2.10.1 보안시스템 운영

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.1 보안시스템 운영

항목		상세내용
2.10.1	보안시스템 운영	보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립•이행하고 보안시스템별 정책적용 현황을 관리하여야 한다.
주요 확인사항		ㆍ조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립•이행하고 있는가? ㆍ보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가? ㆍ보안시스템별로 정책의 신규등록, 변경, 삭제 등을 위한 공식적인 절차를 수립•이행하고 있는가? ㆍ보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가? ㆍ보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가? ㆍ개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가?
관련 법규		ㆍ개인정보의 안전성 확보조치 기준 제6조(접근통제), 제9조(악성프로그램 등 방지)

 

● 중요사안

- 보안시스템에 대한 운영매뉴얼, 비상복구매뉴얼 등을 마련하고 주기적으로 갱신하여야 한다.
- 보안시스템 정책 변경 시 공식적인 절차(내부 승인 프로세스)에 의해 반영해야 한다.
- 보안시스템은 정보자원을 보호하기 위한 중요시스템으로 보안시스템은 정보자산으로 식별하고 별도의 운영, 관리절차를 마련하여 관리하여야 한다.
- 보안시스템은 각 역할별로 보호하는 대상과 범위가 달라짐으로 조직특성에 맞는 정보보호 체계의 구축•운영방안을 수립하여야 한다.

 

● 운영현황

- 보안시스템의 도입부터 운영, 관리, 폐기까지 단계별 정책을 수립하고 있음
- 네트워크, 서버, 애플리케이션, 단말 등 유형별로 시스템을 분류하고 각각의 운영절차를 수립하고 있음
  > 네트워크 보안 : FW, IDS, IPS, VPN, APT
  > 서버 보안 : 접근통제솔루션, 보안운영체제(SecureOS)
  > 단말 보안 : NAC, DRM, DLP, FTC, 매체제어, 백신, 유해사이트차단
  > 애플리케이션 보안 : WAF, 스팸메일차단솔루션
  > 개인정보보호 : 개인정보 접속기록 솔루션
- 보안시스템 룰셋의 적정성을 주기적으로 검토, 관리하고 있으며 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있음
- 개인정보처리시스템에 대한 불법적인 접근 및 유출 방지를 위하여 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있음

 

● 기록(증적자료)

- 보안시스템 운영절차서
- 보안시스템 정책 관리 문서
- 룰셋 등록,변경,삭제 현황
- 예외 사용자 목록
- 보안시스템별 관리 화면
- 보안시스템 정책 검토 이력

 

● 주요 결함사례

- 보안시스템 관리자 등 접근이 허용된 인원을 최소화하지 않거나 허용된 인원만 접근하도록 통제하지 않은 경우
- 보안시스템 정책에 대한 정기적 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우
- 보안시스템 정책의 등록, 변경, 삭제, 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
- 보안시스템 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우