍ운영환경으로의 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가? ㆍ운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가?관련 법규ㆍ전자금융감독규정 제29조(프로그램 통제) ● 중요사안- 운영환경으로의 이관 절차를 수립•이행하여야 하고 프로그램의 변경 내용을 기록•관리하여야 한다. - 프로그..

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.5 소스 프로그램 관리항목상세내용2.8.5소스 프로그램 관리소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.주요 확인사항ㆍ비인가된 자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립•이행하고 있는가? ㆍ소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가? ㆍ소스 프로그램에 대한 변경이력을 관리하고 있는가?관련 법규  ● 중요사안- 소스 프로그램의 변경관리를 통해 비상시 이전 상태로 복귀(rollback)될 수 있어야 한다. - 불필요한 소스 프로그램의 백업 파일이 운영시스템에 존재하지 않아야 한다. ● 운영현황- 형상관리..

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.4 시험 데이터 보안항목상세내용2.8.4시험 데이터 보안시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립•이행하여야 한다.주요 확인사항ㆍ정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가? ㆍ불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립•이행하고 있는가?관련 법규  ● 중요사안- 정보처리시스템에 대한 테스트를 할 때 실제 이용자 정보를 테스트 정보로 사용하지 아니하여야 한다. - 부하테스트 등 사용이 불가피한 경우 책임자 승인 등의..

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.3 시험과 운영 환경 분리항목상세내용2.8.3시험과 운영 환경 분리개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.주요 확인사항ㆍ정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가? ㆍ불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?관련 법규ㆍ전자금융감독규정 제29조(프로그램 통제) ● 중요사안- 개발한 프로그램을 Staging(시험/테스트)시스템에서 검증 후에 Production(운영)시스템에 적용하도록 구성해야 한다. - 개발 및 시험 시스템과 운영시스템..

2. 보호대책 요구사항 > 2.8 정보시스템 도입 및 개발 보안 > 2.8.2 보안 요구사항 검토 및 시험항목상세내용2.8.2보안 요구사항 검토 및 시험사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.주요 확인사항ㆍ정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가? ㆍ정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가? ㆍ시험 및 취약점 점검 과정..