ISMS-P 인증기준 세부점검항목 - 2.보호대책 요구사항(보호대요~)

 

2.1 정책, 조직, 자산 관리 [정조 자~]

2.1.1 정책의 유지관리
- 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관
정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우
재.개정하고 그 내역을 이력관리하여야 한다.

2.1.2 조직의 유지관리
- 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고,
그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원간 상호 의사소통할 수 있는
체계를 수립하여 운영하여야 한다.

2.1.3 정보자산 관리
- 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립 이행하고,
자산별 책임소재를 명확히 정의하여 관리하여야 한다.

2.2 인적 보안 [주분서교 퇴위]

2.2.1 주요 직무자 지정 및 관리
- 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과
관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

2.2.2 직무 분리
- 권한 오.남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고
적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여
이행하여야 한다.

2.2.3 보안 서약
- 정보자산을 취급하거나 접근권한이 부여된 임직원.임시직.외부자 등이 내부 정책 및 관련법규,
비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.

2.2.4 인식제고 및 교육훈련
- 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고
직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립.운영하고,
그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

2.2.5 퇴직 및 직무변경 관리
- 퇴직 및 직무변경 시 인사.정보보호.개인정보보호.IT 등 관련 부서별 이행하여야 할
자산반납, 계정 및 접근권한 회수.조정.결과확인 등의 절차를 수립.관리하여야 한다.

2.2.6 보안 위반 시 조치
- 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우
이에 따른 조치 절차를 수립.이행하여야 한다.

2.3 외부자 보안 [외계이변]

2.3.1 외부자 현황 관리
- 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나
외부의 시설 또는 서비스(직접정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를
이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직.서비스로부터 발생되는
위험을 파악하여 적절한 보호대책을 마련하여야 한다.

2.3.2 외부자 계약 시 보안
- 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른
정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에
명시하여야 한다.

2.3.3 외부자 보안 이행 관리
- 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라
외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리.감독하여야 한다.

2.3.4 외부자 계약 변경 및 만료 시 보안
- 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제,
중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.

2.4 물리 보안 [구출시설 내 기업]

2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안

2.5 인증 및 권한관리[계 식인비 특검]

2.5.1 사용자 계정 관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번화 관리
2.5.5 특수계정 및 권한 관리
2.5.6 접근권한 검토

2.6 접근통제 [네시 응데 무원인]

2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근 통제
2.6.7 인터넷 접속 통제

2.7 암호화 적용 [정K (정과장~)]

2.7.1 암호정책 적용
2.7.2 암호키 관리

2.8 정보시스템 도입 및 개발 보안 [요검시데 소이]

2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영 환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관

2.9 시스템 및 서비스 운영 관리 [변성 백로 로시폐]

2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9.7 정보자산의 재사용 및 폐기

2.10 시스템 및 서비스 보안 관리 [운클공(구름 구름 공~)핀 전단 저패악]

2.10.1 보안시스템 운영
2.10.2 클라우드 보안
2.10.3 공개서버 보안
2.10.4 전자거래 및 핀테크 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제

2.11 사고 예방 및 대응 [구취 이훈복]

2.11.1 사고 예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고 대응 훈련 및 개선
2.11.5 사고 대응 및 복구

2.12 재해복구 [안시]

2.12.1 재해, 재난 대비 안전조치
2.12.2 재해 복구 시험 및 개선