2011 년 5 월 15 일 문서이력 버전날짜설명작성자 년 12 월 31 일 최초일반공개 Deloitte & Touche LLP MPAA MPAA 회원사 년 5 월 15 일업데이트및개정 공통지침및보완지침으로통합 PwC LLP MPAA M

Transcription

1 콘텐츠보안모범사례 공통지침 버전 년 5 월 15 일

2 2011 년 5 월 15 일 문서이력 버전날짜설명작성자 년 12 월 31 일 최초일반공개 Deloitte & Touche LLP MPAA MPAA 회원사 년 5 월 15 일업데이트및개정 공통지침및보완지침으로통합 PwC LLP MPAA MPAA 회원사 2.1 업데이트및개정 PwC LLP MPAA MPAA 회원사 MPAA 모범사례 - 공통지침 페이지 i

3 목차 소개... 1 목적및적용범위... 1 예외절차... 1 질문또는의견... 1 I. 시설개요... 2 II. 위험관리... 3 위험평가... 3 자산분류... 3 보안관리수단... 3 III. 문서구성... 4 IV. 모범사례형식... 5 V. 모범사례공통지침... 6 부록 A 용어집 부록 B MPAA 제작물및배포경로정의 제작물종류 배포경로 MPAA 모범사례 - 공통지침 페이지 ii

4 부록 C 각관리수단과관련된참고자료 부록 D 자주묻는질문 부록 E 권장정책및절차 부록 F 기타자료및참고문헌 부록 G MPAA 에저작권침해신고 MPAA 온라인저작권침해신고 MPAA 및 MPA 저작권침해 24 시간제보전화 MPAA 온라인자료 문서의끝 MPAA 모범사례 - 공통지침 페이지 iii

5 모범사례개요 소개 회원사와해당사업파트너간의콘텐츠보안과관련하여별도의추가논의를위한표준설문조사수단을제공함 미국영화협회 (MPAA, Motion Picture Association of America, Inc.) 는 30 년이넘는기간동안회원사 ( 회원사 ) 인 Walt Disney Studios Motion Pictures, Paramount Pictures Corporation, Sony Pictures Entertainment Inc, Twentieth Century Fox Film Corporation, Universal City Studios LLC 및 Warner Bros. Entertainment Inc. 를대신하여시설보안설문조사를주관해왔습니다. 이러한검토는표준화된설문조사모델, 절차및보고서템플릿을사용하여 2007 년부터실시되었습니다. 그이후로 32 개국에있는 300 개이상의시설이설문조사에포함되었습니다. MPAA 는전세계인들을대상으로오락물을창작하는이들의권리를보호하고자노력하고있습니다. 창조예술에서부터소프트웨어산업에이르기까지아이디어를생계수단으로삼는사람의수가전세계적으로늘어나고있습니다. 이는곧지적재산권을보호하고그보호수단이건전한글로벌정보경제의초석임을인식하는것이점점중요해지고있음을의미합니다. MPAA 시설보안프로그램은프로덕션, 포스트프로덕션, 마케팅및배포단계에있는회원사콘텐츠를위한보호절차를강화하는데그목적이있습니다. 이를위한방안은다음과같습니다. 회원사콘텐츠보안을위한표준관리방안을명시한일련의시설서비스별모범사례를발행함 발행된모범사례를바탕으로제 3 자협력사의콘텐츠보안을평가및산정함 회원사콘텐츠보안의중요성을강조함 목적및적용범위 본문서는회원사가고용한현재및향후의제 3 자업체가콘텐츠보안에대한일반적인기대사항과현재발행된업계모범사례를이해하도록하는데그목적이있습니다. 특정회원사의업체이용에관한결정은각회원사가일방적으로정합니다. 콘텐츠보안을위한모범사례는시설이제공하는서비스, 시설이취급하는콘텐츠종류및시설이속한개봉기간을고려하여작성됩니다. 본문서에설명된모범사례는현지, 주, 지역, 연방및국가별법규의적용을받습니다. 본문서에설명된모범사례, 또는여기에포함된업계표준, 또는 ISO 참고사항은정기적으로변경될수있습니다. 모범사례의준수는전적으로자유의사에따릅니다. 이는인정프로그램으로간주되지않습니다. 예외절차 모범사례의준수가실행불가능한시설은준수불가능사유를문서화하고모범사례를대신한보완책을실시해야합니다. 또한예외사항은회원사로직접전달해야합니다. 질문또는의견 모범사례에대한질문이나의견은이메일로 sitesurvey@mpaa.org 에문의해주시기바랍니다. MPAA 모범사례 - 공통지침페이지 1

6 I. 시설개요 다음표에각시설유형마다일반적으로제공되는서비스, 취급콘텐츠및개봉기간이설명되어있습니다. 번호시설종류일반적시설서비스콘텐츠종류개봉기간 1 음성, 더빙및자막제작 원어및외국어더빙 자막제작 SFX 음악제작 ADR/ 음향효과 저해상도 워터마크삽입 / 스포일링 영화콘텐츠전체 / 일부 음성마스터 극장개봉전 홈비디오출시전 번호시설 종류 7 DVD 제작 일반적시설서비스 압축 저작 엔코딩 콘텐츠종류 클린 영화전체 개봉기간 홈비디오출시전 2 특송, 배달, 운송 특송서비스 배달서비스 다양 극장개봉전 홈비디오출시전 지역화 부가영상 운송회사 카탈로그 디스크 QC 검사 3 크리에이티브광고 미완성 트레일러 워터마크및스포일이삽입된 영화콘텐츠전체 / 일부 극장개봉전 홈비디오출시전 8 필름현상소 음영상처리 절단 클린 영화전체 극장개봉전 TV 광고 스틸 카탈로그 상영용필름 티저광고 그래픽 웹광고 클립 9 기내오락 (IFE) 및접객서비스 IFE 현상소 IFE 통합 호텔 고해상도 콘텐츠전체또는일부 스포일링 콘텐츠전체또는 극장개봉전 홈비디오출시전 카탈로그 4 디지털영화 디지털영화마스터링 복사 고해상도 콘텐츠전체또는 일부 극장개봉전 항공 유람선 / 여객선 일부 키관리 디지털영화배포마스터 도서관 디지털영화패키지 병원 5 디지털서비스 디지털후반작업 스캔 필름녹화 클린및고해상도 콘텐츠 전체또는일부 ( 필름테이프 ) 극장개봉전 카탈로그 교도소 10 후반제작서비스 텔레시네 복제 고해상도 콘텐츠전체또는일부 극장개봉전 홈비디오출시전 필름복원 편집 카탈로그 6 배포 배포 이행 필름창고 DVD/ 테이플재활용 고해상도 클린영상 극장개봉전 홈비디오출시전 카탈로그 마감 QC 11 복사 사전마스터링 마스터링 복사 고해상도 클린영상 홈비디오출시전 디스크제작검사 12 시각효과 (VFX) 디지털후반제작 컴퓨터합성영상 (CGI) 애니메이션 고해상도 일부 프레임, 샷, 시퀀스및스틸 대본 극장개봉전 극장개봉후 (2D 에서 스토리보드 3D 로 ) MPAA 모범사례 - 공통지침페이지 2

7 II. 위험관리 위험평가 위험은위험평가를통해식별해야하며허용가능한수준까지위험을줄이는한편사업목표를달성할수있도록적절한관리수단을구현해야합니다. 국제표준화기구 (ISO) 27000은위험을 사고확률및그결과의조합 으로정의합니다. 예를들어콘텐츠가시설네트워크로부터도난되어일반에공개될확률과이러한사고가발생할경우조직및그고객에게미치는사업상결과 ( 예 : 계약위반및 / 또는해당개봉기간중의수익손실 ) 를위험으로간주할수있습니다. 견고한관리체계의중요성은 ISO 표준에도강조되어있습니다. 이표준은정보보호관리체계 (ISMS) 를수립하는방법을제시합니다. 자산분류시설의자산을분류하는한방법은아래에요약된 4 단계절차를따르는것입니다. 조직은회원사 ( 해당고객 ) 와상의하여보다높은수준의보안이 필요한고객자산을판단할책임이있습니다. 다음표에콘텐츠를 분류하는방법의예가나와있습니다. 분류 설명 예 고도의보안이필요한콘텐츠 조직이판단하기에자산이도난되거나유출될경우금전적손실, 부정적인브랜드평판, 또는심각한처벌로이어질수있는콘텐츠 전세계첫극장개봉전블록버스터영화의도난 전세계첫출시일전홈비디오콘텐츠의도난 마스터또는스크리너의도난 각시설유형와관련된일반적위험에대한추가정보는각모범 사례보완문서에포함되어있습니다. 보안관리수단 정보기술관리협회 (ITGI) 는관리수단을 사업목표를달성하고유해사고를예방또는감지하여수정할수있는합리적인확실성을제공하도록마련된정책, 절차, 실천안및조직체계 로정의합니다. 보안관리수단은보통자산의분류, 자산이조직에제공하는가치및자산의유출이나도난위험을바탕으로선택합니다. 식별된위험을완화할수있도록조직이구체적인각위험에알맞은관리수단을시행할것을권장합니다. 또한현재의위협환경에근거하여그러한조치의계획및효과를정기적으로평가해야합니다. MPAA 모범사례 - 공통지침페이지 3

8 III. 문서구성 모범사례는고객콘텐츠를보호할수있는시설의역량을평가하는 체계를제시하는 MPAA 콘텐츠보안모델에따라구성되어있습니다. 관리체계, 물리적보안및디지털보안의세영역에대해 49 개의보안 주제가모범사례에포함되어있습니다. MPAA 콘텐츠보안모델의 구성요소는관련 ISO 표준 (27001/27002), 보안표준 ( 즉, NIST) 및업계 모범사례를참고하여작성되었습니다. 관리시스템물리적보안디지털보안 조직및관리 역량 시설 자산관리 운송 인프라 콘텐츠관리 콘텐츠전송 운영진의보안인식 / 감독 MS-1 MS-2 MS-3 MS-4 MS-5 MS-6 MS-7 MS-8 운영진의보안인식 / 감독 조직성숙도 위험관리 보안조직 예산편성 정책및절차 정책및절차 사고대응 사고대응 절차관리 워크플로우 업무분장 MS-9 MS-10 MS-11 MS-12 MS-13 채용및인사 신원조회 기밀유지계약 징계조치 훈련및교육 콘텐츠보안및저작권침해이해 업체관리 제 3 자의사용및적격심사 PS-1 PS-2 PS-3 PS-4 PS-5 PS-6 PS-7 PS-8 PS-9 시설접근 출입지점 방문출입 식별 시설보안 경계보안 긴급상황프로토콜 경보 시설권한 권한부여 전자식출입 열쇠 시설감시 PS-10 카메라 재고및자산관리 PS-13 재고추적 PS-14 재고합계 PS-15 공백매체 / 생필름추적 물리적자산보안 PS-16 고객자산 PS-17 제작시스템 PS-18 처분 운송및수취 PS-19 운송 PS-20 수취 포장및운송 PS-21 라벨부착 PS-22 포장 PS-23 운송차량 DS-1 DS-2 DS-3 DS-4 DS-5 DS-6 DS-7 DS-8 DS-9 인프라보안 WAN 인터넷 LAN 무선 시스템보안 입출력장치보안 시스템보안 인증및권한부여 계정관리 인증 로깅및모니터링 로깅및모니터링 DS-10 콘텐츠보안 보안기술 DS-11 DS-12 DS-13 콘텐츠전송보안 전송도구 전송장치방법론 고객포털 PS-11 로깅및모니터링 PS-12 수색 MPAA 모범사례 - 공통지침페이지 4

9 2011 년 5 월 15 일 IV. 모범사례형식 모범사례는다음형식을사용하여 MPAA 콘텐츠보안모델에포함된각보안주제에대해제시됩니다. 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 각절앞에등장하는도표에전체 MPAA 콘텐츠보안모델내의해당보안 영역이강조표시됩니다. PS-9.0 열쇠마스터열쇠는권한있는관계자 ( 예 : 소유자, 시설 관리팀 ) 에게만배포한다 마스터열쇠를빌릴수있도록허용된회사관계자목록을작성, 유지한다 해당목록을정기적으로업데이트하여마스터열쇠사용이더이상필요하지않은회사관계자를목록에서삭제한다 PS-9.1 마스터열쇠의배포를추적및감시할수있는 대여 / 반환절차를실시한다 기록을유지하여다음정보를추적한다. - 각마스터열쇠를소유하고있는회사관계자 - 대여 / 반환시간 - 대여사유 P 번호 보안주제 모범사례 이행지침 용어집 각모범사례에는 XX-Y.Z 각역량부분은하나이상의 형태의참조번호가 보안주제 로구성됩니다. 할당됩니다. XX 는일반 각보안주제에대해하나 영역, Y 는보안주제, Z 는 이상의모범사례가 특정관리수단을 제시됩니다. 가리킵니다. 모범사례는각보안 주제에대해설명되어 있습니다. 조직의모범사례구현을돕도록 추가고려사항, 가능한시행단계및 예가제공됩니다. 용어집에포함된모든용어는굵은글씨체로표시되며부록 A 에정의되어있습니다. 5 페이지

10 V. 모범사례공통지침 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 MS-1.0 MS-1.1 운영진의보안 인식 / 감독 정보보안프로그램및위험평가결과를정기적으로검토하도록요구함으로써정보보안기능에대한운영진 / 소유자의감독이이루어지도록한다회사의콘텐츠보안책임에대해운영진 / 소유자를교육하고관여케한다 MS-2.0 위험관리 시설에해당되는콘텐츠도난및유출의위험을식별하고그우선순위를정하기위해콘텐츠워크플로우및민감한자산에중점을둔공식적인보안위험평가절차를개발한다 보안위험평가에대한명확한범위를정의한다 위험발생가능성, 사업목표 / 콘텐츠보호에미치는영향및우선순위할당을위한자산분류를포함하는체계적접근방법을적용한다 MS-2.1 고객지침에따라고도의보안이필요한콘텐츠를 식별한다 6 페이지

11 MS-2.2 내부위험평가를연례적으로실시, 또한최소요건인 MPAA 모범사례공통지침과해당보완지침을바탕으로워크플로우주요사항이변경된경우에도실시하며, 식별된위험을문서화하고이에대해조치한다 운영진과주요이해관계자가참석하는회의를열어콘텐츠도난및유출위험을식별하고문서화한다 시설측이판단하기에콘텐츠손실이발생할수있는부분을반영하는주요위험을식별한다 기존의위험을식별할수있도록위험및취약점평가실시를고려한다 위험평가를업데이트하여워크플로우가변경될경우추가위험을반영한다 인터넷보안자체진단 ( 예 : 침투시험 ) 을매년실시한다 관리수단을구현, 문서화하여식별된위험을완화하거나줄인다 최소한연례적으로개선활동및구현된관리수단의효과를감시및평가한다 MS-3.0 보안조직콘텐츠보안의주요접점을식별하고콘텐츠및자산 보호에대한역할과책임을공식적으로정의한다 조직표와직무기술서를마련하여콘텐츠보안과관련한역할과책임사항의지정을촉진한다 자신의직무와관련된정책및절차에대해보안인력이준비할수있도록온라인또는현장교육을제공한다 보안계획, 업그레이드및유지관리에대해문서화하고예산을편성한다 7 페이지

12 MS-4.0 정책및절차 자산및콘텐츠보안에대한정책과절차를수립한다. 정책은최소한다음주제를다루어야한다. 인사정책 수용가능한사용 ( 예 : 소셜네트워킹, 인터넷, 전화등 ) 자산분류 자산취급정책 디지털기록장치 ( 예 : 스마트폰, 디지털카메라, 캠코더 ) 예외정책 ( 예 : 문서화절차정책의예외 ) 비밀번호관리수단 ( 예 : 비밀번호최소길이, 화면보호기 ) 고객자산을시설에서다른장소로이전금지 시스템변경관리 내부고발자정책 제재정책 ( 예 : 징계정책 ) 모든정책과절차는발행및공개되기전에운영진이결재하도록요구한다 가능한제재조치에대해모든회사관계자및제 3 자근무자에게알린다 신입사원오리엔테이션교육시징계조치에대해전달한다 고려할만한정책및절차의전체목록은부록 E 를참조한다 MS-4.1 MS-4.2 최소한연례적으로보안정책및절차를검토및업데이트한다모든정책, 절차및 / 또는고객요구사항과업데이트사항에대해모든회사관계자 ( 예 : 정직원, 임시직원, 인턴 ) 및제 3 자근무자 ( 예 : 계약직원, 프리랜서, 파견업체 ) 의서명을요구한다 보안정책및절차에대한연례운영진검토에다음요인을포함시킨다. - 최근보안추세 - 회사관계자의피드백 - 새로운위험및취약점 - 규제기관 ( 즉, FTC 등 ) 의권고사항 - 이전의보안사고 회사관계자및제 3 자근무자신규채용시모든일반정책과절차가포함된회사안내책자사본을배포한다 회사관계자및제 3 자근무자에게보안정책과절차업데이트에대해이메일로공지한다 공유드라이브나인트라넷을통해현재정책및절차의디지털사본을제공한다 8 페이지

13 MS-5.0 사고대응보안사고가탐지되어보고된경우취해야할조치를 설명한공식사고대응계획을수립한다 사고대응계획에다음사항이포함되도록고려한다. - 사고탐지 - 보안팀에게알림 - 운영진에게상달 - 영향및우선순위분석 - 영향억제 - 제거및복구 - 주요연락처정보 발생가능한사고유형을식별하고우선순위를매겨목록으로문서화하고보안사고대응계획에각사고유형에대한처리절차를포함시킨다 컴퓨터보안사고처리는 NIST SP 을참조한다 MS-5.1 MS-5.2 보안사고의탐지, 분석, 교정을책임지는보안사고대응팀을구성한다탐지된사고를각개인이보안사고대응팀에게보고할수있도록보안사고보고절차를수립한다 모든종류의보안사고를다룰수있도록다양한직무대표를포함시킨다. 다음사항을고려한다. - 관리 - 물리적보안 - 정보보안 - 네트워크팀 - 인사 - 법무 사고대응팀원들이사고처리에대한자신의역할과책임사항을이해할수있도록교육을제공한다 부적절및 / 또는수상한활동을보고하는데이용할수있는익명의상담전화나웹사이트의구현을고려한다 수상한활동에대한익명의제보가가능하도록 MPAA 제보전화의활용을고려한다. 부록 G 에있는상시제보전화연락처를참조한다 9 페이지

14 MS-5.3 소유콘텐츠가유출또는도난되거나, 기타위험 ( 예 : 고객 자산이사라짐 ) 에노출된고객에게신속히사고를알리고 운영진및고객이참석한사후회의를소집한다 위반통지양식의사용을포함한보안위반통지절차를구현한다 해당고객에게콘텐츠손실을보고할때취해야할수정조치를결정할수있도록법무팀을참여시킨다 사고에서얻은교훈을논의하고사고대응계획과절차에대한개선사항을파악한다 근본원인분석을실시하여사고발생의원인이된보안취약점을식별한다 유사한사고가다시발생하지않도록방지할수있는교정조치를식별및구현한다 교정조치계획을포함한사후분석결과를해당고객에게전달한다 MS-6.0 워크플로우 콘텐츠추적과각절차전반의결재지점을포함하는워크플로우를문서화한다. 물리및디지털콘텐츠모두에대해다음절차를포함시킨다. 배달 입수 이동 보관 발신자에게반환 시설에서제거 파기 스윔레인 (swim lane) 도표 ( 예 : Visio 도표 ) 를사용하여워크플로우를문서화한다 해당되는경우자산처리및취급정보를포함한다 결재지점에관리수단을포함시킨다 워크플로우내애플리케이션관리수단 ( 예 : 완전성, 정확성, 유효성, 제한접근 ) 식별을고려한다 10 페이지

15 MS-6.1 주요관리수단의효과를식별, 구현, 평가하여콘텐츠 워크플로우와관련된위험을예방, 탐지, 수정한다 취약한부분을파악할수있도록콘텐츠워크플로우를따르고각절차에대해관리수단을구현한다 위험관리절차에식별된위험을포함시켜콘텐츠워크플로우위험을평가및우선순위화하고이를해소한다 워크플로우절차내주요관리지점을식별한다 각자산이해당워크플로우주기를거치는동안자산과함께전달되는관리연속성양식을유지관리한다 워크플로우의정기적감사를실시할독자적팀을구성한다 워크플로우절차를매년검토하여필요시워크플로우절차내존재하는보안개선사항을파악한다 MS-7.0 업무분장콘텐츠워크플로우내의업무를분장하고분장이 실재적이지않은경우보완관리수단을구현, 문서화한다 역할및책임사항을문서화하여다음의역할기반직무가겹치지않도록한다. - 금고실및서버 / 장비실담당자 - 운송및수취담당자 - 금고실및콘텐츠 / 제작영역으로부터시설내다른장소로자산이전 ( 예 : 식음료운반담당자 ) - 디지털자산폴더접근 ( 예 : 데이터취급담당자가프로듀서가사용할접근권한을설정함 ) - 제작진중콘텐츠전송담당자 수동적관리수단 ( 예 : 콘텐츠작업전에프로듀서가승인함 ) 또는작업지시시스템의자동화된관리수단 ( 예 : 워크플로우각단계에대한자동화된승인 ) 을사용하여업무를분장한다 분장이달성가능하지않은경우다음과같은보완관리수단을구현한다. - 회사관계자및 / 또는제 3 자근무자의활동을모니터링한다 - 감사기록지를유지, 검토한다 분장을물리적으로구현한다 임원이감독하게한다 11 페이지

16 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 MS-8.0 신원조회 모든회사관계자및제 3 자근무자에대해배경적격심사를실시한다 MS-9.0 기밀유지계약 채용시및채용이후연례적으로콘텐츠취급, 보호와 관련된요구사항을포함한기밀유지계약 ( 예 : 비공개 계약 ) 에모든회사관계자와제 3 자근무자가서명하도록 한다 관련법률, 규정, 조합내규및문화적고려사항에맞춰신원조회를수행한다 업무요구사항, 사용대상콘텐츠의민감도및콘텐츠도난이나유출의잠재적위험에비례한배경적격심사를통해잠재적인회사관계자및제 3 자근무자를선별한다 필요한경우, 신원, 학력및전문자격을조회한다 법에의해신원조회가허용되지않는경우, 예외사항으로문서화하고평판조회를활용한다 고용, 계약, 또는합의종료후의기밀유지와관련된비공개지침을포함시킨다 필요에따라기밀유지 / 비공개계약의중요성을일반적인비법률용어로설명한다 MS-9.1 소유중인모든콘텐츠와고객정보는고용또는계약 종료시반환하도록모든회사관계자및제 3 자 근무자에게요구한다 회사관계자및제 3 자근무자가사업과관련된민감한콘텐츠를취급하는데사용한기기에대한모든관련정보를해당조직으로전송하고기기로부터안전하게삭제한다 12 페이지

17 Paramount: 삭제해주십시오. 징계조치는비공개계약 및 / 또는고용계약에포함되어야합니다. Deloitte: 삭제해주십시오. 징계조치는현지법규를 따르며권장정책 / 절차에포함되는것외에는시설보안 모범사례에서다루지않도록합니다. MS-10.0 제 3 자의사용및 적격심사 콘텐츠를취급하는모든제 3 자근무자가고용시 기밀유지계약 ( 예 : 비공개계약 ) 에서명하도록요구한다 고용, 계약, 또는합의기간이나기간종료후의기밀유지와관련된비공개지침을정책에포함시킨다 Paramount: 수정해주십시오. 이관리수단이자주잘못 해석됩니다. 보다중요한관리수단은 MS 13.1 입니다. 전기기사, 배관기사, 경비인등의제 3 자근무자는 콘텐츠를직접수취또는취급하는경우가아니면비공개 계약에개별적으로서명할필요가없습니다. MS-10.1 제 3 자계약에보안요구사항을포함시킨다 제 3 자계약및고객요구사항에명시된보안요구사항을제 3 자근무자가준수하도록요구한다 민감한콘텐츠가관련된활동에대한감사권조항에대한권리를포함시킨다 보안요구사항의준수에대한모니터링절차를구현한다 MS-10.2 자산회수절차를구현하고고용종료시기밀유지계약 및계약상보안요구사항을제 3 자근무자에게 상기시킨다 사업과관련된민감한콘텐츠를취급하는데사용되는제 3 자기기에대한모든관련정보를해당조직으로전송하고기기로부터안전하게삭제한다 13 페이지

18 MS-10.3 MS-10.4 MS-10.5 적절한경우제 3 자근무자가보증및보험에들도록요구한다 ( 예 : 특송서비스 ) 직무에필요한경우가아니면콘텐츠 / 제작영역에대한제 3 자접근을제한한다제 3 자업체가콘텐츠를추가로취급하게된신규업체인경우해당업체가고객에게통보하도록요구한다 제 3 자근무자가보험증서를제시하도록하고해당보험제공자및보험증권번호에대한기록을보관하도록요구한다 제 3 자보험이특정한보험적용수준을만족하도록요구한다 계약이갱신될때매년정보를업데이트하도록요구한다 제 3 자근무자가콘텐츠보관영역에대해전자식출입권한을갖지않도록한다 제 3 자근무자 ( 예 : 청소직원 ) 가제한구역 ( 예 : 금고실 ) 에접근해야하는경우동행한다 고객에게새로추가된제 3 자의콘텐츠접근을통보하는데사용할양식을작성하고고객이결재하도록요구한다 새로추가된제 3 자업체가제 3 자근무자에대해관례적인실사활동을실시하도록요구한다 14 페이지

19 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 PS-1.0 출입지점시설에접견공간이외의분리된제한구역이없는경우 모든출입지점을항상잠근다 접견공간이제한출입문에의해나머지시설과분리된경우업무시간중에출입지점을잠금해제하도록허용한다 PS-1.1 콘텐츠가취급되는구역은다른시설구역 ( 예 : 행정실 ) 과 분리하여콘텐츠구역의출입을제한한다 알필요가있는경우에만콘텐츠 / 제작구역의접근을허용한다 상영목적으로사용되는공간 ( 예 : 영사실 ) 은접근을제한하도록요구한다 매체재생기 ( 예 : Blu-ray, DVD) 가있는공간에대한접근을제한한다 PS-2.0 방문객출입 다음사항을포함하는상세한방명록을유지한다. 이름 회사 입장시간 / 퇴장시간 방문대상 방문객서명 할당된명찰번호 사진이부착된유효한신분증 ( 예 : 운전면허증, 스튜디오명찰, 정부발행신분증 ) 을제시하도록요구하여모든방문객의신원을확인한다 이전방문객의이름이보이지않게할수도있다 PS-2.1 각방문객에게신분확인증이나스티커를할당하여항상 눈에띄도록착용하게하고퇴장시명찰을수거한다 방문객명찰이회사관계자명찰과쉽게구분되도록한다 ( 예 : 색깔로구분된플라스틱명찰 ) 종이명찰이나스티커색깔을일별로교대할수도있다 만료시색깔이변하는명찰을사용할수도있다 입장 / 퇴장시명찰할당을기록한다 방문객명찰은일련번호로매겨추적해야한다 명찰의소재는매일파악한다 15 페이지

20 PS-2.2 PS-2.3 방문객에게콘텐츠 / 제작구역에대한전자식출입권한을제공하지않는다방문객이시설내또는콘텐츠 / 제작구역에있는동안최소요건으로서, 권한있는관계자가방문객을동행하도록요구한다 적절한회사관계자가방문객을동행하기위해도착하기전까지는방문객이접견데스크를넘어시설에진입하지않도록한다 콘텐츠 / 제작구역에방문객을홀로두지않는다 PS-3.0 식별 회사관계자및장기고용된제 3 자근무자 ( 예 : 경비인 ) 에게유효한사진부착신분증을제공하고항상눈에띄도록착용케한다 PS-4.0 경계보안 조직의위험평가에의해식별된, 시설이노출될수있는 위험을해소하는경계보안관리수단을구현한다 신원조회가완료된후모든회사관계자및장기고용된제 3 자근무자에게사진이부착된신분증을발급한다 고용종료시사진이부착된신분증을즉시회수하는절차를수립및구현한다 사진이부착된신분증에위치및기타특정정보를생략할수있다 가능한경우사진이부착된신분증을출입키카드로사용할수있다 분실또는도난된사진부착신분증은즉시신고하도록직원들에게요구한다 분실또는도난된사진부착신분증을신고할수있는상시운영전화번호또는웹사이트를제공한다 시설의위치및배치에기반하여다음과같은보안관리수단을구현한다. - 최소한업무외시간동안보안이유지되는벽, 울타리및 / 또는출입문사용을통해경계접근을제한한다. 벽 / 울타리는약 8 피트 (2.4m) 이상이되어야한다 - 출입지점에보안요원배치 - 필요에따라흡연구역및개방발코니등의공동외부구역의보안유지및경계설정 - 공동외부구역 ( 예 : 흡연구역 ) 과주차공간을충분히포괄하는외부카메라의촬영범위 - 표적이될수있는회사간판의과도한사용에대한주의 - 필요에따라경계주위에경보기사용 16 페이지

21 PS-5.0 긴급상황프로토콜 전원보완시스템 ( 예 : 무정전전원장치또는 UPS) 을설치하여최소 15 분동안보안설치물 ( 예 : CCTV 시스템, 경보시스템, 전자식출입시스템 ) 및중요한제작시스템을지원함으로써시설이긴급상황, 사고, 또는정전에대비할수있는충분한시간을갖도록한다 UPS 가제공되지않는경우각보안시스템 ( 예 : 경보기, CCTV, 전자식출입시스템 ) 에개별전원공급장치를설치한다 정전이계속될경우제작시스템이자동종료되도록구성한다 SMS 메시지전송장치를포함시킨다 PS-5.1 PS-5.2 Deloitte: 비상전원공급부분은삭제해주십시오. 비상전원은콘텐츠도난을직접적으로예방하거나탐지하지않습니다. 해당관리수단은확률이매우낮아발생하지않을수도있는사고는예방할수도있습니다. 적어도연례적으로전원보완시스템을점검하고유지보수를실시한다시설에전자식출입시스템이구현된경우, 정전에대비하여장애시안전책으로구성한다 저장및종료작업을위한충분한시간을확보할수있도록평균적시스템부하에대해 UPS 및 / 또는전원발전기가전원을공급할시간을설정한다 유지보수및점검기록을유지한다 정전중에개인이출입문을통해시설을빠져나가도록허용하되들어올때에는확실한인증을거쳐출입문을통과하도록한다 PS-6.0 경보모든출입지점 ( 비상구포함 ), 적재구역, 화재대피용 계단및제한구역 ( 예 : 금고실, 서버 / 장비실 ) 에작동되는 집중식가청경보시스템을설치한다 시설내무단진입에대해보안요원에게알릴수있도록모든출입구에경보기를설치한다 경보기를항상켜둔다 PS-6.1 보안담당팀에게단계확대통보를직접 제공하고 / 하거나중앙의보안그룹또는제 3 자가 감시하도록경보기를구성한다 통보시보안팀으로부터적시의대응이없는경우이행할수있는단계확대절차를수립및구현한다 침범에대해사법당국에자동통보를시행하는것을고려한다 주말및업무외시간중의통보절차를구현한다 17 페이지

22 PS-6.2 PS-6.3 경보시스템접근이필요한각개인에게고유의작동및해제코드를할당하고기타모든직원의접근을제한한다경보시스템을작동하고해제할수있는사용자의목록을매년검토한다 경보작동 / 해제를담당했던보안직원을추적할수있도록고유한경보코드를사용한다 코드공유및손실에대한위험을줄일수있도록할당된경보코드를운영진이승인한주기마다업데이트한다 회사를퇴직했거나직무역할이변경된사용자를목록에서삭제한다 삭제된사용자에게할당되었던경보코드를비활성화한다 PS 개월마다경보시스템을점검한다 물리적보안침입을모의실험하여다음사항을확보한다. - 경보시스템이침입을탐지함 - 보안담당자가통보를받음 - 보안담당자가절차에따라적시에대응함 PS-6.5 PS-6.6 제한구역 ( 예 : 금고실, 서버 / 장비실 ) 에동작감지기를설치하여효과적인위치에두고적절한보안담당자및 / 또는제 3 자에게경보가전송되도록구성한다콘텐츠 / 제작구역에출입문지지경보기를설치하여민감한출입지점이사전설정된시간 ( 예 : 60 초 ) 보다오래열려있을경우통보한다 한층추가된보안책으로서, 정상업무시간이후경보시스템의작동범위에동작감지기등을통해보관구역및금고실이포함되도록한다 출입문이지지장치에의해장시간열린상태로있을경우경보를발하고보안담당자에게통보할수있도록접근통제출입문을구성한다 PS-7.0 권한부여시설접근을관리하는절차를문서화및구현하고접근 권한의변경사항을기록해둔다 시설접근을허가할담당자를지명한다 직원지위의변경사항을관련담당자 ( 예 : 시설운영진 ) 에게통보한다 회사관계자및 / 또는제 3 자근무자의시설접근을요청할때상관이작성해야하는서면또는전자식양식을마련한다 접근요청의조사및승인에대한책임을할당한다 18 페이지

23 PS-7.1 PS-7.2 제작시스템은권한있는관계자만접근할수있게제한한다제한구역 ( 예 : 금고실, 서버 / 장비실 ) 의출입을분기별로검토하고, 회사관계자및 / 또는제 3 자근무자의역할이나고용상태가변경된경우에도검토한다 회사관계자및제 3 자근무자의고용상태를확인한다. 고용종료된사용자의접근권한을삭제한다 접근이사용자에게할당된직무에적합한지확인한다 PS-8.0 전자식출입시설전체에전자식출입시스템을구현하여모든출입 지점및콘텐츠가보관, 운송, 처리되는모든구역이 범위에포함되도록한다 직무와책임사항을바탕으로특정시설구역에대한전자식출입을할당한다 회사관계자및제 3 자근무자의역할이바뀌거나고용이종료될때전자식출입을적절하게업데이트한다 키카드번호및해당번호를할당받은회사관계자에대한기록지를관리한다 공동구역 ( 예 : 공용승강기 ) 에대한전자식출입이필요하지않은시간대를검토한다 PS-8.1 PS-8.2 PS-8.3 전자식출입시스템의관리를적절한관계자로만제한한다빈카드스톡은잠금장치가달린캐비닛에보관하고키카드는관계자에게할당하기전에비활성상태인지확인한다분실된키카드는새키카드를발급하기전에시스템에서비활성화한다 전자식시스템관리를지정된담당자로만제한하고제작콘텐츠에접근하는자가전자식출입에대한관리작업을수행할수없도록한다 독자적팀을배정하여전자식출입을시행, 관리하게한다 잠금장치가달린캐비닛에는키카드시스템관리팀만접근하게한다 자료를처분할때에는서명을요구한다 회사관계자및제 3 자근무자가분실된키카드를즉시신고하도록교육하여시설내무단출입을방지한다 교체키카드를발급하기전에신분증을요구한다 19 페이지

24 PS-8.4 승인된기간을바탕으로만료일 ( 예 : 90 일 ) 이설정된 제 3 자출입카드를발급한다 제 3 자출입카드가회사관계자출입카드와쉽게구분이가능하도록한다 ( 예 : 색깔로구분 ) 만료일을출입카드상에쉽게눈에띄도록표시한다 제 3 자키카드출입은알필요가있는경우에할당한다 PS-9.0 열쇠마스터열쇠는오직권한있는관계자 ( 예 : 소유자, 시설 관리팀 ) 에게로배포를제한한다 마스터열쇠를빌릴수있도록허용된회사관계자목록을작성, 유지한다 해당목록을정기적으로업데이트하여마스터열쇠사용이더이상필요하지않은회사관계자를목록에서삭제한다 PS-9.1 PS-9.2 PS-9.3 마스터열쇠의배포를추적및감시할수있는대여 / 반환절차를실시한다외부출입지점에대해특정자물쇠제조업체만복제할수있는열쇠를사용한다시설출입지점을포함한제한구역에대한마스터열쇠및열쇠의재고를분기마다조사한다 기록을유지하여다음정보를추적한다. - 각마스터열쇠를소유하고있는회사관계자 - 대여 / 반환시간 - 대여사유 정해진기간내에마스터열쇠를반환하도록요구하고제시간에반환되지않은키의소재를파악한다 열쇠에 복제불가 를새겨넣는다 다음중두가지이상의조작을방지할수있는높은보안수준의열쇠 ( 실린더자물쇠 ) 를사용한다. - 강제로따기 - 주형뜨기 - 열쇠복제 - 구멍뚫기 - 기타형태의강제진입 소재가불분명한열쇠를파악, 조사하여대처한다 기록지를검토하여소재를알수없는열쇠를누가마지막으로대여했는지파악한다 제한구역에대한마스터열쇠나열쇠가분실된후소재파악이불가능한경우자물쇠를바꾼다 PS-10.0 카메라모든시설출입지점과제한구역을녹화하는 CCTV 를 설치한다 20 페이지

25 PS-10.1 카메라위치설정, 화질, 조명상태, 프레임률및감시 필름의적절한보존에대해최소한주마다검토한다 카메라위치설정을검토하여모든출입지점과기타민감한구역에대한시야를가로막는물체가없도록한다 어두운구역의카메라를조정한다 ( 예 : 저조명또는적외선카메라, 동작감지조명 ) 화질을검토하여조명이적절하며얼굴구별이가능하도록보장한다 프레임률을검토하여녹화필름에활동이적절히촬영되도록한다 감시필름이최소 90 일동안보존되고있는지필름을검토한다 재생중인콘텐츠가촬영되지않도록카메라위치를설정한다 PS-10.2 CCTV 콘솔및 CCTV 장비 ( 예 : DVR) 에대한물리적, 논리적접근은시스템운영 / 감시를책임지는관계자로만 제한한다 CCTV 장비를안전한출입통제구역 ( 예 : 컴퓨터실, 잠금장치가달린보관함, 케이지 ) 에둔다 정기적으로출입을검토하여적절한관계자만감시장비에접근하도록한다 IP 기반 CCTV 시스템의웹콘솔은권한있는관계자만접근하도록하고강력한계정관리수단을이행한다 ( 예 : 복잡한비밀번호, 개별사용자로그인, 로깅및모니터링 ) PS-10.3 녹화필름에정확한날짜와시간이기록되도록한다 테이프또는디스크에녹화되는카메라필름용물리매체에시간과날짜를새긴다 디지털카메라녹화장비에정확한타임스탬프가유지되도록한다 21 페이지

26 PS-11.0 로깅및모니터링제한구역에대한전자식접근을기록, 검토하여수상한 사건이있었는지확인한다 의심이드는사건을식별하여문서화한다 수상한전자식출입활동이탐지된경우적절한보안담당자에게실시간으로통보하는자동보고절차의구현을고려한다 다음사건을기록, 검토한다. - 반복된출입시도실패 - 비정상적시간의출입 - 여러구역출입문의연속적통과 PS-11.1 수상한전자식출입활동이탐지된경우이를조사한다 비정상적인전자식출입활동이탐지된순간통보를받아야할주요연락담당자를식별하여알린다 일차연락담당자가사건통보에대해적시에응답하지않을경우따라야할단계상달절차를수립, 이행한다 PS-11.2 PS-11.3 확인된모든전자식출입사고를항상기록하고후속조치가취해진경우이에대한기록을포함시킨다 CCTV 감시필름과전자식출입기록을최소 90 일, 또는법이허용하는최대기간동안안전한장소에보존한다 사고대응보고양식을활용하여확인된키카드사고를문서화한다 최근의모든키카드사고를정기적으로검토하고근본원인을분석하여취약점및적절한수정조치를파악한다 출입통제된전화통신보관함이나컴퓨터실에로그를보관할수도있다 일일로깅에필요한일반적공간을정하여로그크기가최소 90 일, 또는법이허용하는최대보존기간동안의기록을담을만큼충분하도록확보한다 PS-12.0 수색회사관계자및제 3 자근무자에게채용즉시가방과 소포는임의수색을받을수있음을알리고시설정책에 수색을다룬조항을포함시킨다 모든회사관계자및제 3 자근무자에게수색관련정책을알린다 회사관계자및제 3 자근무자에대한수색을정기적으로실시하여정책을실증한다 22 페이지

27 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 PS-13.0 재고추적콘텐츠자산관리시스템을구현하여물리적자산 ( 예 : 고객소유및신규생성 ) 을상세히추적한다 공개양식이나작업지시서를요구하여특정개인이콘텐츠를대여할수있음을확인한다 인증을위해신분증을제시하도록개인에게요구한다 모든자산에태그 ( 예 : 바코드, 고유 ID) 를의무화한다 대여 / 반납된모든자산을기록한다 각자산의예상대여기간을기록한다 대여자산을반환하지않은개인을추적하여후속조치를취한다 각자산의소재를기록한다 각집행의시간과날짜를기록한다 PS-13.1 고객자산및생성된매체 ( 예 : 테이프, 하드드라이브 ) 는 수취시바코드를부착하고자산은미사용시금고실에 보관한다 이중바코드를적용하여자산을추적한다 ( 즉, 자산및해당컨테이너 / 상자둘다에바코드부착 ) 자산에바코드부착후금고실로바로보내고더이상필요하지않은자산은금고실로즉시반환한다 PS-13.2 자산이동에관한집행로그는최소 90 일간보존한다 모든자산이동에대한물리적또는디지털로그를작성, 보관한다. 로그에는다음이포함되어야한다. - 대여 / 반납된자산의바코드또는고유 ID - 대여 / 반납시간과날짜 - 자산을대여한개인의이름과고유 ID - 대여사유 - 자산의소재 23 페이지

28 PS-13.3 PS-13.4 콘텐츠자산관리시스템의로그를검토하고이례사항을조사한다가능한경우자산추적시스템및물리자산에스튜디오별칭 ( 별칭 ) 을사용한다 예상반환일까지반환되지않은자산을파악한다 소재를알수없는자산을마지막으로대여한사람에대해후속조사한다 자산관리정책을준수하지않는자에대해징계절차를이행한다 장기간대여되는자산에대해자동통보를구현할것을고려한다 스튜디오별칭에대한정보는고객자산처리와관계된자로만제한한다 적절한경우물리자산에표시된스튜디오이름을삭제할수도있다 PS-14.0 재고합계각고객의개봉전프로젝트에대한재고개수를 분기마다조사하고, 자산관리기록과대조하여조정한 다음불일치사항을고객에게즉시알린다 PS-14.1 금고실관리팀과재고개수조사를책임지는담당팀의업무를분장한다 비금고실담당직원을배정하여개수조사의결과를임의확인케한다 PS-14.2 금고실로부터대여되었으나아직반환되지않은매우민감한자산을식별하기위해일별미반환경과보고서의작성을이행, 검토한다 일별미반환경과보고서를직접작성하거나자산관리시스템을통해수행한다 모든예외사항을조사한다 PS-15.0 공백매체 / 생필름 추적 공백매체 / 생필름은수취시단위별로태그 ( 예 : 바코드, 고유 ID 할당 ) 를부착한다 공백또는생매체는제작에필요한경우가아니면보안이유지되는제작구역으로들여놓지않는다 PS-15.1 공백매체 / 생필름을안전한장소에보관한다 출입통제수단 ( 예 : 잠금장치가달린캐비닛, 금고 ) 을요구하여무단접근을방지한다 공백매체 / 생필름은출력물생성을책임지는담당자만다루도록제한한다 공백매체 / 생필름대여를요청하는적절한작업주문요청을제시하도록개인에게요구한다 24 페이지

29 PS-16.0 고객자산완성된고객자산은자산추적및관리를책임지는 담당자만접근하도록제한한다 금고실관리팀만접근하도록제한한다. 금고실관리팀은개인이유효한작업주문요청을제시한경우고객자산을대여하도록허가할수있다 업무를분장하여금고실관리팀원이제작데이터의처리를취급하지않도록한다 PS-16.1 고객자산은안전한제한구역 ( 예 : 금고실, 금고 ) 에 보관한다 매우민감한제작물은금고실내안전한또는보안이철저한케이지를추가로설치하여보호한다 PS-17.0 처분 거부되고, 파손되었으며, 더이상쓸모없는재고는처분하기전에삭제, 소자, 파쇄, 또는물리적으로파기 ( 예 : DVD 파쇄, 하드드라이브파기 ) 하도록요구하고자산관리기록을업데이트하여파기를반영한다 재고조사및조정을위한절차를이행한다음, 거부되고, 파손되었으며, 더이상쓸모없는재고를안전하게재활용하거나파기한다 미국방부의디지털파쇄및영구삭제표준인 M 의참조를고려한다 PS-17.1 재활용 / 파기용요소는안전한장소 / 컨테이너에보관하여 처분전자산의복제및재사용을방지한다 거부되고, 파손되었으며, 더이상쓸모없는재고를재활용 / 파기하기전까지보관하는기간 ( 예 : 30 일 ) 을제한하는정책을수립, 이행한다 매우민감한자산은재활용 / 파기전에안전한구역 ( 예 : 금고실, 금고 ) 에보관한다 처분함은잠가둔다 PS-17.2 자산처분로그는최소한 12 개월간유지한다 자산처분로깅은자산관리절차와통합한다 처분로그에처분된자산의최종처분기록을포함시킨다 PS-17.3 콘텐츠파기를취급하는제 3 자업체가완료된각작업에 대해파기인증서를제공하도록요구한다 파기인증서에다음정보의포함을의무화하는것을고려한다. - 파기날짜 - 파기 / 처분된자산에대한설명 - 파기방법 - 자산파기담당자이름 25 페이지

30 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 PS-18.0 운송시설이배송대상자산의반출을허가하는유효한 작업 / 운송지시서를발행하도록요구한다 작업 / 운송지시서에다음정보를포함시킨다. - 작업 / 운송지시번호 - 콘텐츠를집배할담당자이름과소속업체 - 집배시간과날짜 - 시설연락처 PS-18.1 PS-18.2 자산운송세부사항을추적, 기록하고최소한다음사항을포함시킨다. 배송시간 발송인이름및서명 수취인이름 도착지주소 배송업체가발행한추적번호 해당작업지시서에대한참조시설로부터반출되는자산을유효한작업 / 운송지시서와대조하여확인한다 수취인서명을요구한다 운송기록은최소한 90 일간유지한다 배송물을집배하는담당자를해당작업지시서와대조하여인증할수있도록특송및배달담당자로부터유효한신분증을요구한다 발송합계가운송서류상정보와일치하는지확인한다 PS-18.3 집배대기중인자산을보호한다 경비인이없을때에는운송및수취구역의모든출입문과 창문을잠근다 자산을책상위에방치해두지않는다 PS-18.4 특송및배달담당자가시설내콘텐츠 / 제작구역에 들어가도록허용하지않는다 콘텐츠 / 제작구역의출입이필요한경우, 배달담당자와동행한다 26 페이지

31 PS-19.0 수취수취즉시배달된콘텐츠를검사하여운송서류 ( 예 : 물품 명세서, 적하목록 ) 와비교한다 불일치사항 ( 예 : 누락된물품, 파손된매체 ) 을파악, 기록한다 운영진, 고객및 / 또는발송인에게불일치사항을즉시보고한다 PS-19.1 배달물수취즉시지정된담당자가작성하는수취 기록지를유지관리한다 다음정보를기록한다. - 특송 / 배달업체의이름과서명 - 수취인이름과서명 - 수취시간과날짜 - 수취한자산의세부사항 PS-19.2 다음작업을즉시수행한다. 수취한자산에태그 ( 예 : 바코드, 고유 ID 할당 ) 부착 자산관리시스템에자산입력 제한구역 ( 예 : 금고실, 금고 ) 으로자산이전 즉시태그를부착하여금고실로이전할수없는수취자산은안전한중간대기구역 ( 예 : 보안이철저한케이지 ) 에보관한다 PS-19.3 야간배달물수취에대한안전한방식 ( 예 : 안전한 투입함 ) 을구현한다 수취예상물품에대한일정은알필요가있는관계자만볼수있도록한다 PS-20.0 라벨부착고객이달리지시한경우를제외하고소포바깥에 별칭 ( 별칭 ) 을포함한제작물정보의표기를금한다 PS-21.0 포장 모든자산은폐쇄 / 봉인된컨테이너로배송하고자산가치에따라잠금장치가달린컨테이너를사용한다 PS-21.1 다음관리수단중하나이상을이행한다. 개봉흔적이남는봉인테이프 개봉흔적이남는포장 개봉흔적이남는홀로그램형태의밀봉재 안전한컨테이너 ( 예 : 부호자물쇠가달린펠리컨 케이스 ) 열린가방이나미포장된테이프 /DVD 자체만사용하지않는다 손수휴대및업체취급배송물모두에규제를적용한다 해당되는경우공통운송협력업체와함께무단개봉방지절차를수립, 전달한다 27 페이지

32 PS-22.0 운송차량차량과트럭은항상잠그고, 눈에띄는차량 / 트럭공간에 소포를두지않는다 28 페이지

33 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 DS-1.0 WAN 내부네트워크로의무단접근을방지하는 접근제한목록이포함된상태기반감시방화벽을 사용하여 WAN 을구분한다 DMZ 에상주하는명시적호스트를제외한내부네트워크로의모든트래픽을거부하는접근제한목록이포함된 WAN 방화벽을구성한다 내부콘텐츠 / 제작네트워크에대한직접적인네트워크접근을금지하도록 WAN 네트워크를구성한다 DS-1.1 DS-1.2 DS-1.3 DS-1.4 방화벽접근제한목록 (ACL) 을검토하는절차를수립하여 6 개월마다구성설정의적절성과업무상필요성을확인한다기본설정으로 WAN 에대한모든프로토콜을거부하고허용된특정보안프로토콜만활성화한다외부에서접근가능한서버 ( 예 : 웹서버 ) 는 DMZ 내에둔다네트워크인프라장치 ( 예 : 방화벽, 라우터, 스위치등 ) 에패치를정기적으로적용하기위한절차를구현한다 방화벽및 / 또는라우터의 ACL 을내보내기한다 ACL 을검토하여네트워크접근이적절한지확인한다 운영진이검토를결재하도록의무화한다 ACL 을적절하게업데이트한다 텔넷및 FTP 등의암호화되지않은모든통신프로토콜을제한한다 비암호화프로토콜은시큐어셸 (Secure Shell: SSH) 등의암호화프로토콜로대체한다 DMZ 내서버를강화한다 DMZ 내서버를분리하여서버 ( 예 : 웹서버등 ) 당한종류의서비스만제공하게한다 ACL 을구현하여 DMZ 의내부망접근을제한한다 네트워크인프라장치에대한패치를식별, 평가, 시험하기위한절차를구현한다 심각한보안취약점을다루는해당패치수준으로네트워크인프라장치를업데이트한다 29 페이지

34 DS-1.5 DS-1.6 DS-1.7 DS-1.8 보안구성표준을바탕으로네트워크인프라장치를강화한다콘텐츠접근을통제하는 WAN 네트워크인프라장치에원격접근을허용하지않는다네트워크인프라장치의백업은내부네트워크상의중앙보안서버에저장한다외부에서접근가능한호스트에대해매년스캔하여취약점을식별하고문제를시정한다 네트워크인프라장치를강화하는방법은다음보안강화표준을참조한다. - NIST - SANS - NSA - CIS 구성파일백업을내부네트워크상의보안공간에저장하도록네트워크인프라장치를구성한다 권한있는관리자만보안공간에접근하도록한다 백업에비연결형파일전송프로토콜 (TFTP, Trivial File Transfer Protocol) 을사용하는경우, 무차별공격및구성파일에대한무단접근을억제하는제한을설정한다 외부네트워크 ( 예 : DMZ) 에상주하는호스트를정기적으로스캔하여취약점을식별하는절차를구현한다 DS-1.9 DS-1.10 권한있는담당자만서비스공급자 ( 예 : 인터넷서비스 공급자, 전화통신공급자 ) 와의디지털연결설정을 요청할수있게한다 30 페이지

35 DS-2.0 인터넷디지털콘텐츠를처리하거나저장하는 시스템 ( 데스크톱 / 서버 ) 의인터넷접근을금한다 모든발신트래픽을기본적으로거부하고, 지정된내부네트워크 ( 예 : 바이러스백신정의서버, 패치서버등 ) 에대한발신전송이필요한특정시스템과포트만명시적으로허용하는방화벽규칙을구현한다 인터넷게이트웨이시스템 ( 예 : Citrix, Terminal Services, VNC 등 ) 을사용하는예외사항은다음관리방안으로처리한다. - 웹검색이서버의유일한기능이되도록시스템을엄격히통제한다 - 웹기반이메일사이트, P2P, 디지털사물함및알려진기타악성사이트를비롯한규제사이트의접근을금한다 - 시스템과의콘텐츠송수신을제한한다 - 시스템에패치를정기적으로적용하고최신바이러스백신으로업데이트한다 - 시스템활동을정기적으로검토한다 DS-2.1 이메일필터링소프트웨어를구현하거나비제작네트워크에서발신되는다음트래픽을차단하는어플라이언스를구현한다. 피싱가능성이있는이메일 금지된첨부파일 ( 예 : Visual Basic 스크립트, 실행파일등 ) 최대 10MB 의파일크기제한 이메일첨부파일및이메일본문으로사용할수없는콘텐츠종류를식별한다 이메일필터링솔루션을구현하고제한된콘텐츠종류를바탕으로구성을설정한다 DS-2.2 웹필터링소프트웨어를구현하거나 P2P 파일거래, 바이러스, 해킹또는기타악성사이트로알려진 웹사이트로의접근을제한하는어플라이언스를구현한다 웹필터링 / 프록시서버소프트웨어를구현하여악성웹사이트에대한접근을탐지및방지한다 31 페이지

36 DS-3.0 LAN 콘텐츠 / 제작네트워크와비제작네트워크 ( 예 : 사내망, DMZ 등 ) 를물리또는논리적망구분에의해분리한다 접근이필요한특정호스트 ( 예 : 바이러스백신서버, 패치관리서버, 콘텐츠전달서버등 ) 에대해콘텐츠 / 제작네트워크접근을명시적으로허용하는접근제한목록 (ACL) 을정의한다 접근을허용해야할포트와서비스를명시적으로정의하여접근제한목록에포함시킨다 정의된보안구역을바탕으로네트워크를구분또는분리한다 모든발신트래픽을기본적으로거부하고, 지정된내부네트워크 ( 예 : 바이러스백신정의서버, 패치서버등 ) 에대한발신전송이필요한특정시스템과포트만명시적으로허용하는방화벽규칙을구현한다 제작환경상의인터넷접근에대한지침은 DS-3.0 을참조한다 스위치의 MAC 주소로정적 IP 주소를할당한다 콘텐츠 / 제작네트워크의 DHCP 를비활성화한다 DS-3.1 DS-3.2 DS-3.3 DS-3.4 콘텐츠 / 제작시스템은권한있는관계자만접근할수있게제한한다직무를수행하기위해접근이필요한허가받은관계자만콘텐츠 / 제작네트워크를원격접근할수있게제한한다콘텐츠 / 제작네트워크에서미사용되는모든스위치포트를비활성화하여비인증장치에의한패킷스니핑을방지한다콘텐츠 / 제작네트워크에서허브및중계기등의비교환장치사용을제한한다 콘텐츠 / 제작네트워크의원격접근이허용된회사관계자목록을유지, 관리한다 콘텐츠 / 제작네트워크에상주하는시스템의활동을검토하는절차를수립한다 원격접근시스템이개별계정을사용하도록구성한다 원격접근은접근제한목록을통한단일방법으로제한한다 장치콘솔에접속하여미사용스위치포트를비활성화하도록구성파일을업데이트한다 모든허브 / 중계기를스위치또는계층 3 장치로교체한다 32 페이지

37 DS-3.5 DS-3.6 콘텐츠 / 제작네트워크내에있는컴퓨터시스템의이중홈방식네트워킹 ( 네트워크브리지 ) 을금한다콘텐츠 / 제작네트워크에네트워크기반침입탐지또는방지시스템을구현한다 한컴퓨터시스템에다중 NIC 를사용하는대신네트워크계층 ( 예 : 라우터, 방화벽, 스위치등 ) 에네트워크브리지를구현한다 수상한네트워크활동에대해통보하거나이를방지하도록네트워크기반침입탐지또는방지시스템을구성한다 공격시그니처정의 / 정책을정기적으로업데이트한다 모든워크스테이션에호스트기반의침입탐지시스템소프트웨어를구현한다 DS-4.0 무선콘텐츠 / 제작네트워크에서무선네트워크연결및무선 장치사용을금한다 무선게스트네트워크가인터넷만접근하도록하고콘텐츠 / 제작네트워크로의접근은제한한다 33 페이지

38 DS-4.1 비제작무선네트워크 ( 예 : 관리자및게스트 ) 를다음과같은보안관리수단으로구성한다. WEP 비활성화 AES 암호화사용 게스트 네트워크를사내타네트워크와분리 다음과같은보안관리수단을고려한다. SSID 브로드캐스팅비활성화 옵션이제공되는경우 IEEE 802.1X 또는 IEEE i 사용 옵션이제공되는경우인증에 RADIUS 사용 Paramount: 삭제해주십시오. 제작네트워크와실제로 분리된무선네트워크는상관이없습니다. 이경우 관리수단은필요하지않습니다. 사전공유된키를사용해야하는경우다음관리수단을 구현한다. WPA2 를 CCMP(AES) 암호화로구성한다 복잡한비밀문구를설정한다 ( 비밀문구복잡성에대한 권장사항은 DS-8.1 을참조 ) 비밀문구를정기적으로변경하고주요회사관계자의 고용이종료될때에도변경한다 MAC 주소필터링을사용한다 무선접근점 / 컨트롤러가요구된범위내에서만 브로드캐스트하도록구성한다 무선네트워크연결을위해다음을포함하는 802.1X 프레임워크를구현한다. - 인증, 권한부여및과금징수를위한 RADIUS(Remote Authentication Dial In User Service) - 사용자계정관리를위한 Active Directory 등의 LDAP(Lightweight Directory Access Protocol) 서버 - 클라이언트및서버인증서생성과관리를위한공용키인프라 34 페이지

39 DS-4.2 비인증무선접근점을스캔하는절차를구현하고확인된문제를수정한다 Paramount: 삭제해주십시오. 제작네트워크와실제로분리된무선네트워크는상관이없습니다. 이경우관리수단은필요하지않습니다. 시설을순찰하여비보호된무선접근점을스캔하는절차를구현한다 가능한경우, 집중화된무선접속솔루션 ( 즉, 무선컨트롤러 ) 이비인증무선접근점을탐지한즉시관리자에게통보하도록구성한다 DS-5.0 입출력장치보안 콘텐츠입출력 (I/O) 에사용할특정시스템을지정한다 특정발신 / 수신 IP 주소에대해콘텐츠 / 제작네트워크와 입출력용시스템간의트래픽을허용하도록 ACL 을 구현한다 DS-5.1 DS-5.2 콘텐츠를처리하거나저장하는모든시스템상의입출력 (I/O) 장치 ( 예 : USB, FireWire, e-sata, SCSI 등 ) 를차단하고, 콘텐츠입출력에사용되는시스템은예외로한다매체버너 ( 예 : DVD, Blu-ray, CD 버너 ) 및기타출력기능이있는장치의설치및 / 또는사용은콘텐츠를물리매체로출력하는데사용하는특정입출력시스템으로제한한다 입출력장치차단에다음을고려한다. - MS Windows 기반시스템의경우입출력장치로의쓰기접근을제한하도록레지스트리설정을변경한다 - Mac 기반시스템의경우대기억파일을삭제하여제작스테이션의쓰기접근을제한한다 - Microsoft Active Directory 또는 Apple Open Directory 를사용하는시스템의경우그룹정책을통해입출력장치를비활성화한다 - 출력장치차단이실행불가능한경우입출력포트감시소프트웨어를사용하여포트사용을탐지한다 그룹정책을사용하여쓰기권한을제한할수도있다 DS-6.0 시스템보안모든워크스테이션과서버에바이러스백신 소프트웨어를설치한다 집중식관리콘솔이포함된기업용바이러스백신솔루션을설치한다 35 페이지

40 DS-6.1 바이러스백신정의를매일업데이트한다 집중화된바이러스백신관리콘솔이매일 1 회이상정의 업데이트를다운로드및푸시하도록구성한다 DS-6.2 DS-6.3 파일기반콘텐츠를콘텐츠 / 제작네트워크로입력하기전에스캔하여바이러스유무를확인한다바이러스스캔을다음과같이수행한다. 모든워크스테이션에대해시스템전체를대상으로한정기적인바이러스스캔활성화 적용가능한경우 ( 예 : 비 SAN 시스템 ) 서버에대해시스템전체를대상으로한바이러스스캔활성화 콘텐츠 / 제작네트워크로연결되지않은시스템을스캔한다 바이러스백신소프트웨어가바이러스백신전략을바탕으로시스템전체스캔을실시하도록구성한다 바이러스백신소프트웨어가유휴시간중에실행되도록구성한다 DS-6.4 보안취약점을수정하는패치 / 업데이트로시스템 ( 예 : 파일전송시스템, 운영체제, 데이터베이스, 응용프로그램, 네트워크장치 ) 을정기적으로업데이트하는절차를구현한다 가능한경우모든시스템에패치를자동배포할수있는집중화된패치관리도구 ( 예 : WSUS, Shavlik, Altiris) 를구현한다 공급업체및기타제 3 자업체로부터패치를구한다 배포전에패치를시험한다 시스템패치미적용에대해정당한업무사례가있는경우이에대한예외절차및보완관리수단을구현한다 DS-6.5 사용자자신이워크스테이션관리자가되는것을금한다 워크스테이션에로그인하는데사용되는사용자계정이 시스템관리자권한을가지지않도록한다 DS-6.6 콘텐츠를처리하는휴대용컴퓨터장치 ( 예 : 랩톱, 태블릿, 타워 ) 가홀로방치될경우케이블잠금장치를사용한다 케이블잠금장치를고정물체 ( 예 : 탁자 ) 에고정한다 DS-6.7 하드드라이브및기타저장장치의원격영구삭제가 가능하도록, 콘텐츠를처리하는모든휴대장치 ( 예 : 랩톱, 태블릿, 스마트폰 ) 에원격제거소프트웨어를설치한다 가능한경우모든휴대컴퓨터저장장치를암호화한다 DS-6.8 소프트웨어설치권한은승인된사용자에게만부여한다 비인증소프트웨어 ( 예 : 불법또는악성소프트웨어 ) 를 포함한미승인소프트웨어의설치와사용을금한다 36 페이지

41 DS-6.9 내부적으로설치되는시스템 ( 예 : 랩톱, 워크스테이션, 서버 ) 의구성을위한보안기준및표준을구현한다 모든시스템의이미지를만드는데사용되는보안표준빌드를개발한다 DS-6.10 불필요한서비스와응용프로그램은콘텐츠전송 서버에서설치제거되어야한다 모든콘텐츠전송서버의설치서비스목록 ( 예 : services.msc) 을검토하고필요하지않은서비스는설치제거하거나비활성화한다 모든콘텐츠전송서버의설치된응용프로그램목록을검토하고필요하지않은서비스는설치제거한다 시작응용프로그램목록을검토하여불필요한모든응용프로그램이실행되지않도록한다 DS-7.0 계정관리 콘텐츠를처리하는모든정보시스템및응용프로그램에대해관리자, 사용자및서비스계정에대한계정관리절차를수립및이행한다 DS-7.1 계정관리활동을추적할수있는증거 ( 예 : 승인이메일, 변경요청양식 ) 를유지, 관리한다 다음을다루는계정관리정책및절차를문서화한다. - 신규사용자요청 - 사용자접근수정 - 사용자계정의비활성화및활성화 - 사용자종료 - 계정만료 - 휴가 - - 서비스계정의사용은필요한응용프로그램에만허용한다 가능한경우모든계정관리활동에대한운영진승인및관련조치의증거를유지한다 DS-7.2 최소권한원칙을사용하여알필요가있는경우에만 고유한자격증명서를할당한다 다음정보시스템에대해알필요가있는경우에만최소한으로자격증명서를할당한다. - 제작시스템 - 콘텐츠관리도구 - 콘텐츠전송도구 - 네트워크인프라장치 - 로깅및모니터링시스템 - 클라이언트웹포털 - 계정관리시스템 ( 예 : Active Directory, NIS+) 37 페이지

42 DS-7.3 DS-7.4 기본관리자계정의이름을변경하고해당자격이필요한특정상황 ( 예 : 운영체제업데이트, 패치설치, 소프트웨어업데이트 ) 에만이계정을사용하도록제한한다업무를분장하여정보시스템접근의할당을책임지는담당자가해당시스템의사용자가되지않도록한다 ( 즉, 담당자가자신에게접근권한을할당할수없음 ) 모든하드웨어및소프트웨어의사용설명서를참조하여모든기본계정을식별한다 모든기본계정의비밀번호를변경한다 가능한경우, 각계정의사용자이름을변경한다 미사용중인관리자계정은비활성화한다 가능한경우독자적팀을편성하여정보시스템접근을부여하도록한다 분장이달성가능하지않은경우다음과같은보완관리수단을구현한다. - 회사관계자및제 3 자근무자의활동을모니터링한다 - 감사기록지를유지, 검토한다 - 분장을물리적으로구현한다 - 임원이감독하게한다 DS-7.5 관리자및서비스계정활동을모니터링하고감사한다 로깅을지원하는시스템및응용프로그램에대한모니터링관리수단을활성화한다. 시스템및응용프로그램이관리자작업및기록을로깅하도록구성하고최소한다음정보를포함시킨다. - 사용자이름 - 타임스탬프 - 작업 - 추가정보 ( 작업매개변수 ) 서비스계정을모니터링하여의도된목적 ( 예 : 데이터베이스쿼리, 응용프로그램간통신 ) 으로만사용되도록한다 관리자및서비스계정활동을매월검토하는절차를구현하여비정상또는수상한동작을식별하고오용가능성을조사한다 DS-7.6 분기마다콘텐츠를처리하는모든정보시스템에대한 사용자접근을검토하여더이상접근이불필요한사용자 계정을삭제하는절차를구현한다 회사관계자및 / 또는제 3 자근무자의직무역할이변경되거나고용이종료되어더이상접근권한이필요없는사용자의정보시스템접근권한을삭제한다 90 일이상사용되지않은계정을삭제하거나비활성화한다 38 페이지

43 DS-7.7 프로젝트단위별로사용자의콘텐츠접근을검토한다 프로젝트가완료되어더이상접근이필요없는사용자의 정보시스템접근권한을삭제한다 DS-7.8 기술적으로실행이가능한경우콘텐츠를처리하는 시스템의로컬계정을비활성화하거나삭제한다 정보시스템에대한사용자접근을인증할수있는집중화된계정관리서버 ( 즉, LDAP 또는 Active Directory 등의디렉터리서버 ) 를구현한다 네트워크인프라장치의경우, 계정관리를위해 AAA( 인증, 권한부여, 과금징수 ) 를구현한다 DS-8.0 인증정보시스템에접근하는데고유한사용자이름과 비밀번호를사용하도록의무화한다 모든정보시스템에대해고유한사용자이름과비밀번호를사용하도록의무화하는정책을수립한다 최소한고유한사용자이름과비밀번호를통한인증을요구하도록정보시스템을구성한다 DS-8.1 정보시스템접근에대해강력한비밀번호정책을 의무화한다 다음과같이구성된비밀번호정책을마련한다. - 최소한 8 자로구성된비밀번호 - 다음매개변수중최소한 3 개포함 : 대문자, 소문자, 숫자및특수문자 - 최대 90 일의비밀번호유지기간 - 최소 1 일의비밀번호유지기간 - 최대 3-5 회의로그온시도실패허용 - 이전비밀번호 10 개에대한비밀번호이력 DS-8.2 네트워크원격접근 ( 예 : VPN) 에대해 2 요소인증 ( 예 : 사용자이름 / 비밀번호및하드토큰 ) 을구현한다 원격접근시다음중 2 개를제공하도록요구한다. - 개인이알고있는정보 ( 예 : 비밀번호, PIN 번호 ) - 개인이가지고있는고유한실제물건 ( 예 : 토큰, 키카드 ) - 개인에게특정적인고유한신체특징 ( 예 : 지문, 망막 ) DS-8.3 서버및워크스테이션에대해비밀번호로보호되는 화면보호기또는화면잠금소프트웨어를구현한다 최대 10 분동안활동이없으면비밀번호로보호되는화면보호기를활성화하도록서버및워크스테이션을수동구성하거나정책 (Active Directory 그룹정책등 ) 을통해구성한다 39 페이지

44 DS-9.0 로깅및모니터링 실시간로깅및보고시스템을구현하여보안사건을기록및보고한다. 최소한다음정보를수집한다. 시간 ( 타임스탬프 ) 위치 ( 출처 ) 당사자 ( 사용자이름 ) 대상 ( 콘텐츠 ) 최소한다음인프라시스템과장치에대해로깅을활성화한다. - 인프라구성요소 ( 예 : 방화벽, 인증서버, 네트워크운영체제, 원격접근체제 ) - 제작운영체제 - 콘텐츠관리구성요소 ( 예 : 저장장치, 콘텐츠서버, 콘텐츠저장도구, 콘텐츠전송도구 ) - 인터넷접속이가능한시스템 - 중앙저장소 ( 예 : 시스템로그 / 로그관리서버, SIEM( 보안정보및이벤트관리 ) 도구 ) 에서로그를관리하는서버를구현하는것을고려한다 DS-9.1 사고에대한적극적대응을촉진할수있도록보안 사건이탐지된경우이를자동통보하도록로깅시스템을 구성한다 조사가필요한사건을정의하고해당관계자에게자동통보하는체제를구현한다. 다음을고려한다. - 콘텐츠 / 제작네트워크접속의성공적시도및실패 - 콘텐츠의비정상적파일크기및 / 또는전송시간대 - 파일무단접근을위한반복시도 중앙저장소 ( 예 : 시스템로그 / 로그관리서버, SIEM( 보안정보및이벤트관리 ) 도구 ) 에서로그를집계하는서버를구현한다 사고에대한적극적대응을촉진할수있도록보안사건이탐지된경우이를자동통보하도록로깅시스템을구성한다 DS-9.2 로깅및보고시스템이보고한비정상적활동을조사한다 탐지된보안사건을처리하는사고대응절차를 포함시킨다 DS-9.3 로그를매주검토한다 심각한보안사고를의미할수있는비정상적활동을조사한다 현재통보되지않고있는또다른비정상적사건을식별하여이러한사건에대해통보하도록로깅및보고시스템을구성한다 서로다른시스템로그의상관관계를파악하여비정상적활동의양상을식별한다 40 페이지

45 DS-9.4 콘텐츠의내외부이동및전송에대한로깅을활성화하고최소한다음정보를포함시킨다. 사용자이름 타임스탬프 파일이름 발신 IP 주소 수신 IP 주소 사건 ( 예 : 다운로드, 보기 ) DS-9.5 최소한 6 개월간로그를유지한다 로그보존에대한법적규정이있는지결정하기위해법률고문의조언을구한다 특정사용자만접근할수있으며출입제한구역에위치한중앙서버에콘텐츠로그를저장한다 DS-9.6 로그는해당관계자만접근하도록제한한다 로그감시및검토를책임지는관계자만로그를볼수있는권한을갖도록접근제한목록을유지, 관리한다 업무를분장하여개인이스스로의활동을감시하는책임을갖지않게한다 로그파일에적절한접근권한을적용하여로그가무단삭제또는수정되지않도록보호한다 DS-9.7 외부로콘텐츠전송이이루어지는즉시제작담당 조정관에게자동통보한다 사용자가내부네트워크밖으로콘텐츠를보낼때마다제작담당조정관에게통보 ( 예 : 이메일 ) 하도록콘텐츠전송시스템을구성한다 41 페이지

46 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 DS-10.0 보안기술보안기법 ( 예 : 스포일링, 비시각 / 시각적워터마크표시 ) 을 제공하고지시된경우이를적용하도록한다 DS-10.1 DS-10.2 다음중한방법을통해최소한 AES 128 비트암호화를사용하여하드드라이브의콘텐츠를암호화한다. 파일기반암호화 : ( 즉, 콘텐츠자체암호화 ) 드라이브기반암호화 : ( 즉, 하드드라이브암호화 ) 대역외통신프로토콜 ( 즉, 콘텐츠자체와동일한저장매체에있지않음 ) 을사용하여복호화키또는비밀번호를보낸다 사전암호화된드라이브 ( 예 : Rocstor Rocsafe, LaCie Rugged Safe) 의구매를고려한다 다음중하나이상을구현한다. - 암호화된 DMG 또는암호화된 ZIP 파일등의파일기반암호화 - TrueCrypt 등의소프트웨어를사용한드라이브기반암호화 콘텐츠전송에사용된방법과다른방법을사용하여복호화키또는비밀번호를보낸다 키이름과비밀번호는프로젝트또는콘텐츠와관련이없도록확인한다 42 페이지

47 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 번호 보안주제 모범사례 이행지침 DS-11.0 전송도구 최소한 AES 128 비트암호화및콘텐츠전송세션에대한강력한인증이포함된접근관리수단을사용하는전송도구를구현한다 DS-11.1 DS-11.2 최소한 AES 128 비트암호화를사용하여전송중에있는데이터파일을암호화한다서면으로고객의사전승인을얻어야하는예외절차를구현하여암호화된전송도구가사용되지않는상황에대처한다 암호화되지않은전송도구를사용해야하는예외상황에대해고객이승인하도록요구한다 모든예외상황을문서화하고보관한다 인증을위해안전하게전달되는임의생성된사용자이름과비밀번호를사용한다 고객이승인한전송도구 / 응용프로그램만사용한다 DS-12.0 전송장치방법론 콘텐츠전송을위한전용시스템을구현및사용한다 편집용워크스테이션및콘텐츠저장서버가콘텐츠를 직접전송하는데사용되지않도록한다 DS-12.1 DS-12.2 파일전송을위한전용시스템은콘텐츠를저장또는처리하는시스템및비제작네트워크와분리한다콘텐츠 / 제작네트워크가아닌비무장지대 (DMZ) 에콘텐츠전송시스템을둔다 별도의물리네트워크또는논리적으로분리된 VLAN 에서시스템을구분한다 콘텐츠전송시스템을 DMZ 에배치하기전에보안강도를높인다 콘텐츠전송도구가요구하는포트를제외한모든포트를제한하는접근제한목록 (ACL) 을구현한다 내부네트워크와 DMZ 간의트래픽을특정발신 / 수신 IP 주소로제한하도록 ACL 을구현한다 43 페이지

48 DS-12.3 발신 / 수신에성공한즉시콘텐츠전송장치에서콘텐츠를 삭제한다 콘텐츠수신시고객이이를통보하도록요구한다 전송장치에서콘텐츠를삭제하는절차를구현한다 적용가능한경우, 프로젝트완료직후전송도구에대한고객의접속을삭제한다 세션종료후접속이종료되었는지확인한다 DS-13.0 고객포털콘텐츠전송, 콘텐츠스트리밍및키배포에사용되는웹 포털은권한있는사용자만접근하도록제한한다 다음중하나이상을실시하여콘텐츠를전송, 콘텐츠스트리밍및키배포에사용되는웹포털에대한접근제한수단을구현한다. - 사용자자격증명서요구 - 인증및권한부여를위한장치및 / 또는사용자키를통합한다 - 포털접근을특정네트워크, VLAN, 서브넷및 / 또는 IP 주소범위로제한한다 - 고객포털과의업로드 / 다운로드기능을적절하게제한한다 DS-13.1 고유자격증명서 ( 예 : 사용자이름및비밀번호 ) 를포털 사용자에게할당하고자격증명서를고객에게안전하게 배포한다 콘텐츠링크에사용자이름과비밀번호를내장하지않는다 사용자자격증명서와콘텐츠링크는각각의이메일로배포할것을고려한다 사용자자격증명서를전화나 SMS 로배포하는것을고려한다 다음과같이구성된비밀번호정책을마련한다. - 최소한 8 자로구성된비밀번호 - 다음매개변수중최소한 3 개포함 : 대문자, 소문자, 숫자및특수문자 - 최대 90 일의비밀번호유지기간 - 최소 1 일의비밀번호유지기간 - 최대 3-5 회의로그온시도실패허용 - 이전비밀번호 10 개에대한비밀번호이력 DS-13.2 사용자가자신의디지털자산에만접근하도록한다 ( 즉, 고객 A 가고객 B 의콘텐츠에접근할수없게한다 ) 파일 / 디렉터리권한을검토하는절차를구현한다 필요한관계자만접근할수있도록제한한다 44 페이지

49 DS-13.3 DS-13.4 DS-13.5 DS-13.6 DS-13.7 웹포털을 DMZ 에있는전용서버에두고특정한 IP 주소및프로토콜과의통신을제한한다고객이승인한경우가아니면인터넷웹서버가호스팅하는제 3 자의제작추적소프트웨어의사용을금한다 HTTPS 를사용하고내외부웹포털에대해 SSLv3 또는 TLS v1 등의강력한사이퍼수트 (cipher suite) 사용을의무화한다영구쿠키또는자격증명서를보통텍스트로저장하는쿠키를사용하지않는다구성가능한경우, 내외부포털상의콘텐츠에대한접근이사전정의된주기마다자동만료하도록설정한다 고객포털이요구하는포트를제외한모든포트를제한하는접근제한목록 (ACL) 을구현한다 내부네트워크와 DMZ 간의트래픽을특정발신 / 수신 IP 주소로제한하도록 ACL 을구현한다 기존의웹기반응용프로그램의쿠키사용을검토하여자격증명서를보통텍스트로저장하는경우가없도록한다 응용프로그램이보통텍스트로된쿠키에자격증명서를저장하고있는경우다음중한조치를취한다. - 응용프로그램을재구성한다 - 응용프로그램을업데이트한다 - 응용프로그램개발자에게보안패치를요청한다 DS-13.8 웹응용프로그램의취약점을매년검사하여확인된 문제를수정한다 OWASP( 오픈웹응용프로그램보안프로젝트 ) 에서발행한지침등, 업계가인정한검사지침을사용하여, XSS( 교차사이트스크립팅 ), SQL 주입공격, CSRF( 교차사이트요청위조 ) 등의일반적웹응용프로그램의취약점을식별한다 추가정보는부록 F 를참조한다 45 페이지

50 DS-13.9 DS 권한있는담당자만전화통신서비스공급자와의연결설정을요청할수있게허용한다비제작네트워크에서이메일 ( 웹메일포함 ) 을사용하여콘텐츠를전송하는것을금지하고, 예외정책을통해예외사항을관리한다 보안화된이메일어플라이언스서버 ( 예 : Cisco IronPort, Sophos Security Appliance, Symantec PGP Universal Gateway ) 사용을고려한다 DS 최소한분기마다고객웹포털로의접속을검토한다 프로젝트가완료되면고객웹포털로의접근권한을 삭제한다 비활동계정은삭제한다 46 페이지

51 부록 A 용어집 기본용어및약어에대한이용어집은본발행물내에서가장자주사용, 언급됩니다. 이용어정의는관련된 ISO 표준 (27001/27002), 보안표준 ( 즉, NIST) 및업계모범사례에서취하였습니다. 모범사례지침의본용어집에포함된모든용어는굵은글씨체로강조표시되어있습니다. 용어또는약어 설명 용어또는약어 설명 접근제한목록 (Acc ess Control List: ACL) 자원에접근하도록허용된시스템개체의신원을 목록화하여시스템자원의접근을제한하는 메커니즘. 접근권한개체또는시스템을사용 / 수정할수있는권한. 회사관계자시설에직접소속되어근무하는직원, 임시근무자, 인턴등의개인. 콘텐츠 / 제작매체콘텐츠의저장, 전송, 또는처리에사용되는네트워크컴퓨터네트워크. 고급암호화 표준 (Advanced Encryption Standard: AES) 자산관리 폐쇄회로 텔레비전 (Closed Circuit Television: CCTV) NIST( 미국표준기술연구소 ) 가개발한대칭키암호화 표준으로서 128 비트블록과 128, 192, 또는 256 비트의키길이를사용함. 취득에서부터처분에이르는전체워크플로우내내 자산을추적하는시스템. 제한된수의모니터를통해특정장소로신호를 전송하는데사용되는비디오카메라. CCTV 콘솔중앙의 CCTV 감시인터페이스시스템. 디지털자산 실사 동적호스트설정 통신규약 (Dynami c Host Configuration Protocol: DHCP) 비무장 지대 (Demilitarize d Zone: DMZ) 사용권한을포함하는 2 진소스형식으로된일체의콘텐츠및 / 또는매체. 채용전에잠재적직원또는제 3 자근무자의평판이좋은지확인하는연구또는조사. 네트워크상의모든노드에 IP 주소를자동할당하는데사용되는통신규약. 조직의외부서비스를포함하면서이를더큰규모의신뢰할수없는네트워크 ( 보통인터넷 ) 로노출시키는물리적또는논리적서브네트워크. 47 페이지

52 용어또는약어 설명 용어또는약어 설명 암호화 권한없는사람이쉽게이해할수없는암호문 키관리 암호화된콘텐츠에접근하는데사용되는암호키의 형태로의데이터변환. 생성, 배포, 저장및회수. 핑거프린팅소프트웨어가매체의특징적구성요소를식별, 방화벽 방화벽규칙 FireWire 파일전송 프로토콜 (File Transfer Protocol: FTP) 추출, 압축하는기술로서, 압축된결과적형태에 의해해당매체의고유한식별이가능해진다. 로컬보안정책에따라네트워크간접속을제한하는 게이트웨이. 소스와대상간의패킷라우팅방법을판단하기위해 방화벽이사용하는지시표. 외부장치로부터컴퓨터로데이터를전송할수있게 하는고속인터페이스. 비암호화상태로네트워크상의파일전송을 지정하는 TCP/IP 프로토콜. 신분확인증시설을출입하도록허가된사람 ( 예 : 직원, 업체, 방문객 ) 을식별하는데사용하는카드. 사고대응보안사고의탐지, 분석및시정. 정보시스템 입출력장치 IP 주소 시설측에서정보를처리하는데사용하는전자식 또는컴퓨터기반시스템. 정보시스템에는응용 프로그램, 네트워크장치, 서버, 워크스테이션등이 포함된다. 컴퓨터와의통신및 / 또는컴퓨터간통신에사용되는 장치 ( 예 : USB 및 FireWire 드라이브 ). 컴퓨터네트워크에참여하는장치에할당된숫자 형식의식별자 ( 논리주소 ). 키카드전자식으로출입을제어하는잠금장치에사용되며, 근거리 통신망 (Local Area Network: LAN) MAC 주소필터링 마스터열쇠 디지털서명을저장하고있는플라스틱카드. 소규모의물리적공간 ( 예 : 사무실 ) 을동작범위로한 컴퓨터네트워크. 컴퓨터네트워크로의접속을제한하는데사용되는 보안접근제어방법론. 특정시설의모든출입문 ( 내외부 ) 에대해접근을 제공하는키. 보안수준이높은모든구역을출입할 수있는열쇠이며, 마스터열쇠로도간주된다. 매체자기테이프, 광디스크, 자기디스크, LSI 메모리칩, 정보가기록, 저장, 또는출력된인쇄물을포함하여 이에국한되지않는정보시스템내의물리적장치나 필기지면. 네트워크프로토콜전산의종점간연결, 통신및데이터전송을 비제작네트워크 위험평가 위험관리 제어하거나활성화하는규약또는표준. 매체콘텐츠를처리하거나전송하는데사용되지 않는모든컴퓨터네트워크. 비제작네트워크에는 사내망또는관리망과고객네트워크가포함될수 있다. 회사에미칠수있는잠재적위험을식별하기위한 위험의식별및우선순위화. 위험평가를통한위험의식별, 분석, 완화및보안 관리수단의구현. 48 페이지

53 용어또는약어 설명 용어또는약어 설명 라우터 해당소프트웨어및하드웨어가정보의방향지정과 전송도구 보통허용가능한암호화및인증체제를통해 전달작업에맞춰진장치. 네트워크상에서디지털자산을전자적으로 업무분장 한사람이특정작업을혼자완료할수있는능력을 전송하는데사용되는도구. 갖지않도록하는보안원칙. 한사람이하나이상의 전송프로토콜 컴퓨터네트워크또는인터넷상에서파일을 관련직무에대해책임질수없도록하는원칙. 전송하는것과관련된절차. 소형컴퓨터 컴퓨터와주변장치간의물리적연결및데이터 신뢰할수있는 콘텐츠를재생하도록승인된특정디지털장치목록. 시스템 송수신을위한표준. 장치 인터페이스 (Small Computer System Interface: SCSI) 중간대기구역 정적 IP 주소 배달이나입수등을위해집배되기전에콘텐츠를저장하는공간. 컴퓨터가작동될때마다동일한 IP 주소를사용하는구성. 목록 (Trusted Device List: TDL) 고유한사용자 이름 유니버설시리얼 버스 (Universal Serial Bus: USB) 구별가능한로그인식별자. 장치를호스트컴퓨터와연결하기위한직렬버스표준. 스위치 네트워크내복수의장치를연결하여특정목적지로 사용자접근관리 접근권한을생성, 변경하고, 시스템이나응용 트래픽을전송하는컴퓨터네트워킹장치. 프로그램에서사용자계정을삭제하는절차. 텔넷 원격장치에접속하기위해인터넷또는근거리 금고실 콘텐츠가포함된물리적매체를보관하기위한전용 통신망 (LAN) 에서사용하는네트워크프로토콜. 공간. 제 3 자근무자 외부회사에소속되어있으나용역을제공하도록 가상근거리 LAN 의특성을가지고있으나물리적위치에 추적체제 시설측이채용한일체의개인. 제 3 자근무자에는계약직원, 프리랜서, 파견업체등이포함된다. 자산등록, 자산이동추적 ( 예 : 금고실에서편집구역으로자산의이동 ), 운송및자산파기를포함한전제작과정내내자산을추적하는데사용되는도구, 절차및 / 또는수단. 통신망 (Virtual Local Area Network: VLAN) 가상사설 통신망 (Virtual Private Network: VPN) 국한되지않는컴퓨터네트워크. 사용자가보다큰규모의다른네트워크에접속하도록허용하는컴퓨터네트워크. 49 페이지

54 용어또는약어 설명 용어또는약어 설명 광역통신망 (Wide Area Network: WAN) 워터마크표시 광역 ( 예 : 회사 ) 을동작범위로포함하는컴퓨터네트워크. 디지털자산에 ( 거의 ) 불가역적인정보를내장하는절차. 작업진행 중 (Work in Progress: WIP) 최종상품으로간주되는않는상품. 워크플로우회사가콘텐츠에대해수행하는일련의작업단계. 부록 B MPAA 제작물및배포경로정의 제작물종류 제작물종류 설명 제작물종류 설명 피처 극장개봉되거나홈비디오또는인터넷으로바로 출시되는제작물로다음유형을포함한다. 피처종류 설명 피처필름장편영화. 단편 피처필름으로간주되는것보다길이가짧은영화. 피처외장편다큐멘터리등의기타제작물. TV 에피소드외 TV, 웹, 또는모바일과관련된제작물로서 에피소드를포함하지않는제작물 ( 예 : 텔레비전용 영화, 스포츠행사, 또는뉴스프로그램 ). 홍보 / 광고다음을포함하는제작물 : 홍보 미디어와관련된모든홍보물. 여기에는티저, 트레일러, 전자식보도자료및기타자료가포함된다. 홍보는 광고 의특별한경우이다. TV 에피소드 TV, 웹, 또는모바일과관련된제작물로서시즌또는미니시리즈의에피소드를포함한다. 파일럿을비롯하여기타특별시리즈 ( 웨비소드 또는 모비소드 등 ) 도에피소드에해당한다. 광고 TV 광고, 정보광고, 공익광고및 홍보 에포함되지않는홍보를포함하는광고형태. 여기에는 TV 광고로방송될수도있는영화트레일러와티저가포함되지않는다. 50 페이지

55 제작물종류 설명 제작물종류 설명 음악 통화연결음, 뮤직비디오및기타음악을포함하는 제작물. 기타다음을포함하는제작물 : 종류 발췌 설명 다른작품의일부가대부분을구성하는자산. 부록다른작품의보충으로제작된자료. DVD 와연관된증간물을예로들수있다. 컬렉션 프랜차이즈 다른범주에들어가지않는자산의집합. 영화컬렉션을예로들수있다. 다른종류의작품컬렉션이나이의조합으로서, 예를들어프랜차이즈에는복수의 TV 쇼, 또는 TV 쇼와영화가포함될수있다. MPAA 모범사례 - 공통지침 51 페이지

56 배포경로 배포경로 설명 배포경로 설명 극장피처필름은독점적으로극장에만개봉된다. 극장외영화가텔레비전, 홈비디오또는극장이외의방식으로일반에공개된다. 예를들어영화가 (i) 비행기, 기차, 배및기타일반교통수단, (ii) 학교, 대학교및기타교육기관, 도서관, 정부기관, 기업, 서비스조직및클럽, 교회및기타종교단체, 박물관및영화단체에서상영되고 ( 상영지의주변지역내에서폐쇄회로에의한상영의전송을포함함 ), (iii) 상설또는임시의군사시설, 격리시설, 교도소, 은퇴센터, 역외의반잠수형굴착선, 벌목장, 원거리의산림및건설현장에서상영될수있다 ( 상영지의주변지역내에서폐쇄회로에의한상영의전송을포함함 ). 홈비디오영화가 DVD 나 Blu-Ray 등의형태로포장상품의도매급실판매및대여판매를위해출시된다. 무료텔레비전영화가대개네트워크, 텔레비전방송국, 또는기본케이블네트워크와의사용권계약에명시된대로무료공중파를통해일반에공개된다. 유료텔레비전 방송망내최소한한참여자가사용료를지급할것을 조건으로영화가일반에공개되며, 주문형비디오, 케이블, 위성및유료시청제를예로들수있다. 인터넷영화가다음의온라인배포경로중하나로개봉된다. 종류 온라인다운로드판매 (Electronic Sell- Through: EST) 또는영화내려받기서비스 (Download to Own: DTO) 온라인대여또는주문형비디오 (Videoon-Demand: VOD) 정액제주문형비디오 (Subscription Video-on-Demand: SVOD) 온라인무료주문형비디오 (Free Video-on- Demand: FVOD) 기타 설명 영구적인디지털사본이온라인으로판매됨. 임시시청을위한온라인유료대여. 온라인가입형대여를통한온라인시청. 보통광고수익으로지원되는무료온라인스트리밍시청. 모바일이나 IPTV( 인터넷프로토콜 TV) 등의온라인및뉴미디어. MPAA 모범사례 - 공통지침 52 페이지

57 부록 C 각관리수단과관련된참고자료 다음표에모범사례와관련된 ISO 27001/27002 및 NIST 표준의일반적인사항이소개되어있습니다. 제시된보안관리수단을구현할때추가 정보가필요한경우이표준을참고할수있습니다. 번호보안주제 ISO 참조 NIST 참조 MS-1.0 운영진의보안 4.1, PM-1, PM-2 MS-1.1 인식 / 감독 AT-2, AT-3, PM-1, PM-2 MS-2.0 위험관리 4.1 CA-1, RA-1 MS RA-2 MS , 4.2 CA-2, CA-5, RA-3 MS-3.0 보안조직 PM-2 MS-4.0 예산편성 PM-3 MS-5.0 정책및절차 5.1.1, PL-1 MS PL-1 MS PL-1, PS-7 MS-6.0 사고대응 13.1 IR-1, IR-8 MS-6.1 IR-2 MS IR-6, IR-7 MS , IR-4, IR-5 MS-7.0 워크플로우 10.1 MS , 4.2, 10.1 MS-8.0 업무분장 AC-5 번호보안주제 ISO 참조 NIST 참조 MS-9.0 신원조회 PS-3 MS-10.0 기밀유지계약 PL-4, PS-6, SA-9 MS , PS-4 MS-11.0 징계조치 PS-8 MS-12.0 MS-13.0 콘텐츠보안및 저작권침해이해 제 3 자의사용및 AT-1, AT-2, AT-3, AT PL-4, PS-6, SA-9 MS-13.1 적격심사 PS-7, SA-9 MS , 10.2 PS-4 MS MS , 11.1, 11.2 PS-7 MS PS-1.0 출입지점 PE-3 PS PE-3, PE-6 PS PE-3 PS-2.0 방문객출입 PE-8 PS PE-7 PS PE-3 MPAA 모범사례 - 공통지침 53 페이지

58 번호보안주제 ISO 참조 NIST 참조 PS PE-7 PS-3.0 식별 PE-3 PS-4.0 경계보안 PE-3 PS-5.0 긴급상황프로토콜 PE-11 PS CP-2, CP-3, CP-4, IR-2 PS-6.0 경보 PE-3, PE-6 PS-6.1 PE-6 PS AC-6 PS , , PS IR-2, IR-3 PS-6.5 PE-3 PS-7.0 권한부여 11.2 PE-1, PE-2, PE-3 PS PE-2, PS-4, PS-5 PS-8.0 전자식출입 9.1.2, PE-2, PE-3 PS PE-2, PE-3 PS-9.0 열쇠 9.1.2, PE-2, PE-3 PS CM-8 PS-10.0 카메라 PE-6 PS , PE-6 PS-10.3 PE-6 PS AU-8 PS-11.0 로깅및모니터링 , AU-3, AU-6 AU-9, AU-11 PS AU-6 PS AU-6 번호보안주제 ISO 참조 NIST 참조 PS AU-9 PS-12.0 수색 PS-13.0 재고추적 7.1 CM-8 PS-13.1 PS , , PS-13.3 MP-3 AU-9, AU-11 AU-6 PS-14.0 재고합계 AU-6 PS AC-5 PS-14.2 PS-15.0 공백매체 / 생필름 IR-4, IR MP-4 PS-15.1 추적 7.1.1, MP-4, PE-2, PE-3 PS-16.0 고객자산 7.1.1, MP-4, PE-2, PE-3 PS , PS-17.0 제작시스템 PE-2 PS-18.0 처분 9.2.6, MP-6 PS , MP-6 PS-18.3 PS-18.4 MP-2, MP-4 MP-6 MP-6 PS-19.0 운송 MP-5 PS , AU-11, PE-16 PS , MP-5 PS PE-3, PE-7 PS-20.0 수취 , PE-16 PS-20.1 MP-5 MPAA 모범사례 - 공통지침 54 페이지

59 번호보안주제 ISO 참조 NIST 참조 PS , 7.2 MP-3, MP-4 PS-22.0 포장 MP-5 PS DS-1.0 WAN 11.4 AC-3 DS AC-2 DS CM-7 DS , , AC-20, CA-3, SC-7 DS AC-6, AC-17 DS DS RA-3, RA-5 DS-2.0 인터넷 CA-3 DS PL-4 DS AC-6, PL-4 DS-3.0 LAN , SC-7 DS DS AC-6, AC-17 DS CM-7 DS , SI-4 DS-4.0 무선 AC-18 DS AC-18 DS SI-4 DS-4.3 AC-18 DS , AC-19, MP-2 DS-5.2 DS-5.3 PE-5 AC-19, SC-13 번호 보안주제 ISO 참조 NIST 참조 DS , AC-19 DS-6.0 시스템보안 SI-3 DS SI-3 DS SI-3 DS SI-3 DS SI-2, RA-5 DS AC-5, SC-2 DS PE-3 DS SA-7 DS , SA-6 DS-6.10 CM-1, CM-2 DS AC-3, AC-6 DS-7.0 계정관리 11.2 AC-2 DS AC-2 DS AC-2, AC-6, IA-4 DS AC-5 DS AU-2, AU-12 DS PS-4, PS-5 DS AC-2, PE-2 DS-7.9 AC-2 DS-8.0 인증 , IA-2, IA-4 DS AC-7, IA-5 DS , AC-17 DS , AC-11 DS-9.0 로깅및모니터링 10.1 SI-4, AU-2, AU-3 DS , AU-1, AU-6 MPAA 모범사례 - 공통지침 55 페이지

60 번호 보안주제 ISO 참조 NIST 참조 DS AU-1, AU-6 DS , AU-1, AU-6 DS AU-2, AU-3 DS-9.5 AU-11 DS , AU-9 DS-10.0 보안기술 DS IA-5, SC-13 DS SC-9, SC-12 DS-11.0 전송도구 IA-5, SC-13 DS-12.0 전송장치방법론 10.8 DS AC-4, SC-7 DS AC-4, AC-20, SC-7 번호 보안주제 ISO 참조 NIST 참조 DS MP-6 DS-13.0 고객포털 AC-6 DS , IA-5 DS AC-2, AC-3, AC-6 DS AC-4, AC-20 DS DS SC-10 DS AC-4 DS RA-3, RA-5 DS-13.9 AC-6 DS AC-2 MPAA 모범사례 - 공통지침 56 페이지

61 부록 D 자주묻는질문 1. 저희시설에서제안된모범사례를모두이행해야합니까? 모범사례의준수는전적으로자유의사에따릅니다. 모범사례는보안절차를수립, 이행, 수정할때고려할수있도록제안된지침입니다. 2. 저희시설에서복수의서비스 ( 예 : 필름현상및포스트프로덕션 ) 를제공할경우, 어떤모범사례보완지침을적용해야합니까? 작업절차가서로분장되어있지않는한시설에서는좀더제한적인모범사례보완지침을항상적용해야하며, 이경우해당서비스를위한환경에 모범사례보완지침만을적용해야합니다. 3. 저희시설에서모범사례의 이행지침 섹션에포함된모든사항을적용해야합니까? 아니요. 이행지침섹션에포함된정보는특정보안관리수단을체계화하는최선의방법을결정하는데도움을주기위해작성되었습니다. 해당시설이 MPAA가실시하는시설설문조사에응할경우, 당사의평가는오직특정시점의귀하시설관행을지침내해당모범사례와비교하기만합니다. (MPAA 시설설문조사를받는방법에대한자세한정보가필요한경우 sitesurvey@mpaa.org로문의할수있습니다.) 4. 저희현재시스템에서모범사례의구현이불가능한경우는어떻게합니까? 시스템이모범사례를구현하는데필요한가능한솔루션을알아보려면해당시스템업체에게문의하시기바랍니다. 해결방안에는패치적용, 버전업데이트또는보안이강화된시스템으로의변경등이있을수있습니다. 기술적한계로인해모범사례를구현할수없는경우대안적보안수단을사용할수도있으나, 이는일반적으로관련위험에대한대처로간주되지않습니다. 시스템한계에따른보안지침이행의예외사항은공식적으로문서화하여고객의승인을받아야합니다. 5. 이지침의모범사례를적용할때, 저희시설에서 MPAA 회원사가별도로명시한보안요구사항을준수해야합니까? 모범사례의이행은지침으로서, 시설이개별 MPAA 회원사와맺은계약에따른특정조항을대체하지않습니다. 특정회원사의업체이용에관한 결정은각회원사가일방적으로정합니다. MPAA 는보안에대한고객과의향후논의시본모범사례를지침으로활용하도록권장합니다. MPAA 모범사례 - 공통지침 57 페이지

62 부록 E 권장정책및절차 다음은콘텐츠보호를위해보안정책및절차의수립과이행이필요한일반적인분야의예입니다. 1. 물리적보안정책및절차 출입지점보안 방문객출입프로토콜 신원확인및권한부여 긴급상황프로토콜 시설출입관리수단 시설감시 2. 재고및자산관리 재고추적 운송프로토콜 운송중재고의현장보관 3. 정보기술보안 4. 인사정책및절차 직책에보안포함 근무자적격심사 기밀유지, 재산권및지적재산권보호계약 고용약관 업무분장 (SOD) 고용종료 징계조치 보안인식및교육프로그램 직원및임시직 / 프리랜서의신원 / 평판조회및적격심사 직원및임시직 / 프리랜서와의비공개계약 (NDA) 5. 제 3 자 제 3 자계약 비공개계약 (NDA) 인터넷사용정책인증및권한부여비밀번호정책악성코드방지 / 바이러스백신 6. 사고대응 사고파악및분석 사고상달및보고 사고대응절차및방법 사후검토절차및얻은교훈 MPAA 모범사례 - 공통지침 58 페이지

63 부록 F 기타자료및참고문헌 International Organization for Standardization (ISO), Standard Information technology - Security techniques - Information security management systems Requirements. October International Organization for Standardization (ISO), Standard Information technology - Security techniques - Code of practice for information security management. July htm International Organization for Standardization (ISO), Standard Information technology - Security technique- Information security risk management. June National Institute of Standards and Technology Special Publication Recommended Security Controls for Federal Information Systems, February rev3-ipd.pdf National Institute of Standards and Technology Special Publication IR Glossary of Key Information Security Terms, April _Glossary_Key_Infor_Security_Terms.pdf National Industrial Security Program - Operating Manual (DoD M), February The Center for Internet Security Security Benchmarks National Security Agency - Security Configuration Guides National Institute of Standards and Technology Special Publication Guide to Computer Security Log Management, September National Institute of Standards and Technology Special Publication Guidelines on Securing Public Web Servers, September National Institute of Standards and Technology Special Publication Creating a Patch and Vulnerability Management Program, November Ver2/SP800-40v2.pdf SysAdmin, Audit, Networking, and Security (SANS Institute). Glossary of Terms Used in Security and Intrusion Detection The Open Web Application Security Project (OWASP) Testing Guide National Institute of Standards and Technology Special Publication Guidelines for Media Sanitization, September MPAA 모범사례 - 공통지침 59 페이지

64 부록 G MPAA 에저작권침해신고 MPAA 온라인저작권침해신고아래주소를통해 MPAA 에저작권침해를직접신고할수있습니다. MPAA 및 MPA 저작권침해 24 시간제보전화 MPAA 가현지콘텐츠보호당국과협력하는각국가별 24 시간제보전화연락처가아래목록에나와있습니다. 북미및남미지역캐나다 ( 프랑스어및영어 ) (800) 미국 (800) 유럽, 중동, 아프리카 (EMEA) 지역벨기에 ( 영어 ) 벨기에 ( 프랑스어 ) 이탈리아 (800) 네덜란드 (909) 우크라이나 MPAA 모범사례 - 공통지침 영국 (800) 아시아태평양 (APAC) 지역오스트레일리아 홍콩 말레이시아 뉴질랜드 필리핀 싱가포르 대만 모든지역별, 국가별콘텐츠보호당국에대한일반연락처정보의전체목록은 에나와있습니다. MPAA 온라인자료 MPAA 에대한추가정보는 웹사이트에서도확인할수있습니다. 상영중콘텐츠를보호하기위한전세계프로그램에대한정보는 에서확인할수있습니다. 60 페이지

65 문서의끝 MPAA 모범사례 - 공통지침 61 페이지