01 수준평가 안내서(겉표지 앞)

Transcription

1 KISA 안내 해설제 호 정보보호수준평가방법론안내서 한국인터넷진흥원

2 KISA 안내 해설제 호 정보보호수준평가방법론안내서

3 제 개정이력 순번 제 개정일 변경내용 발간팀 연락처 제정 인터넷서비스보호팀 개정 인터넷서비스보호팀

4

5 목 차 제 1 장서론 1 제 1 절해설서의목적및구성 1 1. 해설서의목적 1 2. 해설서구성 2 제 2 절정보보호수준평가방법론에대한설명 3 1. 정보보호수준평가의평가단계 5 2. 정보보호수준평가결과산출방법 6 3. 국외정보보호수준평가관련사례 9 제 3 절정보보호수준평가해설서설명 정보보호수준평가해설서의평가분야설명 정보보호수준평가해설서의통제항목템플릿 정보보호수준평가해설서의세부통제항목템플릿 26 제 4 절정보보호수준평가시권고사항 평가자의자격요건 권고사항 29 제 2 장정보보호수준평가방법론해설서 30 제 3 장결론 266 [ 부록 1] 평가프레임워크 268 [ 부록 2] 용어정의 420 [ 참고문헌 ]

6 그림목차 ( 그림 1) 정보보호수준평가결과예시 7 ( 그림 2) 정보보호수준평가통제항목템플릿 24 ( 그림 3) 정보보호수준평가세부통제항목템플릿 26 표목차 [ 표 1] 정보보호수준평가통제분야및통제항목 3 [ 표 2] 정보보호수준평가착안사항 ( 성숙도단계 ) 5 [ 표 3] FIPS 200(NIST SP800-53) 의통제분야, 통제계열, 통제항목수 10 [ 표 4] 연방정부컴퓨터보안보고서 (2005~2006)

7 제 1 장서론 제 1 절해설서의목적및구성 1. 해설서의목적 정보화사회 선진화의역기능으로악성댓글, 스팸메일, 개인정보유출, 피싱이나파밍에따른침해사고와불건전정보유통, 사생활침해등부작용이심각한사회문제로대두되고있으며, 네트워크의확대보급에따라정보교환및공유로정보에대한불법접근등이문제가되고있다. 한편통신네트워크가국제적인글로벌체제로구축됨에따라국외로부터의침입및사이버공격에대한법적대응에한계를보이고있다. 또한주요기반시설이정보통신망에의존되어관리 통제되는환경에서는국가적안보차원에서의위협이되고있다. 이와같은위협으로부터주요정보통신기반시설에대한보호대책이매년수립되어운영되고있다. 그일환으로매년수립되는 주요정보통신기반시설보호대책 에서정보보호수준측정을 2006년부터시범적용하고있다. 여기에서사용되는정보보호수준평가방법론은 2005년한국정보보호진흥원에서개발되었다. 그동안시범적용에서나타난문제점으로는평가가기반시설자체적으로수행됨에따라평가항목에대한평가자의이해부족, 객관성부족등으로평가결과에대한신뢰성에의문이제기되었다. 따라서평가항목에대한평가자의이해를돕기위해해설서가필요하게되었다

8 이와관련하여본연구에서는주요정보통신기반시설에대한정보보호수준을평가하기위한평가방법론개발에따라좀더객관적인수준을측정하기위해전문가그룹과의협조를통해각평가항목별사례조사분석및타당성검토를위한정보보호수준평가방법론해설서를개발하였다. 2. 해설서구성 정보보호수준평가방법론에대한해설서의구성은다음과같다. 정보보호수준평가방법론해설서에대한목적및구성, 정보보호수준평가단계의정의, 결과산출방법, 해설서프레임워크구성형태및정보보호수준평가시권고사항으로구성되어있다. 2장에서는본연구의목표인정보보호수준평가방법론해설서를작성하고결론을맺는다

9 제 2 절정보보호수준평가방법론에대한설명 정보보호수준평가방법론은 12개통제분야, 54개통제항목, 89개세부통제항목으로구성되어있다. 다음 [ 표 1] 은정보보호수준평가방법론의평가통제분야및통제항목과통제항목에따른세부통제항목수를나타냈다. 세부통제 No 통제분야통제항목항목수 1 정보보호정책정보보호조직 1 정보보호계획 1 2 위험평가 3 구성관리 4 유지보수 [ 표 1] 정보보호수준평가통제분야및통제항목 자산분류 2 자원할당 3 보안요구사항검토 1 위험평가 4 취약성진단 1 구성변경통제 3 구성보안설정 2 유지보수도구 1 원격유지보수 1 매체출력물표시 1 매체접근관리 1 5 매체보호 매체운반방법 1 문서관리 3 매체및기록파기 1 6 보안인식과교육보안인식과교육및훈련 2 비상교육 1 7 비상계획 / 업무비상계획모의훈련및갱신 1 연속성계획통신서비스이중화 1 정보시스템백업과복구 3 8 물리적 / 환경적물리적접근통제 3-3 -

10 보호 9 인적보안 디스플레이매체접근통제 1 물리적접근모니터링 1 전력장비및전력선보호 2 비상전력 1 비상조명 1 환경통제 1 신원조사 1 인사관리 1 내부인력관리 1 제3자보안 1 사고대응모의훈련 1 10 사고대응 사고모니터링 1 보안사고보고 2 감사대상이벤트생성기능 2 11 감사및책임추감사정보관리 1 감사모니터링, 분석및보고 1 적성감사기록시간표시기능 1 부인방지 1 계정관리 1 패스워드관리 3 설정관리 1 접근통제 6 접근시도실패관리기능 1 시스템이용주의사항공지기능 2 이전로그인정보알림기능 1 12 시스템접근통제세션통제기능 2 시스템과응용프로그램의분리 2 및통신보호공유시스템자원보안관리 1 소프트웨어결함및악성코드로부터의보호 3 침입탐지및차단도구와기술 2 서비스거부보호 1 보안통신경로 1 암호키구축및관리 2 인터넷전화 1-4 -

11 1. 정보보호수준평가의평가단계 정보보호수준평가단계는정보보호수준의성숙도를측정하기위한단계로써 5단계로구성되어있다. 주요정보통신기반시설의정보보호수준을 5단계보안성숙도를기준으로분류하여평가한다. 정보보호수준평가 5 단계착안사항 ( 성숙도 ) 은다음 [ 표 2] 와같이정의 한다. [ 표 2] 정보보호수준평가착안사항 ( 성숙도단계 ) 단계 1단계 2단계 3단계 4단계 5단계 정의세부통제항목이수행되지않거나또는특별한계획없이수행되고있는단계부분적으로세부통제항목이시행계획 ( 구체적절차및일정, 예산등 ) 이수립되어문서화되어있는단계문서화된계획에따라전사적으로세부통제항목을시행하거나시행완료된단계세부통제항목에대한성과측정이수행되고일정기간동안지속적으로시행되고검토되고있는단계세부통제항목시행성과측정결과가검토되고결과에따라주기적으로개선을수행하는단계 - 5 -

12 2. 정보보호수준평가결과산출방법 1) 정보보호수준평가결과산출방법 국내정보보호수준평가결과를산출하는방법은 2가지가있다. 첫번째는정보보호수준평가성숙도결과를산출하는방법으로 54개통제항목에대한세부통제항목의평가값에대한합을구한다. 평가합 통제항목중최저세부평가단계 이때, 통제항목중최저세부평가단계는정보보호성숙도단계중 최저단계를기준으로채택하여산출하게된다. 세부통제항목평가값의 합을세부평가항목수로나눈 AL(Assessment Level) 이평가된기관의 정보보호수준이된다. 평가등급 평가합 통제분야수 두번째는정보보호수준평가백분율평가산출방법으로우선 54개의통제분야중각해당통제분야들의세부통제항목평가값의합을구한다. 통제항목별세부통제항목평가합 세부통제항목평가값 통제분야별적용항목수 각통제분야별세부통제항목평가합의평균값을구하고각통제분야별 값을백분율로나타낸다. 해당통제분야별적용항목수의합 - 6 -

13 각통제분야별백분율값 (LP) 의합을통제분야의값으로나는값이평가기관의정보보호수준평가백분율값이된다. 통제분야수 정보보호수준평가결과예시를살펴보면다음 ( 그림 1) 과같다. ( 그림 1) 정보보호수준평가결과예시 1 세부평가점수 선택항목 : 각통제분야별세부통제항목을적용하는항목에대해서만평가를한다. 결과 : 각통제분야별세부통제항목 5단계성숙도평가한값들의합을말한다. 총점 : 각통제분야별세부통제항목을모두적용한경우에해당하는총점수를값이다. 백분율 : 각통제분야별세부통제항목성숙도평가에대한값을백분율로계산한값이다

14 2 단계 ( 성숙도 ) 평가 각통제항목에대한세부통제항목들이평가된 5단계성숙도값들로측정되고그값들중에서최소단계인값이통제항목의평가값이된다. 각통제항목별로평가된값은통제분야의개수로나누어평균값으로계산하면단계별평가점수가측정된다. 2) 정보보호수준평가결과분석 정보보호수준평가결과는성숙도평가와백분율평가 2가지로나타난다. 성숙도평가는세부평가항목의최저수준들의평균값을구하는방법이고백분율은세부평가항목의값을산술평균을구하여백분율로나타낸값이다. 성숙도평가값과백분율값을비교했을때차이가나는경우는통제분야별통제항목들의세부평가항목에서성숙도평가의점수분포의최소점수와최대점수의격차가많다는것을알수있다. 또한평가기관의정보보호수준의통제항목별차이가있다는것을말한다

15 3. 국외정보보호수준평가관련사례 미국의정보보호수준평가사례를살펴보면 2002년제정된전자정부법 e-government Act) 중 3편에 FISMA(Federal Information Security Mangement Act) 을통하여연방정부기간들의정보및정보시스템을보호하기위한법을볼수있다. FISMA를바탕으로매년연방정부기관들의정보보안관리실태를평가하고있다. 연방정부기관의최고정보화담당과감사관은매년기관의정보보안프로그램을점검하여관리예산처에보고하고관리예산처에서는각기관들의보고서를평가하여매년의회에제출한다. 평가결과는정부감독조사위원회에서 FIPS 200(Federal Information Processing Standard) 을이용하여검토한다. FIPS 200은 NIST의 SP800-53A의지침의내용을전체적으로반영하여구성되었다. 매년상임위원회의검토결과연방정부컴퓨터보안보고서 (Federal Computer Security Report Card) 로발간된다. 이법은연방정부기간의운영및자산에대한정보보안통제항목의효율성을강화하기위한총괄적인프레임워크를제공하고정보의보안위협에대한효율적인관리및통제방안제공한다. 연방정보및정보시스템보호를위한최소한의통제및유지할수있는방안을개발하고연방정부기관의정보보안프로그램관리강화메커니즘제공한다. NIST의지침을통해정보와정보시스템의유형을권고하고관리, 운영기술적통제와같은최소의정보보안요구조건을수립하고있다. 다음 [ 표 3] 은 FISMA 의통제등급에따른계열과통제항목수를나타낸 표이다

16 [ 표 3] FIPS 200(NIST SP ) 의통제분야, 통제계열, 통제항목수 등급 관리 운영 기술 계열 통제항목수 위험평가 (Risk Assessment) 5 계획 (Planning) 5 시스템및서비스획득 (System and Services Acquisition) 11 보증, 인증, 보안평가 (Certification, Accreditation, and Security Assessments) 7 직원보안 (Personnel Security) 8 물리적및환경적보호 (Physical and Environmental Protection) 17 비상계획 (Contingency Planning) 10 구성관리 (Configuration Management) 7 유지보수 (Maintenance) 6 시스템및정보무결성 (System and Information Integrity) 12 매체보호 (Media Protection) 7 사고대응 (Incident Response) 7 인식및교육 (Awareness Training) 4 식별및인증 (Identification and Authentication) 7 접근통제 (Access Control) 20 감사및책임 (Audit and Accountability) 11 시스템및통신보호 (System and Communications Protection) 19 다음의 [ 표 4] 는 2005년과 2006년에미국의연방정부기관의정보보안실태평가결과를나타낸표이다. 평가는 0점 ~100점까지점수를부여하고 0점부터 60점미만까지는 F, 60점부터 64점미만까지는 D-, 64점부터 67미만까지는 D, 67점부터 70점미만까지는 D+ 와같이 A+~F까지측정된다

17 [ 표 4] 연방정부컴퓨터보안보고서 (2005~2006) FEDERAL COMPUTER SECURITY REPORT CARD AGENCY FOR INTERNATIONAL DEVELOPMENT A+ A+ HOUSING AND URBAN DEVELOPMENT A+ D+ NATIONAL SCIENCE FOUNDATION A+ A OFFICE OF PERSONNEL MANAGEMENT A+ A+ GENERAL SERVICES ADMINISTRATION A A- SOCIAL SECURITY ADMINISTRATION A A+ DEPARTMENT OF JUSTICE A- D ENVIRONMENTAL PROTECTION AGENCY A- A+ SMALL BUSINESS ADMINISTRATION B+ C+ DEPARTMENT OF HEALTH AND HUMAN SERVICES B F DEPARTMENT OF TRANSPORTATION B C- DEPARTMENT OF LABOR B- A+ DEPARTMENT OF ENERGY C- F DEPARTMENT OF HOMELAND SECURITY D F NATIONAL AERONAUTICS AND SPACE ADMINISTRATION D- B- DEPARTMENT OF AGRICULTURE F F DEPARTMENT OF COMMERCE F D+ DEPARTMENT OF DEFENSE F F DEPARTMENT OF EDUCATION F C- DEPARTMENT OF THE INTERIOR F F NUCLEAR REGULATORY COMMISSION F D- DEPARTMENT OF STATE F F DEPARTMENT OF TREASURY F D- DEPARTMENT OF VETERANS AFFAIRS - F

18 제 3 절정보보호수준평가해설서설명 1. 정보보호수준평가해설서의평가분야설명 (1) 정보보호정책및절차수립 목적정보보호정책및절차수립평가분야의목적은조직의정보보호업무를수행하기위한기본적인근거를제시하기위함으로명확하고객관적인정책및절차가수립되고문서화되어제시되어야한다. 내용정보보호정책및절차수립을위해정보보호업무를수행하기위한정보보호조직이구성되어야하며, 정보보호계획을수립하여조직의정보보호목표를수립하고구성인력의역할제시, 정보보호업무를수행할수있도록해야한다. 정보보호조직은조직의특성에적합한조직을구성하도록하며, 정보보호업무를수행하는데있어서필요한인력들로구성되어야한다. 정보보호계획은정보보호목표를달성하기위해매년수립되고시행되어구체적인결과검토를통해새로운보안위협및보안사고에대응할수있도록계획되어야한다. 이를위하여필요시각조직은정책및지침, 규정등을수립하여운영한다. 범위 - 정책의승인 / 공표 - 정보보호정책을구체적으로시행하기위한지침, 절차표준수립 - 정보보호계획및정책에대한주기적인검토 - 정보보호조직구성 ( 외부전문가활용방안검토 ) - 정보보호조직구성원의역할명시

19 (2) 위험평가 목적위험평가분야의목적은자산을식별하고자산에대한위험도를측정하여보안대책을선정하기위함이다. 정보및정보시스템등에대한자산을분류하고자산의중요도에따라자산의등급을부여하기위한계획및절차가수립되고문서화되어제시되어야한다. 내용정보및정보시스템등의위험을평가하기위해서는정보및정보시스템등의자산을식별하기위한계획및절차가수립되어그계획및절차에따라자산이분류되고분류된자산의중요도에따라서자산등급을부여한다. 정보시스템및서비스를도입할경우계획및절차에대한최소보안요구사항및취약성검토가이행되고취약성검토시취약성진단도구및기법을사용하여수행되어야한다. 위험평가및취약성진단결과에대한검토가이루어지고위험평가와관련된계획및절차개선되어져운영되어야한다. 범위 - 정보및정보시스템등의자산분류를위한계획및절차수립 - 자원에대한책임및할당, 역할등에대한규정또는관련문서 - 위험평가계획및절차 - 취약성진단도구및기법을이용한취약성진단

20 (3) 구성관리 목적구성관리분야의목적은 IT 구성요소 (S/W 릴리즈, 패치등에따라부여, H/W나기술문서에대해서는조직적으로적절한원칙에따름 ) 에대한관리가이루어져야하고변경사항이발생할경우효율적으로관리하기위한절차및규정이수립되어수행되어야한다. 내용조직의모든 IT 구성요소의변경이이루어지는경우에대한현황파악및이력관리가매우중요하다. 만약구성관리가이루어지지않아정보및정보시스템에예기치않은장애가발생하면원인과해결방안을찾는데많은어려움을겪을수있고시스템사용자에대한고품질서비스의제공을보장할수없게된다. 조직의모든 IT 구성요소에대한변경사항이발생될경우버전통제관리및승인절차가수립되어야한다. 정보및정보시스템등의변경사항에대한효과성분석이이루어진다. 조직의정보및정보시스템에대한보안설정상태가주기적으로검토되어새로운위협및상황에대한대응이개선되어야한다. 또한허용되는서비스및제한되는서비스등에대해주기적으로검토되어야한다. 범위 - 정보및정보시스템등의변경관리절차 - 구성변경관리목록및변경점검체크리스트 - 변경관리절차에따른승인지침 - 구성요소변경에대한효과성분석 - 정보및정보시스템등의보안요소설정절차및계획

21 (4) 유지보수 목적유지보수분야의목적은자연재해나불법적인접근으로인한장애, 물리적오류발생에대한유지보수가계획및절차에따라수행되어야한다. 장비는공급자가지시한서비스기간과명세에따라유지보수되고인가된장비유지직원만이장비의수리와서비스를수행해야한다. 내용주요시스템의유지보수계획및절차가문서화되어수행되며유지보수도구 ( 시스템유지보수, 기술지원등 ) 목록을작성하여주기적으로수행되고검토되어야한다. 주기적으로유지보수도구업그레이드및변경등의승인관리가수행되고결과에따라개선이이루어져야한다. 만약원격유지보수및진단활동을실시할경우에는원격작업에대한감시계획이문서화되어있고그절차에따라수행되어야한다. 원격작업이완료되면바로권한을취소하거나장비를수거해야한다. 자동감시추적기능을실시하여주요시스템에대한보안이이루어져야한다. 범위 - 정보및정보시스템에대한유지보수계획및절차 - 유지보수도구목록, 변경및관리 - 원격유지보수및진단활동 - 자동감사추적기능

22 (5) 매체보호 목적매체보호분야의목적은허가받지않은유출이나오용으로부터정보를보호하기위해매체의취급및보관에대한절차를수립하고운영해야한다. 정보를저장하는매체나정보시스템의출력물에대한접근관리및운반방법, 매체폐기지침등에대한관리가이루어져야한다. 내용정보를저장하는매체및정보시스템에대해중요도에따라분류하고분류된매체에대해내 외부에식별번호부여지침에따라매체라벨링을수행하고관리해야한다. 또한매체의중요도에따라보관장소및관리방법등을명시한매체접근통제절차가문서화되어있고운반할경우매체이동및구조변경절차에따라수행되고중요도별접근수행관리가이루어져야한다. 정보시스템및서비스에대한문서 ( 전자문서등 ) 에대한계획및관리절차가수립되어있어그절차에따라수행되며시스템도입, 변경, 복사, 관리, 보관, 폐기등에대한방법및절차가문서화되어있어야한다. 매체를폐기할경우에는폐기계획및절차에따라폐기이유, 일시, 내용등의문서를작성하고매체의중요도에딸폐기방법을결정하여폐기가이루어진다. 저장매체에중요데이터를삭제할경우저장매체에임의의데이터로저장을해서중요데이터의내역을확인할수없도록삭제되어야한다. 범위 - 정보매체및정보시스템의출력물을관리하는절차 / 지침 - 매체에대한중요도별라벨링 - 매체접근통제절차 - 매체폐기절차및폐기관련정보감사증적대상

23 (6) 보안인식과교육 목적보안인식과교육분야의목적은조직의최고경영자의보안의지를포함하여정보시스템 (H/W, S/W, 데이터관리등 ) 에대한올바른사용방법뿐만아니라보안요구사항, 법적책임, 업무통제와같은내용을인식및교육시키기위함이다. 내용정보보호정책, 정보보호인식, 보안요구사항, 법적인책임, 침해사고대응절차, 업무연속성관리, 정보시스템의정확한사용방법등이포함되어있고교육훈련은교육대상자의직위및담당하는업무의특성에따라구분하여실시하여야한다. 교육및훈련은정기적으로실시하여야하며, 정보보호정책이나절차및역할의변경이있는경우에는수시로실시되며실시된교육및훈련에대한기록을보관하여효과측정및분석이이루어지며개선되어야한다. 만약외부인력 ( 외부계약자, 아웃소싱인력등 ) 이있을경우외부인력에대한교육지침이마련되어있어교육및훈련절차및지침에따른교육이이루어져야한다. 범위 - 정보보호정책및규정에대한지침 - 교육목표, 내용등이지침 - 외부인력에대한보안인식및교육지침

24 (7) 비상계획 목적비상계획분야의목적은각종재해및비상시시재난의발생을대비하기위한핵심시스템의가용성과신뢰성을회복하고사업의연속성을유지하기위함이다. 비상계획 / 업무연속성계획은단수한데이터의복구나신뢰도를유지하며나아가기업의신뢰성유지및가치를최대화하는방법및절차로볼수있다. 내용비상시를대비하기위한비상계획 / 업무연속성계획및절차에업무의우선순위및직원의역할, 책임등의내용이문서화되어있고비상사태를대비하기위한비상교육및모의훈련이수행되어야한다. 비상시안전한통신서비스를제공하기위한이중화서비스정책을제공하여정보의가용성제공에대비하여야한다. 또한중요데이터에대한백업및복구서비스를실시하여비상시에정상시스템으로복구할수있어야한다. 환경의변화에따라주기적으로비상계획 / 업무연속성계획에대한시험및훈련을통해계획및시나리오등의개선이이루어져야한다. 범위 - 비상계획 / 업무연속성계획교육 - 비상계획 / 업무연속성계획모의훈련 - 비상시통신서비스이중화정책 - 정보시스템백업및복구

25 (8) 물리적환경적보호 목적물리적환경적보호분야의목적은업무에필요한제반시설과관련정보의비인가접근과손해를막고업무의방해물등을제거한다. 중요업무처리시설들은안전한지역에위치시키며, 이지역에대한접근경계를명확히하고, 적절한물리적장벽및출입통제시설을갖춘다. 정보보호는인지된위험에맞추어이루어져야하며책상정리및디스플레이관리정책을실시하여비인가자의접근의위험을줄여야한다. 내용중요시설에대해물리적보호구역을정하고접근통제절차에따라출입통제및출입기록을실시하여비인가자의출입을예방하고 CCTV설치등의물리적보안을강화해야한다. 일정시간동안자리를비울경우디스플레이매체에대한보호를위한화면보호기기능및잠금기능을설정해야하며직원들에게인지및교육시켜야한다. 화재및누수등의발생으로전원공급에이상시대비하기위한비상전력및조명에대한전압조절기및 UPS 등과같은장비가설치되어야하며환경통제정책및절차가수립되어있어야한다. 범위 - 정보시스템및시설에대한물리적접근통제 - 디스플레이매체에대한보호지침 - 비상전력및조명에대한보호지침 - 환경통제정책및절차

26 (9) 인적보안 목적인적보안분야의목적은조직구성원및정보시스템을취급하는제3 자에의한실수, 사기, 도난, 오용등으로부터초래되는위험을제거하거나최소화해야한다. 내용인적보안은어떠한사람을고용할것인지, 어느보직에고용할것인지등을결정하는것이므로직책이나업무분야에따른접근통제의기초가된다. 정보및정보시스템에접근하는사용자의신원을조회하고비밀유지서약서작성등의절차가수행되어야한다. 또한인사관리가이루어질경우에인사변동관리절차에따라문서화되어이행되어야한다. 인사를관리할경우에내부인력뿐만아니라제3 자의접근으로부터도보호하기위한정책및절차가수립되어야한다. 범위 - 정보및정보시스템접근신원관리 - 인사변동시의인사관리절차및지침 - 내 / 외부인력에대한보안요구사항지침

27 (10) 사고대응 목적사고대응분야의목적은침해사고에대한신속하고효율적인처리및피해복구를위하여침해사고대응범위, 구성체계, 역할및임무를정의한적절한대응체계를구축하고침해사고에신속하게대응할수있도록구축되어야하며문서화되어야한다. 내용침해사고가발생할경우를대비하여침해유형에대한정의및대응절차를마련하고주기적으로보안사고대응방법및절차에따라교육및모의훈련이실시되어야한다. 교육및모의훈련결과에대한효과성분석및재발방지를위한사항을통한개선이이루어져야한다. 정보시스템및서비스에대해침해사고발생여부를알수있도록보안사고모니터링을실시하며그내역은접근의심사례및사고조사시사용될수있다. 침해사고발생여부에대한판단기준부터보고하는방법까지의절차가문서화되어수행되고보고절차에따라수행되어야한다. 범위 - 침해사고대응방법및절차 - 침해사고대응교육및모의훈련 - 침해사고모니터링 - 침해사고보안사고보고절차

28 (11) 감사및책임추적성 목적감사및책임추적성분야의목적은누가무엇을, 어떤단말에서, 어떤시스템에서, 언제, 어떤객체를사용하였는지그리고그것이성공적인지실패인지에대한기록을통해사용자의행위를감시한다. 내용감사추적은어떤사건이발생하였고누가또는무엇이사건을발생시켰는지확정할수있는충분한정보를포함하여야한다. 일반적으로사건기록은언제사건이발생하였고그사건에연관된사용자 ID, 그사건을일으키는데사용된프로그램이나명령, 그리고결과를명기하여야한다. 날짜와시간은실제사용자에의한것인지사용자로가장한사람에의한것인지를결정하는데도움이된다. 보안모니터링은중요사건인지를돕기위해적합한메시지만을복사하여두번째로그기록을만드는것이나적절한시스템유틸리티나감사툴을이용하여파일검사를한다. 로그검토에대한책임을부여할때에는검토를하는사람과모니터링하는사람의역할분담이고려되어야한다. 공중망을통해전자거래수행시발생할수있는부인방지하는경우를대비하기위한계획및절차가수립되어있고방지를위한암호화및전자서명이수행되어야한다. 범위 - 감사추적지침및계획 - 감사로그관리계획및절차 - 감사기록관리 - 부인방지지침

29 (12) 시스템및통신보호 목적시스템및통신보호분야의목적은정보시스템의개발, 변경등전단계에서보안요구사항을반영하고데이터및프로그램의손실, 변경, 오용을방지함으로써업무의안전성을보장한다. 시스템이란기반구조, 업무어플리케이션, 사용자개발어플리케이션등이포함될수있다. 어플리케이션이나서비스를지원하는업무프로세스의구현과디자인은보안상중요하다. 보안요구사항들은정보시스템의개발에앞서확인하고동의한다. 내용정보시스템및응용프로그램에사용자계정과특수계정에대한계획및절차가수립되고패스워드관리절차에따라수행하여비인가자의접근을방지해야한다. 시스템의통신장비및정보보호제품에대한운영설정관리가수행되어야한다. 시스템의변경, 관리기록이문서화되어보관되어야하며비인가자의접근을통제하기위한물리적, 논리적, 네트워크및데이터베이스의정책및관리지침이수립되고관리되어야한다. 정보시스템을사용하는사용자에게해킹, 비밀번호유출등과같은위협에대해알림기능을제공하고무차별공격에대응및방지를위한대책을마련해야한다. 범위 - 사용자권한에따른계정및패스워드관리 - 정보시스템설정및운영관리 - 정보시스템의물리적, 논리적접근통제 - 침입으로부터의보호지침

30 2. 정보보호수준평가해설서의통제항목템플릿 다음 ( 그림 2) 는정보보호수준평가해설서의통제항목템플릿이고통 제항목은총 54 개로구성되어있다. ( 그림 2) 정보보호수준평가통제항목템플릿 1. 통제분야명기술 1. 통제항목명기술 목적 - 해당통제항목에서수행하고자하는목적기술 세부통제항목 - 해당통제항목에포함된세부통제항목목록 평가시주안점 - 평가자가해당통제항목에대한평가시중점을두어평가해야하는사항을제시 검토자료예시 - 검토자료에대한설명 ( 유사한증빙자료도인정 )

31 정보보호수준평가해설서의통제분야명은 12개분야에대한통제분야명을기술하고통제항목명은 54개해당통제항목명을기술한다. 통제항목별로목적, 해당세부통제항목, 평가시주안점과검토자료에대해기술한다. 89개세부통제항목에서해당통제항목에포함된목록을작성하였다. (1) 목적정보보호수준평가의 54개통제항목중해당하는통제항목들에대해평가하는목적을담고있다. 통제항목의세부항목들을공통적으로적용할수있는표준사항들을제시하고있다. (2) 평가시주안점수준평가를담당하는자에대한평가의이해를돕기위함으로매년수준평가를수행하는담당자의업무변경으로인해주관적일수있다. 점수의오차범위를줄이기위해평가자가중점으로두어야하는기준들을작성하였다. (3) 검토자료예시통제항목에대한세부통제항목들을평가할때검토자료예시목록을통해평가자의이해를돕고있다. 각조직에서사용되어지는검토자료목록이상이하므로유사한자료로대체하여검토할수있다

32 3. 정보보호수준평가해설서의세부통제항목템플릿 다음 ( 그림 3) 은정보보호수준평가해설서의세부통제항목템플릿으로 세부통제항목 89 개에대한해설서를담고있다. ( 그림 3) 정보보호수준평가세부통제항목템플릿 1.1 통제항목명기술 세부평가항목 - 세부평가항목질문기술 개요 - 세부평가항목에서평가하고자하는주요목적을설명함 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 착안사항설명 세부통제항목이수행되지않거나또는특별한계획없이수행되고있는단계 - 착안사항 1 단계에대한기술 - 1 단계에해당하는증빙자료 부분적으로세부통제항목이시행계획 ( 구체적절차및일정, 예산등 ) 이수립되어문서화되어있는단계 - 착안사항 2 단계에대한기술 - 2 단계에해당하는증빙자료 문서화된계획에따라전사적으로세부항목을시행하거나시행완료된단계 - 착안사항 3 단계에대한기술 - 3 단계에해당하는증빙자료 세부통제항목에대한성과측정이수행되고일정기간동안지속적으로시행되고검토되고있는단계 - 착안사항 4 단계에대한기술 - 4 단계에해당하는증빙자료 세부통제항목시행성과측정결과가검토되고결과에따라주기적으로개선을수행하는단계 - 착안사항 5 단계에대한기술 - 5 단계에해당하는증빙자료

33 정보보호수준평가해설서의세부통제항목템플릿은세부평가항목, 개 요, 각단계별착안사항과부가설명, 증빙자료예시로구성되어있다. (1) 세부평가항목정보보호수준평가의세부평가항목은 89개의질문으로이루어져있으며세부평가항목란에는통제항목에따른세부평가항목질문이기술되어있다. (2) 개요 세부통제항목의질문에대한이해를돕기위해설명을담고있으며세 부통제항목의수준을높이기위한사항이명시되어있다. (3) 1단계착안사항, 부가설명, 증빙자료평가단계는총 5단계로구성되어있으며 1단계에서는해당항목이수행되지않았거나특별한계획없이수행되고있는경우를말한다. 부가설명을통해 1단계에해당하는설명및사례등을바탕으로해당항목에대한설명을하고있다. (4) 2단계착안사항, 부가설명, 증빙자료 2단계는세부통제항목에대한시행계획 ( 구체적인절차, 일정, 예산등 ) 이수립되어문서화되어있는경우를말한다. 해당항목에대한계획및절차의마련을위해시행계획을수립하고문서가마련되어있거나시행계획에따라항목이부분적으로수행되는경우도 2단계에포함된다. 부가설명부분에서는해당항목이 2단계에해당할경우에대한설명및사례등을설명하고있다. (5) 3 단계착안사항, 부가설명, 증빙자료 3 단계는문서화된계획에따라전사적으로세부항목을시행하거나시 행완료된단계를말한다. 2 단계의내용을포함하고그내용에따라전

34 사적으로수행되고있는경우를말한다. 증빙자료예시부분은 2 단계의증빙자료를포함하고자료를통해수행내 역이확인될수있는자료가예시되어있다. (6) 4단계착안사항, 부가설명, 증빙자료 4단계의착안사항은세부통제항목에대한성과측정이수행되고일정기간동안지속적으로시행되고검토되고있는단계이다. 3단계까지수행된내역이일정기간 ( 최근 3년 ) 동안수행되고그내역이검토되고있는경우를말한다. 증빙자료예시는 3단계까지의증빙자료와해당항목이수행된내역에따라검토되고있는지를확인할수있는자료이다. (7) 5단계착안사항, 부가설명, 증빙자료 5단계의착안사항은세부통제항목시행성과측정결과검토되고결과에따라주기적으로개선을수행하는단계를말한다. 4단계까지검토된내역에따라주기적으로시행계획및계획에따른절차나정책의변경등의개선이이루어진다. 증빙자료예시는 4단계까지검토된내역과절차나정책이개선이확인되는내역을말한다

35 제 4 절정보보호수준평가시권고사항 1. 평가자의자격요건 주요정보통신기반시설의정보보호수준을평가할경우평가자의자격요 건을고려해야한다. 본평가를실시하는평가자의객관성과실무경력에 따라통제분야및통제항목에대한이해도가달라진다. 평가자의자격요건은다음과같다. - 학력은대졸또는동등학력이상 - 실무경력이 5년이상 - 해당분야실무경력 2년이상 - 해당분야의자격증 1개이상보유 - 정보보호수준평가방법론교육수료 2. 권고사항 정보보호수준평가를실시하는평가자가변경되는경우를대비한대책이마련되어있어야한다. 만약대책이없을경우에는평가자에따라평가기준이변동되어정보보호수준평가결과가달라진다. 이에따라평가자가변경이일어날경우평가에대한신뢰성을위한평가된기준및평가한이유에대한문서화등의대책이마련되어있어야한다

36 제 2 장정보보호수준평가방법론해설서 1. 정보보호정책 1.1 정보보호조직 목적 조직의보안목표를달성하기위해정보보호활동을계획, 관리하기위한정보보호조직이구성되어있는지를평가한다. 세부통제항목 정보보호조직구성에대한사항이정보보호정책에명시되어있는가? 정보보호조직은적합한정보보호정책을계획, 승인, 감독할수있는조직체계를갖추고있는가? 평가시주안점 정보보호조직내구성원들은정보보호에관한지식과경험이있는특정인으로구성되어있는가? 내부전문가가없을경우외부전문가를활용하고있는가? 정보보호관리활동을수행하고검증하는인력들에대한책임, 역할및상호관계를명확히규정하여모든직원이이를숙지하고있는가? 검토자료예시 정보보호조직도 정보보호관리자인사명령서 정보보호관리자직무기술서 정보보호조직 ( 위원회 ) 운영규정및회의록 정보보호사업계획서 정보보호사업추진보고서 감사보고서

37 1.1 정보보호조직 세부평가항목 개요 조직의보안목표를달성하기위해정책을수립하고계획하는정보보호조직이수립되어있는가? 정보보호조직이란정보화조직내부에편성할수도있고, 별도의조직으로구성할수도있다. 정보보호조직은직제에반영되고명시된역할이있어야하며, 상설조직으로운영되어야한다. 착안사항설명 1 단계정보보호조직구성계획및절차가수립되어있지않은단계 부가설명 - 인사부서에서관리하는조직도상에정보보호조직이별도로구성되어있지않다. - 다른업무와병행하여정보보호업무를비상시적으로수행되고있다. 증빙자료예시별도증빙자료없음 2 단계 부가설명 증빙자료예시 정보보호조직구성을위해부분적으로시행계획 ( 일정, 예산, 절차등 ) 이문서화되어있는단계 - 연단위또는중장기정보보호계획서를통해정보보호담당조직과지원조직에대한구분과역할및책임에대한정의가되어있다. - 정보보호조직의업무수행을위한과제, 일정, 예산등조직운영을위한계획이수립되어있다. - 정보보호전담조직이구성되어있지않으나필요시정보보호조직을구성하기위한내용이정보보호정책에포함되어있다. - 정보보호전담조직은없으나필요시외부전문가로구성된정보보호조직이있다. 전사조직도 ( 정보보호조직명기 ), 정보보호조직직무기술서, 정보보호전담조직운영계획서또는정보보호사업계획서

38 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 문서화된시행계획에의해전사적정보보호조직이세부적으로구성되어운영되는단계 - 경영층의승인및인사명령을통해정보보호담당조직이구성되고정보보호조직의목표, 과제및사업계획이수립되어있다. - 정보보호조직의업무수행을위한예산이확보되어있다. - 정보보호전담조직에대한정책이수립되어있다. 정보보호담당조직인사명령공문, 정보보호사업계획서 ( 경영층승인필 ), 정보보호예산편성안 ( 경영층승인필 ) 정보보호조직이문서화된시행계획에의거업무를수행하고있으며, 수행내역이체계적으로관리되어지고있는단계 - 정보보호사업계획에따라정보보호조직의연간 / 반기 / 분기 / 월별업무가수행되고정보보호조직의활동에대한주기적인보고와검토가이루어지고있다. - 정보보호위원회등경영층이주관하는회의를통해정보보호조직의업무추진결과에대한승인이이루어지고있다. 정보보호사업계획서 ( 경영층승인필, 목표측정지표명시 ), 정보보호업무추진실적보고서 ( 정기, 비정기 ), 정보보호위원회회의록정보보호조직이지속적으로운영되어지고있으며, 결과에대한분석이업무에반영되는단계 - 정보보호조직의업무성과에대한평가를위험수준등정량화된지표 (KPI 및 ROI) 로서관리하고감사또는평가를통해정보보호업무성과에대한검토가주기적으로이루지고있다. - 미흡한사항에대한지적및개선을실시하고정보보호조직의성과에대한검토결과를고려하여차기년도사업계획에정보보호조직발전방안을제시한다. 4단계까지의증빙자료포함, 2개년간의정보보호사업계획서, 정보보호위원회회의록 ( 정보보호조직성과검토부분 ), 감사보고서 ( 정보보호조직대상 )

39 1.2 정보보호계획 목적 정보보호정책이조직의목표와일관성있게수립되어야하고, 정보자산, 인력, 정보통신망의신뢰성을높이기위한목적으로수립되어이행되고있는지를평가한다. 세부통제항목 정보보호계획을수립하기위한시행계획이마련되어있는가? 시행계획에의거한정보보호계획이매년수립되고있는가? 평가시주안점 정보보호계획이이최고경영자의승인을받아수립되고있는가? 수립된정보보호계획에조직의정보보호목표, 적용범위, 요구사항, 역할및책임등의내용을포함하고있는가? 정보보호계획에명시된목표달성계획대비실행결과가주기적으로보고되고있는가? 매년정보보호계획이개선되고있는가? 검토자료예시 년간정보보호계획서 정보보호사업계획서 매년수행된과제보고서와예산편성내역

40 1.2 정보보호계획 세부평가항목 정보보호계획이매년수립되고이행되는가? 개요 조직의정보보호정책서에매년정보보호계획수립에대한내용이있고, 그에따른계획수립및중장기계획 ( 마스터플랜 ) 이수립되어당해연도세부계획이수립되는지를점검한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보보호계획이수립되어있지않거나구체적, 체계적인계획없이보호계획만을수립하고있는단계 - 정보보호를위한계획이수립되어있지않았거나정보침해사고발생, 경영층의지시등필요에따라비체계적으로정보보호활동이수행되고있다. 별도증빙자료없음정보보호계획수립을위한시행계획 ( 우선순위, 책임, 예산, 역할및일정등 ) 이부분적으로문서화되어있는단계 - 정보보호계획이수립을위한시행계획이구체화되어있다. 정보보호계획수립을위한시행계획예 정보보호계획에포함될사항 정보보호계획을위한예산편성 정보보호계획수립을위한담당조직구성원 정보보호계획수립을위한일정정보보호계획수립을위한시행계획서또는관련공문

41 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 전사적으로문서화된시행계획에의거하여정보시스템및조직전반에걸친위협을고려한정보보호계획이수립및이행되는단계 - 정보보호사업계획수립을위한전단계로서정보시스템및조직전반에대한취약점분석을실시하고현재의위험수준을평가하는위험평가를수행한다. - 위험평가의결과에따라정보시스템및조직전반의위험수준을낮추기위한중장기및연간정보보호사업계획을수립하고정보보호계획의우선순위와필요예산을고려한정보보호계획을매년수립하고있다. 정보보호사업계획서 ( 중장기, 연간 ), 위험평가보고서 ( 연간, 위험수준감소를위한과제제시 ) 매년수립된정보보호계획에대한산출물이검토되고계획대비실행달성도를검토하는단계 - 정보보호사업계획에는구체적으로명시된과제별성과측정지표가포함되어있다. - 명시된과제의실행결과를산출물로서관리한다. - 정보보호계획수립담당자또는과제별담당자가계획대비실행결과를주기적으로보고하고있다. 정보보호사업계획서 ( 중장기, 연간, 성과측정지표포함 ), 정보보호과제별산출물, 과제별실행결과보고서 ( 정보보호위원회보고 ) 정보보호계획에따른이행결과달성도를검토하고주기적으로보호대책개선을위한피드백이이루어지는단계 - 정보보호사업계획대비성과에대한정량적 / 정성적평가를실시하고평가결과가미흡한사항에대해서는차기년도정보보호계획수립에반영하고있다. 증빙자료예시 4 단계까지의증빙자료포함, 2 년간의정보보호사업계획서

42 2. 위험평가 2.1 자산분류 목적 정보및정보시스템, 보유자산에대한분류기준수립과동기준에의해분류된자산의취급정의및관리, 새로운자산확보를위한예산편성계획등이일정한절차에의해이루어지는지를평가한다. 세부통제항목 평가시주안점 정보보호관리체계범위에따라조직의주요정보자산현황을파악하고자산을분류하는기준이있는가? 분류된자산에따라중요도를부여하여중요도별적절한관리를수행하고있는가? 검토자료예시 자산목록 자산별담당자목록 자산취급절차 자산분류지침

43 2.1 자산분류 세부평가항목 개요 주요보유자산 ( 인력, 시설, 장비등 ) 이자산분류기준에의해분류되고있는가? 주요정보통신기반시설및이와관련된인력, 시설, 장비, 정보 ( 데이터, 문서등 ) 등에대해중요도등급분류기준이마련되고목록화되어관리되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 주요보유자산 ( 인력, 시설, 장비등 ) 의분류기준과자산분류절차가마련되어있지않아담당자가임의적으로분류하는단계 - 주요자산을식별하기위한분류기준및절차가마련되어있지않거나자산목록에대해담당자가임의적으로분류하고있다. 별도증빙자료없음주요보유자산 ( 인력, 시설, 장비등 ) 중부분적으로만자산분류기준과절차에대한시행계획이문서화되어있는단계 - 자산분류기준이수립되어있으나부분적인자산에대해서만분류되어있다. - 부분적으로분류된자산에대해담당자가명확하게구분되어있지않다. 정보자산분류지침및절차서, 자산분류계획서 ( 위험분석계증빙자료예시획서내의자산분류계획도유효함 ) 3 단계 부가설명 기업내모든보유자산 ( 인력, 시설, 장비등 ) 에대해자산분류기준에따라분류되어있으며담당자가지정되어있는단계 - 조직의모든자산이자산분류기준에따라분류되어있으며담당자가명시되어있다. 정보자산분류지침및절차서, 자산분류평가서 ( 위험분석보증빙자료예시고서내의자산분류결과도유효함 )

44 4 단계 부가설명 주요보유자산 ( 인력, 시설, 장비등 ) 의분류가정기적으로수행되어자산변동시일정기간동안의자산내역이확인되고검토되어지는단계 - 자산의중요도변동및폐기되어야하는자산에대해정기적 / 비정기적으로자산분류가수행된다. - 일정기간동안의자산내역이문서화되어확인할수있다. ( 자산별담당자와자산별중요등급등 ) 정보자산분류지침및절차서, 자산분류평가서 ( 위험분석보고증빙자료예시서내의자산분류결과도유효하며, 2회차이상의분류결과가확보되어자산변동내역을파악할수있어야함 ) 5 단계 부가설명 주요보유자산 ( 인력, 시설, 장비등 ) 의분류가정기적으로수행되어자산변동시주기적으로자산분류내역이검토결과에따라개선이이루어지는단계 - 자산변경 ( 자산폐기, 도입, 중요도변도 ), 자산에대한관리자변경이일어날경우에자산분류내역이변경되고있다. - 자산분류기준이주기적으로검토되어개선되고있다. 정보자산분류지침및절차서 ( 자산분류방안의주기적개선 항목포함 ), 자산분류평가서 ( 위험분석보고서내의자산분류증빙자료예시결과도유효하며, 2년차이상의분류결과가확보되어자산변동내역을파악할수있어야함 )

45 2.1 자산분류 세부평가항목 개요 분류된자산별취급절차에대해정의하고이에따라정보및정보시스템이관리 ( 생성, 저장, 이용, 보관, 파기 ) 되고있는가? 분류된자산에대한중요도등급이부여되고이에대한등급별취급절차가정의되어정보및정보시스템의보안관리가효율적으로수행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 자산분류와취급정의및관리등이수립되어있지않거나자산에대한취급절차없이관리되고있는단계 - 자산에대해자산분류, 취급정의, 관리가이루어지지않는다. - 별도의자산별취급절차없이자산이관리되고있다. 별도증빙자료없음 자산분류기준에따라분류된자산에대해자산별취급정의및관리를위한시행계획이문서화되어있는단계 - 일반적으로자산별취급정의및관리를위한별도의계획을수립하지는않으나, 정보보호계획안에자산별취급정의및관리를위한업무가포함되어반영되어있다. 정보보호계획서 인력, 시설, 장비별로자산이분류되고등급별취급절차가정의되어있으며, 절차에따라이행하고있는단계 - 자산분류기준에의해자산이분류되어등급별취급절차가정의되어있다. - 중요도별등급은비밀 / 기밀 / 개인 / 비분류등으로나눌수있고시스템에서산출된정보도보안등급이주어져야한다. 정보자산중요도별취급절차 ( 정보자산분류지침또는위험분석보고서내에포함가능 )

46 4 단계부가설명증빙자료예시 5 단계부가설명 분류기준과자산의취급절차에따라서자산이관리된일정기간 ( 최근 3년 ) 내역이검토되는단계 - 일정기간동안의자산분류내역, 취급내역등에대해문서화되어있다. - 자산별담당자의소유자, 관리자, 책임자에대한명시가되어있다. - 최근 3년동안전사적자산에대해분류기준과자산취급절차수행내역이검토된다. 3개년간정보자산분류평가서또는위험분석보고서 ( 정보자산소유자, 관리자, 책임자명시및취급내역정의 ) 분류된자산내역및취급절차에대한평가가수행되어지속적으로관리내역을검토하고주기적으로개선되는단계 - 자산취급시개선사항이있을경우절차및중요도분류가개선되고있다. - 자산내역이지속적으로검토되고개선된다. 3개년간정보자산분류평가서또는위험분석보고서 ( 정보자산증빙자료예시소유자, 관리자, 책임자명시및취급내역정의, 개정및개선사항명시 ), 정보자산분류지침 ( 자산취급절차의개선 항목포함 )

47 2.2 자원할당 목적 자원할당및예산확보가적절하게이루어지는지를평가한다. 세부통제항목 자원에대한책임및할당, 역할등에대해명시한규정또는관련문서가존재하는가? 평가시주안점 정보시스템자원에대한예산을확보하기위한지표가수립되고예산편성을위한위원회가존재하는가? 중장기계획에정보시스템투자계획이포함되고이를바탕으로한예산이집행되는가? 검토자료예시 자산분류지침 자산목록관리대장

48 2.2 자원할당 세부평가항목 자원에대한책임및할당, 역할등에대해명시한규정또는관련문서가존재하는가? 개요 자원에대한관리의주체, 책임과역할등을규정하고이에대한사항을관련문서에기록하여원활하며명확한관리가이루어질수있도록한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 자원에대한책임및할당, 역할등이규정또는관련문서에기록되지않거나계획및절차없이자원이관리되고있는단계 - 주요자원을관리하기위한담당자가지정이되어있지않다. - 주요자원에대한담당자가지정이되어있지만책임및할당, 역할등이규정또는관련문서에기록되지않거나계획및절차없이자원이관리되고있다. 별도증빙자료없음자원에대해서만책임및할당, 역할등을규정하기위한계획이문서화되어있는단계 - 부분적자원에대한책임있는관리를위해자산의책임소재를부여하는관련계획이수립되어문서화되어있다. - 자원관리에대한사항이정보보호계획수립안에포함될수도있으며자원관리규정이나지침과같은문서로존재할수있다. 정보보호계획서 ( 인력및예산등자원의할당에대한내용명증빙자료예시시 )

49 3 단계 전사적자원에대한목록의유지 ( 설정 ) 관리및책임권한등을명시한내역과규정이문서화되어있으며, 그규정에따라자원관리대장과같은문서가존재하는단계 - 전사적자원목록에대한유지 ( 설정 ) 관리및책임권한등이명시된내역과규정이문서화되어있다. 자원관리대장 ( 규정 / 지침 ) 의예 자원의특성 ( 자원을취급하는용도, 목적 ) 정의부가설명 자원별담당자 ( 정 / 부 ) 지정 자원별책임할당및역할명시 - 일반적으로별도의자원관리대장을구비하지는않으며정보보호활동을위한인적자원및예산의할당이명시된정보보호계획서를통해자원관리가이루어진다. 자원관리대장 ( 규정 / 지침 ) 또는정보보호계획서 ( 인력및예산등자원의할당에대한내용명시 ) 증빙자료예시정보보호담당인력자원에대한인사명령서정보보호담당인력자원에대한직무기술서 4 단계 부가설명 증빙자료예시 자원의변경사항발생시이에대한책임, 할당및역할등이최근 3년간주기적으로관련문서에반영되어검토되는단계 - 자원의변경사항 ( 교체, 제거, 투입 ) 이발생할경우책임, 할당및역할등에대한내역이최근 3년간주기적으로관련문서에반영되고있다. - 자원관리대장에변경사항이기록되어야하며, 변경된자원에대한관리자에대한역할도변경되어야한다. 최근 3년간자원관리대장또는정보보호계획서정보보호담당인력자원에대한인사명령서정보보호담당인력자원에대한직무기술서정보보호규정 / 지침 ( 정보보호자원의역할및책임명시 )

50 5 단계 자원에대한책임및할당, 역할등이적절한가에대해주기적으로검토하고개선하며이에대해문서에반영하는단계 부가설명 - 관리자에의해자원관리규정에따라자원관리가적합하게이루어지는지를주기적으로검토되고있는단계 - 자원관리시미흡한부분에대해검토및개선하고차기자원관리지침 / 규정개정시반영하는단계 최근 3년간자원관리대장 ( 자원관리검토결과포함 ) 또는정보보호계획서증빙자료예시정보보호담당인력자원에대한인사명령서정보보호담당인력자원에대한직무기술서정보보호규정 / 지침 ( 정보보호자원의역할및책임명시 )

51 2.2 자원할당 세부평가항목 개요 정보시스템자원에대한예산을확보하기위한투자재검토위원회 ( 가칭 ) 가존재하고투자를결정하기위한정량화된지표가수립되어있는가? 정보시스템자원에대한예산이효과적으로확보되기위해서는이에대한투자효과분석과이를측정할수있는지표가수립되어야하며이를평가하는위원회가존재해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템의예산확보및투자결정을위한위원회가존재하지않거나필요시임시위원회가구성되는단계 - 년간정보보호계획수립시정보시스템자원에대한예산이계획되어있지않다. - 정보시스템의예산확보및투자결정을위한위원회가존재하지않고필요에따라임시위원회를구성하고있다. 별도증빙자료없음예산확보및투자결정을위한위원회가비상시적으로존재하고정량화된투자를결정하기위한지표가부분적으로문서화되어있는단계 - 년간정보보호계획또는중장기계획에예산확보및투자계획이포함되어있다. - 조직내비상시조직으로정보시스템자원에대한예산확보및투자결정을위한위원회가존재한다. - 위원회는예산확보및투자결정을위해효과분석등이사전조사를통해정량화된투자를결정하기위한지표를수립하고있다. - 일반적으로투자재검토위원회를구성하지는않으며정보보호위원회를통해투자에대한검토및계획의확정이이루어진다. 투자재검토위원회 ( 가칭 ) 회의록또는예산및투자계획협의결과가포함된정보보호위원회회의록중장기정보보호마스터플랜 ( 예산및투자계획포함 )

52 3 단계 부가설명 예산확보및투자결정을위한정량화된전사적지표가정보시스템의특성 ( 서버, 네트워크, 어플리케이션, PC 등각특성에맞는지표수립 ) 에따라세분화되어있는단계 - 예산확보및투자결정을위한정량화된지표가정보시스템별로세분화되어있다. - 정량화된지표는정보시스템이업무에미치는영향정도와투자대비효과분석을통해지표를결정하고있다. 투자재검토위원회 ( 가칭 ) 회의록또는예산및투자계획협의결과가포함된정보보호위원회회의록, 정보보호투자효과분증빙자료예시석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 4 단계 부가설명 예산확보및투자대비성과가관리되고일정기간 ( 최근 3년 ) 의내역이확인되고검토되어지는단계 - 최근 3년간의정보시스템자원에대한예산확보및투자현황이문서화되어예산확보및투자대비성과검토내역이확인된다. 최근 3년간예산및투자현황관련문서, 3개년간예산및투자계획협의결과가포함된정보보호위원회회의록, 3개년간증빙자료예시정보보호투자효과분석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 5 단계 부가설명 예산확보및투자대비성과에따른검토가이루어지고업무에대한반영과개선이수행되는단계 - 정보시스템별투자대비성과정도를분석하는정기적인검토가수행되고있다. - 검토후에결과를반영하여다음예산확보및투자시반영하고있다. 최근 3년간예산및투자현황관련문서, 3개년간예산및투자계획협의결과가포함된정보보호위원회회의록, 3개년간증빙자료예시정보보호투자효과분석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 )

53 2.2 자원할당 세부평가항목 개요 중장기계획에정보시스템투자계획이포함되고이를바탕으로한예산이집행되는가? 정보통신기반보호시설을안정적으로유지 / 운영하기위해서는조직의중장기계획에포함되어야하며이를통해집행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 중장기계획에정보시스템투자계획이수립되어있지않으나필요할경우에예산집행이수행되는단계 - 중장기계획에정보시스템에대한투자계획이없다. - 필요시에따라정보시스템예산을집행한다. 별도증빙자료없음정보시스템투자계획이구체적으로문서화 ( 예산집행절차및계획 ) 가되어있는단계 - 중장기계획에정보시스템투자를위한예산집행절차및계획이마련되어문서화되어있다. 예산집행절차및계획문서의예 정보시스템의내역 정보시스템도입, 업그레이드, 교체등의변경내역 정보시스템의도입시정량화된예산지표중장기계획서, 예산집행절차및계획에관한문서중장기계획에정보시스템투자계획이수립되어있고, 동지침에따라예산집행이이루어지는단계 - 정보시스템투자계획이중장기계획에포함되어있다. - 예산내용에는투자계획에따라정보시스템도입, 업그레이드, 교체에대한예산을집행한다. 정보시스템관련예산집행내역

54 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템투자계획에따라일정기간 ( 최근 3년 ) 의예산집행내역이확인되고지속적으로중장기계획에투자계획이포함되는단계 - 정보시스템투자계획에따라일정기간 ( 최근 3년 ) 동안예산집행내역이확인되고검토가이루어진다. - 정보통신기반시설의안정적운영을목표로한지속적인중장기계획에투자계획이포함되고있다. 일정기간 ( 최근 3년간 ) 중장기계획검토내역정보시스템자원에대한예산집행내역에대해검토한결과를근거로주기적으로예산집행에반영되는단계 - 정기적으로정보시스템투자계획에따라대한예산집행내역을검토하여투자대비효과성이많은지를검토한다. - 검토결과를근거로주기적으로예산집행절차에반영하여개선한다. 정보시스템예산집행절차개선내역

55 2.3 보안요구사항검토 목적 시스템및서비스도입시최소보안요구사항수준검토가수행되는지를평가한다. 세부통제항목 정보시스템및서비스도입시계획및절차가문서화되어수행되고있는가? 평가시주안점 정보시스템및서비스를도입할경우최소보안요구사항수준이검토되고있는가? 정보시스템및서비스에대한취약성검토가수행되고있는가? 검토자료예시 시스템및서비스도입절차관련문서 시스템및서비스도입시결제내역

56 2.3 보안요구사항검토 세부평가항목 시스템및서비스도입시보안요구사항및취약성검토를수행하고있는가? 개요 시스템및서비스도입시에보안성검토를수행함으로써사전에취약점을제거하고발생될문제점을개선할수있도록한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 시스템및서비스도입시보안요구사항및취약성검토를수행하지않고계획또는절차없이수행되는단계 - 정보시스템및서비스를도입시보안요구사항및취약성을검토없이시스템및서비스를도입하고있다. 별도증빙자료없음 시스템및서비스도입시보안요구사항및취약성검토를위한절차등의계획 ( 문서화 ) 이마련되어있는단계 - 정보시스템및서비스를도입시보안요구사항검토및취약성점검계획이마련되어있다. - 보안요구사항및취약성점검계획은일정, 점검대상, 점검항목등의사항을포함하고있다. - 시스템및서비스의일부에대해서만보안요구사항및취약성검토를위한계획이마련되어있다. 정보보호규정 / 지침 ( 정보시스템도입시보안요구사항검토절증빙자료예시차포함 ), 보안요구사항및취약성점검계획서 ( 보안요구항목포함 )

57 3 단계 시스템및서비스도입시보안요구사항및취약성검토절차가수립되어수행하고있는단계 - 구체적인보안요구사항및취약성점검절차가수립되어정보보호조직에의해수행되고있다. 보안요구사항포함내용 시스템에대한법규, 정책, 합법적표준과지침, 기능적부가설명필요성, 비용이익의절충등을활용하여작성한다. - 전사적인시스템및서비스의특성에대해점검이수행되고있으며, 그결과가보고되고있다. - 일반적으로보안요구사항점검은보안성심의절차로서수립하여시행한다. 정보보호규정 / 지침 ( 정보시스템도입시보안요구사항검토절차포함 ) 증빙자료예시보안요구사항및취약성점검계획서 ( 보안요구항목포함 ) 보안요구사항점검결과보고서또는취약성점검결과보고서또는보안성심의결과보고서시스템및서비스도입시보안요구사항및취약성검토결과 4 단계가일정기간 ( 최근 3년 ) 확인가능한단계 - 일정기간 ( 최근 3년 ) 동안의보안요구사항및취약성검토결과가문서화되어있다. 부가설명 - 다른방법 ( 도입된정보시스템의시스템설명서또는도입된서비스로인해나타난업무의효율성을보여주는문서 ) 으로확인이가능하다. 3개년간보안요구사항점검결과보고서또는취약성점검결증빙자료예시과보고서 5 단계 시스템및서비스도입시보안요구사항및취약점검토결과를분석하고주기적으로반영하고있는단계 - 정보시스템및서비스도입후추가적으로필요한기능업그레이드시또한새로운위협에대응하기위해주기적으로취부가설명약점을검토한다. - 차후시스템도입시반영하여시스템및서비스보안요구사항및취약성검토절차가개선된다. 3개년간보안요구사항점검결과보고서또는취약성점검결과증빙자료예시보고서, 3개년간보안성심의결과보고서또는취약점조치결과보고서

58 2.4 위험평가 목적 조직의안정적인운영과자산을보호하기위해취약성, 위협및보안통제를고려한위험평가가수행되고있는가를평가한다. 세부통제항목 위험평가계획및절차가문서화되고이에따라수행되고있는가? 평가시주안점 정보시스템및시설등의변경사항발생시위험평가가재수행되고있는가? 위험평가를통해취약성들이완화되고있는가? 보호대책과잔류위험에대한최고책임자 (CSO) 의승인이이루어지는가? 검토자료예시 위험평가수행절차서 위험평가수행결과보고서 취약성분석보고서

59 2.4 위험평가 세부평가항목 개요 시스템및시설, 내 외부인력에대한위험평가계획이수립되고변경사항발생시위험평가정책을기반으로한위험평가가재수행되는가? 효과적인보안대책을적용하기위해서는시스템및시설, 내 외부인력에대한위험평가를기반으로보호수준을결정하고이에따라적절한보안이마련되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 위험평가계획수립및재수행이이루어지지않거나계획또는절차없이이행하고있는단계 - 정보시스템및시설, 내 외부인력에대한위험평가계획수립및재수행이이루어지지않거나계획또는절차없이이행되고있다. 별도증빙자료없음위험평가계획수립및재수행시행절차가부분적으로문서화되어있는단계 - 정보보호계획에위험평가계획이포함되어있거나, 위험평가재수행을위한시행절차가문서화되어있다. - 위험평가계획에는위험평가일정, 방법, 투입인력, 예산등이구체적으로포함되어있다. - 위험평가계획수림및재수행이특정부분에대해서이루어지고있다. 위험평가수행절차서, 위험평가수행계획서

60 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 위험평가계획이수립되어자산의변경사항발생시위험평가정책을기반으로한위험평가가전사적으로재수행되는단계 - 자산의변경사항 ( 이동, 폐기, 수정등 ) 발생시위험평가계획 ( 문서화된정책 ) 을기반으로한위험평가가정보보호조직에의해재수행되고있다. - 위험평가를위해자체전담조직이수행할수도있고제3자에의해위험평가가수행된다. 위험평가수행결과보고서 위험평가계획이수립되어최근 3년간자산의변경사항발생시위험평가정책을기반으로한위험평가가즉시재수행되고그내역이검토되는단계 - 최근 3년간의위험평가계획에따른위험평가결과가보관되고검토되고있다. 3 개년간위험평가수행결과보고서 위험평가계획및재수행내역에대해주기적으로검토 반영한후위험평가계획이개선되는단계 - 위험평가계획및절차에대한주기적인재검토가이루어지고있다. - 매년위험평가결과를분석하여차기위험평가계획시반영하고있다. 3개년간위험평가수행결과보고서위험평가수행절차서 ( 위험평가절차의개선 항목포함 )

61 2.4 위험평가 세부평가항목 개요 위험분석을통해나타난취약성들을완화시키고보호계획수립을위한보안요구사항들의평가와대책이마련되어있는가? 위험분석을통해나타난취약성들에대해서는적절한대책 ( 감수, 제거, 완화 ) 이수립되어야하며이러한대책이적용되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계 위험분석후보안요구사항평가및대책이마련되어있지않거나계획과절차없이이행되는단계 - 위험분석을통해나타난취약성들을완화시키고보호계획을수립하기위한보안요구사항평가및대책이마련되어있지않거나계획과절차없이이행된다. 별도증빙자료없음위험분석후보안요구사항평가및대책에대한시행계획이문서화되어있는단계 부가설명 - 보호계획수립을위한시행계획이문서화되어있다. - 위험분석을통해나타난취약성들중부분적으로만보호계획을수립하고있다. 증빙자료예시 위험분석보고서보안요구사항평가및대책시행계획서

62 3 단계부가설명증빙자료예시 4 단계부가설명 위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 전사적평가가이루어지고대책이마련되어있는단계 - 위험분석을통해나타난취약성을완화시키기위한보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어있다. - 보호계획안에잠재적손실을예상하고감수할위험에대한정의가이루어져야한다.( 잠재적손실은최고경영자 (CSO) 의승인이있어야함.) - 위험제거, 완화를위한대책이구체적으로마련되어있어야한다. 취약성목록, 정보보호대책운영기록최근 3년간위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어검토되는단계 - 최근 3년동안위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어검토된다. - 대책에따른위험완화정도를파악할수있어야한다. 증빙자료예시정보보호대책운영기록 (3 년동안 ) 5 단계 부가설명 증빙자료예시 위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가 반영 검토되고주기적으로갱신하는단계 - 위험분석후대책에따라정보보호가수행되고대책에대해결과검토및차후대책수립시반영되는단계이다. 보안요구사항평가및대책개선내역

63 2.4 위험평가 세부평가항목 개요 위험분석을통해보호대책과잔류위험이문서화되고이에대한최고책임자 (CSO) 의승인절차가이루어지는가? 위험분석을통해도출된위험에대한대책은최고책임자의승인을통해검토되고이행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 위험분석을통한보호대책수립과잔류위험에대한최고책임자 (CSO) 의승인이없는단계 - 정보시스템및시설, 내 외부인력등의위험분석이이루어지고있으나이를통한대책및잔류위험에대해문서화되어있지않다. - 보호대책과잔류위험에대한최고책임자 (CSO) 의승인절차없이보호대책을수립하고있다. 별도증빙자료없음보호대책과잔류위험을문서화하기위한계획이수립되어있으며, 최고책임자 (CSO) 의승인을위한절차가문서화되어있는단계 - 보호대책과잔류위험에대한문서화계획이수립되어있다. 문서의포함될내용 위험별보호대책내용 잔류위험내역 예상되는손실 - 최고책임자 (CSO) 의승인절차가문서화되어있다. 보호대책과잔류위험의승인절차및계획서

64 3 단계 부가설명 증빙자료예시 최고책임자 (CSO) 의전사적승인절차에따라승인이이루어지는단계 - 문서화된승인절차에따라최고책임자 (CSO) 의승인이이루어지고있다. - 최고책임자는승인절차에따라승인하고그결과에대해책임이부여된다. 승인절차수행이확인되는문서 4 단계 최근 3년간보호대책과잔류위험에대한최고책임자 (CSO) 의승인내역이절차에따라이행되었는지를검토하는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 위험분석을통한보호대책과잔류위험승인내역이최근 3년동안확인된다. - 최고책임자 (CSO) 의승인내역을주기적으로검토하고있어검토내역을확인할수있다. 최근 3년동안의승인내역, 승인검토내역승인내역에대한주기적인점검을통해절차가보완되고개선되는단계 - 정보보호대책과잔류위험에대한최고경영자 (CSO) 의승인내역에대해주기적으로점검이이루어지고그절차가보완및개선되고있다. 승인내역이개선된내역

65 2.4 위험평가 세부평가항목 정보자산및개인정보침해영향평가가이루어지는가? 개요 인력, 정보등에대한자산및개인정보를침해하는위험으로부터정보자산및개인정보를보호하기위한침해영향평가가이루어져야한다.( 개인정보보호차원 ) 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 정보자산및개인정보에대한침해영향평가가이행되지않거나계획및절차없이이행되는단계 - 정보자산및개인정보에대한분류및책임할당등이수행되고있으나침해에대한영향평가는이루어지고있지않다. - 조직의정보자산및개인정보에대해계획및절차없이침해영향평가가이행된다. 별도증빙자료없음 정보자산및개인정보에대한침해영향평가시행계획이문서화되어있는단계 - 개인정보보호차원에대한침해시영향평가시행계획및절차가문서화되어있다. 침해영향평가문서의예 침해시에대한영향평가절차 영향평가지표 - 부분적으로침해영향평가시행계획이문서화되어있다. 침해영향평가문서, 영향평가지표 정보자산및개인정보에대한잠재적손실에따른영향평가가수행되는단계 - 조직의정보자산및개인정보에대한잠재적손실 ( 개인정보도용, 정보자산유출등 ) 에따른영향평가가수행된다. 영향평가수행내역

66 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근 3년간조직의모든정보자산의영향평가결과물이검토되는단계 - 침해영향평가를통해개인정보의손실정도, 정보자산의유출정도를파악한결과물이문서화된다. - 최근 3년간침해영향평가내역이확인되고검토된내역을볼수있다. 최근 3년간침해영향평가내역, 침해영향평가검토내역조직의모든정보자산의영향분석결과에대해검토후영향분석방법및내용이주기적으로개선되고있는단계 - 조직의모든정보자산및개인정보에대한영향분석결과에대해검토후영향분석계획및절차가주기적으로개선되고있다. 침해영향평가계획및절차개선내역

67 2.5 취약성진단 목적 적절한취약성진단도구및기법을사용하여시스템에영향을미치는취약성을식별하고주기적으로진단한후위험분석에반영하고있는지를평가한다. 세부통제항목 위험분석결과를반영하여취약성진단도구및기법을적용하고있는가? 취약성진단에대한결과가문서화되어있는가? 평가시주안점 주요시스템에대한취약성진단이주기적으로이행되고있는가? 취약성진단결과가위험분석에반영되고적절한보호대책을수립하고있는가? 검토자료예시 취약점분석및평가결과보고서 모의해킹결과보고서

68 2.5 취약성진단 세부평가항목 모든시스템및업무서비스들 ( 기술적, 관리적, 물리적측면 ) 에대한모의해킹및취약성진단이수행되는가? 개요 모든시스템및업무서비스들 ( 기술적, 관리적, 물리적측면 ) 을대상으로모의해킹및취약성진단을실시하여보안성과안전성을확보하기위한위험분석에반영되어야함. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 모의해킹및취약성진단이수행되지않거나계획및절차없이수행되고있는단계 - 모든시스템및업무서비스들에대해모의해킹및취약성진단을하지않는다. - 모든시스템및업무서비스들 ( 기술적, 관리적, 물리적측면 ) 에대한계획및절차없이모의해킹및취약성진단이수행되고있다. - 모의해킹및취약성진단은실시되지만계획및절차가마련되어있지않다. 별도증빙자료없음모의해킹및취약성진단방법, 일정, 대상등의구체적인시행계획이부분적으로문서화되어있는단계 - 모든시스템및업무서비스들을대상으로한모의해킹및취약성진단계획이수립되어문서화되어있다. 모의해킹및취약성진단계획문서의예 모의해킹및취약성진단절차 시행방법, 일정, 대상모의해킹및취약성평가에대한계획서

69 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 모든시스템및업무서비스에대한모의해킹및취약성진단을전사적으로수행하고있는단계 - 모든시스템및업무서비스을대상으로자사의특성을고려하여모의해킹및취약성진단을전사적으로수행하고있다. - 모의해킹방법과결과가문서화되어보고되고있다. - 취약성진단방법및진단대상등에대한세부내역이문서화되어있다. 모의해킹및취약점진단평가결과보고서 최근 3년간모든시스템및업무서비스에대한모의해킹및취약성진단수행내역을검토하고취약점을제거하고있는단계 - 최근 3년간의모의해킹및취약성진단수행내역이담당자에의해주기적으로점검되고있다. - 모의해킹및취약성진단결과를반영하여취약점을제거하기위한계획을수립하고제거하고있다. 3개년간취약점진단결과보고서취약점제거및완화를위한조치계획서및조치결과보고서 모든시스템및업무서비스에대한모의해킹및취약성진단수행내역을검토하고취약점을제거하며주기적으로위험분석에반영하여개선되고있는단계 - 주기적으로모의해킹및취약성진단수행내역이검토되고있다. - 주기적인점검을통해새로운취약점이발견되었을경우즉시위험분석에반영하고있다. 3개년간위험평가결과보고서 ( 취약성진단결과반영및조치증빙자료예시결과에따른위험수준변화반영 ), 3개년간취약점진단결과보고서

70 3. 구성관리 3.1 구성변경통제 목적 정보시스템의변경시변경통제및승인이이루어지는지를평가한다. 세부통제항목 허가된구성요소에대한변경및승인이이루어지고있는가? 정보시스템의변경을수행하기전에상세한변경내역을문서로승인하는가? 평가시주안점 구성변경에대한모든사항들의이력이관리되고추적이용이하도록변경통제절차가이루어지고있는가? 조직의모든 IT 구성요소에대한버전통제계획이문서화되어관리가이루어지고있는가? 조직의모든 IT 구성요소를대상으로한효과성분석이이루어지고있는가? 검토자료예시 변경관리절차문서 변경승인계획서 변경효과분석서

71 3.1 구성변경통제 조직의모든 IT 구성요소 (S/W 는릴리즈, 패치등에따 세부평가항목 개요 라부여, H/W나기술문서에대해서는조직적으로적절한원칙에따름 ) 에대한버전통제에대한관리가수행되는가? 응용 SW 버전관리 ( 예 : 웹서버, WAS 서버, DB서버등등 ), 시스템패치관리, HW 업그레이드관리상황에대하여점검이이루어진다. 착안사항설명 1 단계 IT 구성요소에대한버전통제관리가수행되지않거나계획및절차없이이행되는단계 - 조직의 IT 구성요소에대해허가되지않은변경이이루어지 부가설명 증빙자료예시 2 단계 고있다. - 공식적인변경관리절차가수립되지않아서시스템관리자에의해버전통제가이루어지고있다. 별도증빙자료없음 IT 구성요소에대한버전통제관리계획 ( 목록, 담당자, 활동계획등 ) 이부분적으로문서화되어있는단계 - IT 구성요소에대한변경관리계획이수립되어문서화되어있다. 변경관리계획문서의예 변경통제유형에따른변경절차 ( 비상시 / 계획된 / 기능향상을위한변경 ) 부가설명 IT 구성요소변경시역할과책임 - 변경에대한부적절한통제에대한피해를줄이기위해 IT 구성요소에대한변경관리계획이문서화되어있다. 버전통제관리를위한문서의예 구성변경관리목록대장 구성변경점검체크리스트 변경관리절차문서, 구성변경관리목록대장, 구성변경점검체크증빙자료예시리스트

72 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 문서화된계획에의해조직의모든 IT 구성요소에대한버전통제가관리및수행이전사적으로이행되고실적자료가관리되고있는단계 - 구성변경관리대장, 구성변경점검체크리스트등의문서를작성하는등 IT 구성요소에대한버전통제관리가수립되어절차에따라수행되고있다. - 변경및릴리즈작업이발생되면구성요소의변경사항을구성관리데이터베이스에기록하고문서화한다. 구성관리버전통제수행내역조직의모든 IT 구성요소에대한버전통제가문서화된계획에의해관리및수행되고실적자료가일정기간 ( 최근 3년 ) 내역으로관리되고있는단계 - 모든 IT 구성요소를대상으로한버전통제가절차에따라수행되고수행내역이검토된다. - 최근 3년동안의 IT 구성요소에대한버전통제관리내역이확인된다. 최근 3년동안의구성관리버전통제내역조직의모든 IT 구성요소에대한버전통제가문서화된계획에의해관리및수행되고실적자료가일정기간동안의내역으로관리및검토되어갱신되는단계 - 조직의 IT 구성요소에대한변경관리핵심성과지표를작성하여변경으로인한장애를최소화하고서비스품질을향상시킨다. - 일정기간동안의내역을통해변경관리절차의문제점을파악하여절차를개선한다. 변경관리절차개선내역

73 3.1 구성변경통제 세부평가항목 정보시스템의일시적변경 ( 장비교체, 업그레이드, 이동등 ) 시승인절차에의해승인후변경이이루어지는가? 개요 정보시스템관련자산들을조사하고, 모든변경사항들을반영할수있는공식적인관리책임및절차를수립하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템의일시적변경을위한승인절차또는계획없이이행되는단계 - 정보시스템및서비스를일시적으로변경하는경우에대한계획및절차가수립되어있지않다. 별도증빙자료없음 정보시스템의일시적변경시승인절차계획 ( 정책서 / 지침서등 ) 이부분적으로수립되어있는단계 - 변경사항이발생하면변경시의영향력, 비용, 인력수, 시간, 긴급성등을고려한변경승인절차가계획되어문서화되어있다. 변경승인계획서 ( 정책서 / 지침서등 ) 의예 변경요청자이름, 부서, 연락처 변경요청내용 변경요청일시 변경수행자 작업계획및일정등 변경승인계획서

74 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템의일시적변경시승인절차계획 ( 정책서 / 지침서등 ) 에따라전사적으로수행되는단계 - 시스템관리자는승인된변경승인절차계획에따라문제점을사전에점검하여변경을수행한다. 변경작업에따른사전문제점검토시다음사항을고려할수있다. 필요자원 (H/W, S/W, 지원인력등 ) 이계획된시한내에준비될수있는가? 변경과관련된당사자들이참여하여변경후작업을할수있는가? 철회계획, 변경후테스트절차가모두준비되고점검되었는가? 시스템변경작업내역정보시스템의일시적변경시승인절차계획에따라수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 - 정보시스템및서비스의변경이완료된후모든변경과관련된정보를수집하여변경에대한검토가이루어진다. - 일정기간 ( 최근 3년 ) 동안정보시스템및서비스의변경승인절차계획내역을확인할수있다. 최근 3년동안변경승인절차내역정보시스템의일시적변경시승인절차계획에따라수행되고이행내역을분석하여승인절차에반영되는단계 - 변경이완료된후일시적변경승인절차내역을분석하여성공적으로수행했는가실패했는가의여부에따라변경승인절차계획을개선하고있다. 일정기간동안변경승인절차계획이개선된내역

75 3.1 구성변경통제 세부평가항목 개요 정보시스템구성변경 ( 장비교체, 제거, 추가도입확정등 ) 에따른효과분석이수행되고있는가? 정보보호계획에따라정보시스템의추가, 제거등의관리에따른효과분석의수행에대하여점검한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 과계획없이수행되는단계 - 정보시스템구성변경 ( 장비교체, 제거, 추가도입확정등 ) 에따른효과분석 ( 일정, 예산, 인력등 ) 이수행되지않거나계획없이수행되고있다. 별도증빙자료없음정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어있는단계 - 새로운취약점및위협발생에따른정보시스템의추가도입및장비교체에대한효과분석계획및절차가문서화되어있다. - 정보시스템및서비스에대한변경이일어날경우변경절차에따라변경일정, 예산, 인력등이효율적으로적용하도록효과분석지표를작성하고있다. 효과분석계획및절차문서, 효과분석지표정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어수행되는단계 - 정보시스템구성변경에따른효과분석이수행된다. - 조직의 IT 구성요소의변경에따른효과분석지표를통해장애를최소화하고서비스등의품질을향상시키고있다. 효과분석수행내역

76 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 - 정보시스템변경에따른효과분석계획이수행되고그내역이검토되어진다. - 최근 3년동안정보시스템및서비스의변경에따른효과분석내역이확인된다. 최근 3 년간효과분석내역, 효과분석계획및절차검토내역 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 결과가문서로확인되어개선되는단계 - 정보시스템변경에따른효과분석결과에대한내역을확인하고결과를분석하여효과분석계획이개선되어진다. 효과분석계획및절차개선내역

77 3.2 구성보안설정 목적 정보시스템구성보안을위해보안요소설정이재검토되고정기적으로서비스및기능에대해검토하는과정을평가한다. 세부통제항목 구성요소 ( 시스템, 장비등 ) 에대한보안설정상태를주기적으로검토하여개선되고있는가? 평가시주안점 새로운보안사고에따른보안설정이주기적으로갱신되고있는가? 정보시스템구성을변경할경우보안요소설정에대한절차가문서화되어이행되고있는가? 정보시스템및정보보호제품에대한검토계획이수립되고주기적으로보안설정상태가검토되는가? 검토자료예시 정보시스템구성보안요소설정절차및계획서 허용서비스에대한계획및절차

78 3.2 구성보안설정 세부평가항목 개요 시스템 ( 정보시스템, 정보보호제품, 통신장비등 ) 의모든보안설정상태를주기적으로검토하는절차가수립되어있는가? 시스템에대한보안설정상태는문서화되고책임자로하여금관리되어야하며새로운위협에대응하기위해주기적인검토가필요하다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템구성변경후보안요소설정상태의검토절차와계획의수립없이수행되는단계 - 정보시스템 ( 정보보호제품, 통신장비등 ) 및서비스등의구성요소를변경할경우보안설정에대한절차가수립되지않은상태에서관리가이루어지고있다. - 구성시스템에대한보안설정상태가시스템관리자에의해임의적으로이루어지고있다. 별도증빙자료없음정보시스템구성변경후보안요소설정상태의검토절차와계획이부분적으로문서화되어있는단계 - 정보시스템및서비스의구성변경후보안요소설정에대한검토계획이문서화되어있다. 보안요소설정절차및계획문서의예 보안요소설정및승인절차 보안요소변경시스템및서비스내역 모든정보시스템및서비스등에대한보안설정상태목록보안요소설정절차및계획서

79 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 정보시스템구성변경후보안요소설정상태의검토절차와계획이문서화되어전사적으로수행되는단계 - 정보시스템및서비스에대한변경이일어난경우문서화된보안요소설정절차를따라전사적으로수행된다. - 보안요소설정상태는책임자의승인이있어야한다. 보안요소설정수행내역 정보시스템구성변경후보안요소설정상태의검토절차와계획이문서화되어수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 - 일정기간 ( 최근 3년 ) 동안정보시스템및서비스에대한보안설정절차및내역이확인되고검토되어진다. 보안설정절차검토내역 정보시스템보안설정상태의검토결과를근거로주기적으로절차가갱신되는단계 - 정보시스템및서비스보안설정상태내역에따라주기적으로보안설정절차및계획이검토되고그결과를바탕으로보안설정절차및계획이개선된다. 증빙자료예시 보안설정절차개선내역

80 3.2 구성보안설정 세부평가항목 개요 시스템에서허용하는서비스에대해주기적으로검토하는과정이이행되고있는가? 조직이제공하는서비스에대해안정적인서비스제공및새로운서비스적용시주기적인검토가수행되어허용하는서비스에대한계획및절차가개선된다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템구성변경후허용하는서비스에대한재검토와계획의수립없이수행되는단계 - 정보시스템이나정보보호제품등에대해구성변경후허용하는서비스에대한재검토및계획수립이수립되어있지않다. - 정보시스템구성변경후허용하는서비스가절차없이이루어지고있다. 별도증빙자료없음정보시스템구성변경후허용되는서비스에대한검토와계획이문서화되어있는단계 - 정보시스템및정보보호제품에서허용되는서비스에대한검토계획이문서화되어있다. 허용서비스에대한문서의예 정보시스템및정보보호제품에대한허용절차 허용된시스템내역 시스템에대한서비스를허용할수있는기간 허용만료시서비스접근권한부여에대한내역등 - 부분적인시스템에대한검토계획이이루어지고있다. 허용서비스에대한문서

81 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템구성변경후허용하는서비스에대한재검토와계획이문서화되어재검토가전사적으로수행되는단계 - 정보시스템이나정보보호제품등의구성을변경한후허용하는서비스에대해문서화된절차에따라수행된다. 허용서비스에대한시스템등의내역 최근 3년간정보시스템구성변경후허용하는서비스에대한절차와계획이문서화되어수행되고주기적인이행내역이확인되는단계 - 최근 3년동안정보시스템, 정보보호제품등의구성을변경한후, 허용하는서비스에대해문서화된절차와계획에따라수행된내역이확인된다. - 수행내역을바탕으로허용된서비스계획및절차가검토된다. 최근 3 년동안의허용된시스템등의내역 정보시스템구성변경후허용하는서비스에대한재검토결과를분석하여주기적으로재검토하고개선사항을반영하는단계 - 정보시스템, 정보보호제품등의구성을변경한후허용하는서비스에대한재검토결과를분석한다. - 분석된결과를주기적으로재검토하여허용서비스절차에개선사항으로반영한다. 허용서비스의재검토및절차개선내역

82 4. 유지보수 4.1 유지보수도구 목적 자연재해나불법적인접근으로인한장애, 물리적오류발생에대한유지보수를위한유지보수도구도입시일정한절차에의해승인, 통제, 감독이이루어지는지를평가한다. 세부통제항목 유지보수도구에대한사용방법및활용정도가높은가? 평가시주안점 적절한절차에의해유지보수도구를사용하고, 그결과에대한검토가이루어지는가? 유지보수도구에의한사용내역이주기적으로검토되고개선되는가? 검토자료예시 연간유지보수계획서 유지보수절차서 유지보수도구목록 유지보수내역서

83 4.1 유지보수도구 세부평가항목 유지보수도구를사용하기위한사용승인및통제, 감독이이루어지는가? 개요 주요시스템을정상가동상태로작동시키는데필요한모든예방정비, 조정, 수리, 부품교환및시스템테스트등을위해유지보수도구를도입하고일정한절차에의해유지보수도구를사용한내역이기록및검토되어관리되어야한다. 착안사항설명 1 단계 유지보수시사용하기위한도구의사용승인및통제, 감독이절차없이수행되는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 - 유지보수도구를사용하고있으나책임자의사용승인및통제, 관리감독이이루어지지않는다. - 유지보수도구사용에대한절차가수립되어있지않다. 별도증빙자료없음유지보수시사용하기위한도구의사용승인및통제, 감독에대한절차가부분적으로문서화되어있는단계 - 유지보수도구 ( 시스템유지보수, 기술지원등 ) 목록을작성하여관리하고있으나부분적으로만관리되고있다. - 연단위유지보수계획이수립되어있고계획서를통해담당자및팀에대한구분과역할및책임에대한정의가되어있으나도구승인및절차가문서화되어있지않다. 연간유지보수계획서, 유지보수도구목록

84 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 유지보수도구를사용하기위한도구의사용승인및통제, 감독이문서화에따라전사적으로수행되는단계 - 유지보수절차에따라유지보수를수행하고있다. 유지보수절차에포함될수있는사항 일정시간내유지보수를수행해야함을명시하고초과시대체공급할수있는도구및방법을제시하여정상상태에지장을주지않아야함을명시함 유지보수도구및기자재의보관사항에대해명시 월 1회이상의정기적인예방점검을실시함을명시 유지보수일지를기록유지사항을명시 - 유지보수절차에따라유지보수수행내역이문서화되어있어야한다. - 유지보수업무를수행하는팀또는유사업무를수행하는팀이나담당자가구성되어있다. - 유지보수수행내역에대해담당자의승인이있어야한다. - 유지보수팀의최고관리자는유지보수도구승인시도구사용목적및그대상에대해명확히인지하고있어야한다. 유지보수사용내역, 유지보수도구사용에대한승인관련서류최근 3년간유지보수를사용하기위한도구의사용승인및통제, 감독이문서화되어수행되고주기적인이행내역이확인되는단계 - 최근 3년간의유지보수도구사용내역이문서화되어있다. - 유지보수수행활동에대한주기적인보고와검토가이루어지고있다. 최근 3년간의유지보수내역, 유지보수실행결과보고서유지보수를사용하기위한도구의사용승인및통제, 감독이수행되고주기적으로사용내역이검토되어개선되는단계 - 유지보수도구사용시도구의업그레이드또는도입, 변경시유지보수담당자에의해승인및관리되고있다. - 담당자는유지보수내역에대한주기적인검토를통해미흡한사항에대한지적및개선을실시한다. - 차기유지보수계획수립시검토결과를고려하여개선사항을반영한다. 유지보수도구변경 - 및 78 관리 - 내역서, 유지보수결과보고서

85 4.2 원격유지보수 목적 원격유지보수및진단활동에대한보안승인이이루어지고통제및감시가이루어지는지를평가한다. 세부통제항목 원격작업을통해내부시스템접근시관련식별, 인증, 접근통제대책이수립되어있는가? 평가시주안점 원격유지보수및진단활동이물리적, 논리적으로안전하게수행되고있는가? 원격작업이완료되면접근권한, 장비등이회수되고있는가? 검토자료예시 원격유지보수및진단활동에대한감시내역서

86 4.2 원격유지보수 세부평가항목 원격유지보수및진단활동에대한감시가이루어지는가? 개요 원격유지보수및진단활동시원격작업장소검토, 허용된작업, 작업시간등을고려하여수행되어야한다. 원격작업이완료되면접근권한, 장비등의회수가일어나야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 원격유지보수및진단활동에대한감시가이루어지지않거나계획없이수행되는단계 - 원격유지보수및진단활동감시를위한계획이존재하지않는다. - 원격유지보수및진단활동시에시스템접근관련식별, 인증등의절차가수립되어있지않다. 별도증빙자료없음원격유지보수및진단활동에대한감시계획이수립되어있고부분적으로감시가이루어지는단계 - 원격유지보수및진단활동시감시계획이문서화되어있다. 문서화된내용은아래와같은내용을포함할수있다. 허가된원격작업내용 작업시간 접근허가된시스템및서비스 인증, 식별, 접근통제대책 - 원격유지보수및진단활동에대한통제가목록화되어보관되어지고있다. - 부분적으로원격유지보수및진단활동에대한감시를수행하고있다. 원격유지보수및진단활동감시계획서

87 3 단계부가설명증빙자료예시 4 단계 원격유지보수및진단활동에대한감시가자동감사추적기능등을이용하여전사적으로수행되는단계 - 원격유지보수및진단활동에대해다음과같은사항을감시하고있다. 원격작업장소의물리적보안검토 허용된작업, 작업시간, 접근할수있는데이터및시스템이정의되고관리되고있는지를검토 원격작업허가취소시바로접근권한이취소되고장비를수거되는지를검토 - 원격유지보수및진단활동에대한감시를감시계획에따라전사적으로수행하고있다. 감사활동은자동감시추적기능등을이용할수있으며자동감사추적기능을아래와같은내용을문서화한다. 원격유지보수시작업내용 감사추적이가능하도록보안승인내역감시내역, 원격유지보수내역최근 3년간원격유지보수및진단활동에대한감시내역이문서화되어지속적으로수행되고감사추적실적이확인되는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 원격유지보수및진단활동의감시내역이확인된다. - 최근 3년동안의자동감사추적기능에대한내역이문서화되어검토되고있다. 감사추적실적이확인되는문서원격유지보수및진단활동에대한감시내역분석이원격유지보수활동에주기적으로반영되어개선되는단계 - 담당자에의해일정기간동안감시내역이검토되고승인이이루어지고있다. - 검토된내역을바탕으로주기적으로원격유지보수및진단활동의보안승인내역이개선되고있다. 일정기간동안감시검토내역및개선내역

88 5. 매체보호 5.1. 매체출력물표시 목적 정보저장매체및정보시스템출력물내외부에라벨링하여정보의취급경고및배포제한을표시하고있는지를평가한다. 세부통제항목 평가시주안점 정보저장매체에대한중요도별레벨링표시절차및규정이수립되어있는가? 정기적으로매체출력물표시에대한절차및규정을검토하고개선하고있는가? 검토자료예시 매체관리지침 / 절차서 매체별라벨링분류목록

89 5.1 매체출력물표시 세부평가항목 저장매체가정보중요도에따라내 / 외부에라벨링이이루어지고있는가? 개요 정보저장매체및정보시스템출력물등에대해내 / 외부에서레이블링하여매체를보호하고있어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보저장매체에대해라벨링표시를하지않거나절차나규정없이라벨링표시를하고있는단계 - 정보저장매체 ( 디스크, 프린트된문서등 ) 에대한라벨링표시가되어있지않다. - 정보저장매체에대한중요도별분류가이루어지고있지않다. - 정보저장매체에대한레벨링표시절차및규정이없다. 별도증빙자료없음중요도에따라저장매체가구분되어있으며라벨링규칙수립계획이문서화되어있는단계 - 정보저장매체에대한중요도별분류가이루어지고있다. - 정보저장매체별라벨링표시절차및규정이문서화되어있다. 라별링표시규정의예 데이터중요도별식별번호부여규칙 데이터중요도기준에대한정의 데이터분류목록 매체별레벨링표시방법 - 부분적으로매체에라벨링이되어있다. 매체관리지침 / 절차서

90 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체별중요도에따라구분되어있으며문서화된라벨링규칙에따라라벨링을전사적으로수행하는단계 - 정보저장매체에대해라벨링규칙및절차에의해중요도별라벨링이전사적으로수행된다. - 매체별라벨링규칙수행내역이확인된다. 매체별라벨링분류목록, 매체별라벨링수행내역매체별중요도에따라구분되어있으며문서화된라벨링규clr 에따라일정기간 ( 최근 3년 ) 수행하고있는단계 - 정보저장매체변경시 ( 중요도, 매체변경 ) 라벨링이재수행되고있다. - 최근 3년간매체중요도별레벨링규정및절차검토내역이확인된다. 최근 3년간라벨링규정및절차검토내역매체별중요도에따라구분되어있으며문서화된라벨링규칙수립계획에따라지속적으로수행하고주기적으로사용내역을검토하여개선하는단계 - 매체출력물에대한중요도별라벨링이지속적으로수행된다. - 주기적으로정보저장매체라벨링절차및계획이개선된다. 매체라벨링절차개선내역

91 5.2 매체접근관리 목적 정보시스템매체를물리적으로통제하고안전하게저장및접근관리하는지를평가한다. 세부통제항목 정보시스템및매체에대해물리적통제가이루어지고있는가? 평가시주안점 매체에대한물리적접근관리절차및규정이문서화되어있는가? 주기적으로매체의접근통제정책에대한검토가이루어지고있는가? 검토자료예시 매체접근통제절차서 매체출입관리대장

92 5.2 매체접근관리 세부평가항목 개요 매체보관장소에출입하기위한키또는다른접근장치가되어있는가? 매체보관장소및정보시스템에대해물리적접근을위한접근관리 ( 키, 잠금장치, 출입관리대장등을이용 ) 가이루어진다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 매체보관장소에대한출입통제장치또는규제및접근규칙이마련되지않고이행되는단계 - 매체보관장소출입에대한접근관리가이루어지고있지않다. - 매체보관장소의접근통제에대한절차및규정이마련되어있지않다. 별도증빙자료없음매체보관장소출입을위한출입통제장치설치계획이문서화되어접근통제장치가부분적으로설치되어있는단계 - 매체보관장소에대한물리적접근통제규정및절차가문서화되어있다. 규정및절차에대한문서의예 매체접근관리에대한규정및절차 잠금장치에대한규정 출입관리대장에대한내용및절차 매체접근허용에대한규정및절차 - 부분적인시설에대해서만접근관리를하고있다. - 구분된매체보관장소는없으나매체담당자에의해매체사용에대한접근통제를수행하고있다.( 매체사용내역작성등 ) 매체접근통제절차관련문서

93 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체보관장소출입을위한출입통제장치설치계획이문서화되어접근통제장치가전사적으로설치되어있는단계 - 매체보관장소에대한물리적접근통제규정및절차에따라접근통제장치가설치되어있다. - 매체보관장소출입에대한내역이확인된다. 매체접근통제수행내역매체보관장소의출입통제장치설치계획에따라접근통제장치가설치되어있으며일정기간 ( 최근 3년 ) 접근통제내역이확인되는단계 - 매체보관장소출입에대한접근통제규정및절차가검토되고있다. - 일정기간 ( 최근 3년동안 ) 접근통제내역이확인되고검토된절차내역이확인된다. 매체접근통제검토내역매체보관장소에대한출입통제장치설치가정기적으로점검되고주기적검토를통하여출입통제문제점을개선보완하는단계 - 주기적으로매체의물리적접근통제관리가이루어지며매체규정및절차에대한검토가이루어진다. - 검토내역에따라규정및절차가개선되어개선된내역이문서화되어확인가능하다. 매체접근통제개선내역

94 5.3 매체운반방법 목적 매체운반시허가된직원에의해매체가전달되도록하는절차및접근통제가이루어지는지를평가한다. 세부통제항목 매체도입시이동이나구조변경으로인한매체를운반을할경우매체운반규정및절차에따라이루어지고있는가? 평가시주안점 중요매체운반시허가된직원에의해전달되고있는가? 중요매체운반에대한방법에대한결정이이루어질때규정및절차가문서화되어있는가? 검토자료예시 매체관리지침 / 절차서

95 5.3 매체운반방법 세부평가항목 개요 안전을요하는매체가운반될때접근통제가이루어지고있는가? 중요매체가운반될경우접근통제규정및절차에따라매체가전달되고있다. 매체운반에대한정책및절차에따라수행 검토된내역에따라개선이이루어져야한다. 착안사항설명 1 단계매체운반절차및접근통제가계획및절차없이수행되는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 정보저장매체및정보시스템운반에대한절차가수립되어있지않다. 별도증빙자료없음 매체운반절차및접근통제계획이부분적으로문서화되어있는단계 - 매체및정보시스템등의매체이동및구조변경시이를통제하기위한절차가문서화되어있다. 매체운반절차에관한문서의예 매체도입시이동및구조변경에대한담당자의승인여부 매체운반목적 매체운반시기및장소명시 매체운반담당자의정보 매체운반방법 매체관리지침 / 절차서 매체운반절차및접근통제가문서화된절차에의해서전사적으로수행되는단계 - 정보저장매체및정보시스템등의매체를운반할경우문서화된매체규정및절차에따라수행된다. - 매체운반및구조변경은담당자의승인하에수행되고있다. 매체운반수행내역서

96 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체운반절차및접근통제가문서화된정책에의해서수행되며일정기간 ( 최근 3년 ) 의그내역이확인되는단계 - 일정기간매체운반절차및규정에따라수행되고검토된내역이확인된다. - 내역내에운반된매체종류, 운반목적, 담당자등세부내역이포함되어있다. - 수행내역을통해정상적인운반여부를수행하고있다. 매체운반검토내역서문서화된정책에의해서수행되며주기적검토를통하여매체운반절차및접근통제문제점을개선보완하는단계 - 주기적으로매체운반정책절차및규정에대한검토가이루어진다. - 검토된내역을바탕으로주기적으로매체운반구조변경절차에대한문제점을개선한다. 매체운반절차및규정개선내역

97 5.4 문서관리 목적 세부통제항목 정보시스템및구성요소에대한문서의구비및관리에대하여평가한다 허가되지않은정보유출이나오용으로부터정보를보호하기위해, 매체의취급및문서보관에대한절차를수립하고운영하고있는가? 보안절차, 운영메뉴얼, 운영기록등중요시스템문서에대한관리지침이수립되어있는가? 평가시주안점 기술적관리문서가중요도에따라분류되어관리되는가? 관리되어야할문서가명시되고있는가? 시스템및서비스도입과개발, 변경사항에대한관련문서가작성되어있는가? 검토자료예시 테이프, 디스크, 프린트된레포트등매체에대한분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침과절차 매체에대한관리책임대장 매체폐기절차서및매체의폐기시관련정보 ( 일자, 내용등 ) 의감사증적대장 문서의분류등급에따른전달, 복사, 폐기, 보관지침서 정보시스템변경절차서 정보시스템매뉴얼 문서관리대장

98 5.4 문서관리 세부평가항목 개요 시스템및서비스도입과개발, 변경에따라통제사항에대한분석이수행되고관련문서가수정되는가? 정보시스템및서비스도입과개발, 변경시통제사항에대한계획및절차에따라분석이수행된다. 수행된내역이주기적으로검토되고검토된내역의개선이이루어진다. 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 착안사항설명 시스템및서비스도입과개발, 변경에따라통제사항에대한분석이계획및절차없이수행되는단계 - 정보시스템및서비스의도입, 개발, 변경등에대한절차가없다. 별도증빙자료없음 시스템및서비스도입과개발, 변경시통제사항에대한분석계획및절차가부분적으로문서화되어있는단계 - 정보시스템및서비스의도입, 개발변경시통제사항을분석하기위한계획및절차가문서화되어있다. 통제사항분석계획및절차문서 분석대상이되는시스템및서비스종류 분석방법 통제사항에대한승인절차기술 시스템및서비스도입, 개발, 목적 매체통제사항분석서 문서화된계획에따라시스템및서비스도입시부터추가, 개발, 변경에이르기까지통제사항에대한분석이전사적으로수행되는단계 - 문서화된통제사항분석계획및절차에따라분석이전사적으로수행되고수행된내역이확인된다. - 시스템및서비스항목을식별하여그기능적 / 물리적특성을문서화한다. 매체의통제사항분석이확인되는문서

99 4 단계부가설명증빙자료예시 5 단계부가설명 시스템및서비스의도입 / 개발 / 변경시이에대한통제사항이문서화되어일정기간 ( 최근 3년이상 ) 적용되고문서화되는단계 - 시스템및서비스에대한관련문서가확인되고검토되어지고있다. 문서관리대장검토사항 정보시스템문서의분류등급절차 시스템도입, 개발, 변경에대한절차 매체의통제사항분석문서검토 문서의보관상태점검 중요도에따른문서보관내역점검 - 최근 3년간명시된요구사항이확인되면기술적 / 행정적지침과사후관리가이루어지고있다. 최근3년간의매체통제사항분석서시스템및서비스도입 / 개발 / 변경과관련된문서를포함한형상관리가주기적으로검토되어개선되는단계 - 일정기간동안정보시스템및서비스에대한형상관리가수행되고있다. - 수행된내역을통해정보시스템및서비스의문서관리및형상관리절차가검토되고개선된다. 일정기간동안정보시스템및서비스의문서관리및형상관리증빙자료예시내역

100 5.4 문서관리 세부평가항목 조직내모든문서에대한전달, 복사, 폐기, 보관지침이존재하며이에따라관리가이루어지는가? 개요 허가되지않은유출이나오용으로부터정보를보호하기위해, 매체의취급및보관에대한절차를수립하고운영하여야한다. 조직내시스템설계서및각종매뉴얼, 시스템도입및관련문서등주요문서에대한전달, 복사, 폐기, 보관에관한지침을수립하고주기적인검토및개선이이루어져야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템문서에대한관리지침또는계획및절차없이수행되는단계 - 조직내문서의분류등급체계가없다. - 문서보호및관리를위한지침이수립되어있지않다. - 문서관리대장을통한관리가이루어지지않고문서관리담당자없이문서가전달, 복사, 폐기. 보관되고있다. 별도증빙자료없음정보시스템문서에대한관리지침이부분적으로문서화되어있는단계 - 승인된문서관리지침이마련되어있지않다. - 부서별문서관리가일정한규정없이수행되고있다. - 부분적인문서 ( 중요한문서 ) 에대해서만관리지침을두어관리하고있다. 문서관리지침, 문서관리대장

101 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 정보시스템문서의관리지침이문서화되어문서분류지침에따라전사적으로관리되는단계 - 테이프, 디스크, 프린트된레포트등매체에대한분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침과절차가작성되어있다. - 문서관리지침내에매체에대한관리책임이명확하게정의되어있다. 관리되어야할문서목록예 정보시스템매뉴얼 자체개발시스템관련문서 도입된시스템구성도 ( 설계도 ) 사용자매뉴얼 - 문서관리지침에명시한대로중요도에따라문서별분류등급이되어있다. - 문서의중요도에따른보관방법별로문서가보관및관리되고있다. - 문서관리대장내에중요문서의전달, 복사, 폐기, 보관시담당자의승인이있어야하며, 문서를사용하는사용자의이름이명시되어야있어야한다. 분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침서및절차서문서관리지침, 문서관리대장 정보시스템문서의분류등급이계획절차를포함한관리지침으로문서화되어문서분류지침이 3년이상적용되고문서관리대장이검토되는단계 - 문서관리지침이수립되고동지침에따라 3년이상적용되고있다. - 문서관리대장이정기적 / 비정기적으로관리자에의해재검토되고있다. 문서관리대장검토사항 폐기된문서검토 ( 폐기절차에합당한지여부 ) 문서의보관상태점검 중요문서의전달, 복사시승인여부 중요도에따른문서보관내역점검 최근 3 년간의문서관리대장

102 5 단계 부가설명 정보시스템문서관리지침및관련지침을주기적으로개선보완하는단계 - 정보시스템문서에대한관리지침이주기적으로검토및개선되어진다. - 문서관리절차에따른관리시미흡한사항에대한지적및개선을실시한다. 분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침서및절차서의변경이력관리서증빙자료예시문서관리지침문서관리대장

103 5.4 문서관리 세부평가항목 개요 시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 가관리되고있는가? 시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 가관리지침및절차에따라문서화되어수행된다. 수행된내역에따라관리지침및절차가검토되고개선이이루어지고있다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 시스템도입및개발시스템관련문서에대한관리지침또는계획없이관리되는단계 - 조직의시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 의관리가이루어지고있지않다. - 계획없이시스템관련문서가관리되고있다. 별도증빙자료없음시스템도입및개발시스템관련문서에대한관리계획이문서화되어있거나부분적으로만관리되고있는단계 - 시스템도입및개발시스템관련문서에대한관리계획이문서화되어있다. - 부서별일정한지침없이관리되고있다. 시스템관련문서관리지침의예 시스템관련문서관리규정 문서보관, 관리, 폐기절차 문서의중요도시스템관련문서관리지침서

104 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 관리자가문서화된관리지침에따라전사적관리유지 ( 변경이력, 접근내역등 ) 하는단계 - 문서화된조직의관리지침에따라전사적으로수행되고있다. - 문서별등급표시 ( 워터마킹및이미지파일로저장, 복사 / 폐기불가 ) 를하고문서접근내역및보과점검을수행하고있다. 시스템관련문서관리지침수행내역관리자가조직전체의시스템설계명세서를문서화된관리지침에따라관리유지 ( 변경이력, 접근내역등 ) 하고관리내역이 3년이상확인되는단계 - 조직의관리지침및절차에따라관리수행내역이확인되고검토된다. - 최근 3년간의관리및절차지침내역이확인된다. 최근 3년간시스템관련관리지침검토내역서관리자가조직전체의시스템설계명세서를문서화된관리지침에따라관리유지 ( 변경이력, 접근내역등 ) 하고관리내역을검토하여주기적으로개선되는단계 - 주기적으로조직전체의시스템관련지침및절차에대한검토가이루어지며검토된내역에따라개선이이루어지고있다. 시스템관련관리지침개선내역

105 5.5 매체및기록파기 목적 매체의물리적파기방법과저장된기록의삭제방법을평가한다. 세부통제항목 정보시스템및서비스등의매체에대한파기방법이나기록삭제방법에대한정책및절차가수립되어있는가? 평가시주안점 매체폐기및기록삭제시중요도에따라폐기방법및절차가다르게수행되고있는가? 매체폐기시외부자에게주요정보가누출되지않도록폐기지침을수립하는가? 검토자료예시 매체폐기절차서및매체의폐기시관련정보 ( 일자, 내용등 ) 의감사증적대장

106 5.5 매체및기록파기 세부평가항목 개요 정보나매체가용도폐기되기위한폐기방법이수립되고적절하게이행되는가? 정보시스템및서비스등의정보나매체에대한폐기가일어날경우폐기절차및규정에의해폐기방법을적절하게선택하여수행한다. 수행된내역을주기적으로검토하고개선해야한다. 착안사항설명 1 단계매체폐기방법관리계획수립또는계획없이수행되는단계 부가설명 - 매체폐기시관리절차및계획이없다. - 관리자없이비공식적매체폐기가이루어지고있다. 증빙자료예시 별도증빙자료없음 2 단계매체폐기방법관리계획이문서화되어있는단계 부가설명 증빙자료예시 - 정보시스템및서비스등의매체를폐기하기위한절차및계획이문서화되어있다. 폐기절차및계획문서의예 데이터보존연한 데이터매체에따른폐기방식 폐기확인방법 폐기이유 폐기일시 폐기내용폐기절차및계획문서

107 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체폐기방법관리계획이문서화된관리지침에따라전사적으로수행되는단계 - 매체에대한폐기가일어날경우폐기절차및계획문서에따라전사적으로수행된다. - 폐기된매체나폐기하기위해사용된보고절차문서등의폐기관리대장이문서화되어있다. 폐기관리대장최근 3년간매체폐기방법관리계획이문서화된관리지침에따라수행되어폐기내역이확인되는단계 - 매체에대한폐기가일어날경우폐기절차및계획문서에따라수행내역이검토되어진다. - 최근 3년간정보시스템및서비스등의매체에대한정책및절차검토내역이확인된다. 매체폐기정책및절차검토내역매체폐기방법관리계획이문서화된관리지침에따라수행된폐기내역이검토되어주기적으로개선되는단계 - 문서화된매체폐기방법관리정책및절차에따라수행된내역이정기적으로검토되어진다. - 매체폐기정책및절차에대한개선이이루어지고있다. 매체폐기정책및절차개선내역

108 6. 보안인식과교육 6.1. 보안인식교육및훈련 목적 모든사용자에대해기본정보시스템보안인식정도와적절한정보시스템보안교육수준을평가한다. 세부통제항목 모든조직구성원이정보보호관련일반규정및보안교육을받고있는가? 평가시주안점 교육및훈련대상자의직위및담당업무에따라적절히분리되어필요한별도의교육을받고있는가? 교육훈련의대상은관련된모든내 / 외부임직원및외부인력을포함하고있는가? 보안인식교육및훈련을한후효과측정및분석이이루어지며다음계획에반영되는가? 검토자료예시 보안교육지침서 보안교육자료 외부인력교육지침

109 6.1 보안인식교육및훈련 세부평가항목 개요 모든구성원이조직의정보보호정책과관련된일반규정및자신의직무와관련한보안교육을이수하였는가? 교육및훈련을정보보호정책, 정보보호인식, 보안요구사항, 법적인책임, 보안사고대응절차, 업무연속성관리등을포함하고모든조직구성원의직위및담당하는업무의특성에따라구분하여실시하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 조직의정보보호정책과규정및직무와관련한교육지침이없거나계획과일정없이교육을수행하고있는단계 - 조직의정보보호에관련된교육지침이마련되어있지않다. - 조직의구성원들에대한정보보호교육이계획없이수행된다. 별도증빙자료없음조직의정보보호정책과규정및직무와관련한교육에대한세부적인 ( 일정, 내용, 비용, 대상자등 ) 계획이부분적으로문서화되어있는단계 - 조직의정보보호교육관련규정및지침이수립되어문서화되어있다. - 조직의정보보호및정보시스템보안에대한보안교육지침이문서화되어있다. 교육지침문서의예 정보보호정책및규정에대한지침자료 교육목표, 내용, 일정등의지침 교육대상자직위및업무에따른교육기준 교육단계별교육자료 직원의직위변경시에대한교육지침보안교육지침서

110 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 조직의정보보호정책과규정및직무와관련한전사적교육지침에따라조직구성원이보안교육을이수한단계 - 모든조직의구성원들에게교육자업무및직위에따라정보보호교육을전사적으로수행한다. - 정보보호교육은회사의교육지침서의절차에따라이루어진다. - 조직구성원의보안교육자료및수행내역이문서화되어보관되어있다. 보안교육수행내역최근 3년간조직의정보보호정책과규정및직무와관련한교육지침에따라조직구성원이보안교육을이수한실적이확인되는단계 - 모든직원의업무및직위에따른정보보안교육지침절차에따라수행된다. - 최근 3년간조직의정보보호교육및훈련수행내역이확인되고그내역이검토된다. - 교육및훈련후효과측정및분석이이루어지고있다. 최근 3년동안정보보호교육검토내역모든구성원에대한교육이지속적으로수행되고교육의내용검토후상황에적합하게주기적으로개선되는단계 - 조직의구성원들에게정보보호관련교육및훈련이수행되고교육후의효과측정및분석이다음계획에반영된다. - 주기적으로정보보호교육지침및절차등교육자료가검토되며그내역에따라교육지침및절차가개선된다. 정보보호교육지침및교육자료등개선내역

111 6.1 보안인식교육및훈련 세부평가항목 외부계약자와아웃소싱인력에대한보안교육지침및내용이준비되어실시되고있는가? 개요 조직의외부인력 ( 외부계약자, 아웃소싱인력등 ) 에대해정보보호관련교육지침및절차에따른교육이이루어져야한다. 착안사항설명 1 단계 외부계약자와아웃소싱인력에대한보안교육을수행치않거나보안교육지침없이교육을수행하거나보안인식교육이이루어지지않는단계 부가설명 증빙자료예시 2 단계 - 외부인력 ( 외부계약자, 아웃소싱인력등 ) 에대한정보보호교육이수행되지않는다. - 조직의외부인력에대한정보보호교육지침및계획이없으나보안교육이이행된다. 별도증빙자료없음외부계약자와아웃소싱인력에대한보안교육지침이부분적으로문서화되어있는단계 부가설명 - 조직의외부인력에대한보안교육지침및계획이수립되어문서화되어있다. 외부인력보안교육지침서의예 교육목적, 내용, 범위등의지침 외부인력직무에따른교육기준 외부인력교육자료 증빙자료예시 외부인력보안교육지침서

112 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 외부계약자와아웃소싱인력에대한보안교육이문서화된보안교육지침에따라전사적으로수행되는단계 - 조직의외부인력에대해문서화된보안교육지침절차에따라보안교육이전사적으로수행되고있다. - 외부인력에대한보안교육자료및수행내역이문서화되어확인가능하다. 외부인력보안교육수행내역최근 3년간외부계약자와아웃소싱인력에대한보안교육이문서화된보안교육지침에따라수행되어실적이있는단계 - 외부인력에대한직무에따라보안교육지침절차가수행되고검토가이루어진다. - 외부인력교육및훈련의효과측정및분석이이루어지고있다. - 최근 3년동안외부인력보안교육수행내역이검토된다. 외부인력보안교육지침검토내역외부계약자와아웃소싱인력에대한보안교육이수행된실적에대한검토를통해주기적으로교육내용에반영되는단계 - 외부인력에대한보안교육지침및절차수행내역이검토되고교육후의효과측정및분석결과가다음계획에반영된다. - 주기적으로외부인력보안교육지침및절차가개선된다. 외부인력교육관련개선내역

113 7. 비상계획 7.1 비상교육 목적 비상시역할및책임에대한교육환경및수준에대한평가를수행한다. 세부통제항목 비상계획 / 업무연속성계획에대한정기적인교육및훈련프로그램이수립되고이행되고있는가? 교육프로그램이다음과같은목표를가지고있는가? 평가시주안점 - 재해나다른중요한사건에대응하는방식을직원들에게이해시키고있는가? - 업무연속성관리전략이나계획에영향을줄수있는변경이나문제를파악하고실행하는가? - 팀원이나대리인이그들의책임과취해야할행동에대해인식할수있는가? 검토자료예시 비상계획 / 업무연속성계획서 비상계획 / 업무연속성계획교육문서

114 7.1 비상교육 세부평가항목 개요 비상계획 / 업무연속성계획에따라직원들이자신의역할과책임범위에해당하는교육을이수하는가? 비상사태에대비하기위한비상계획 / 업무연속성계획절차가수립되어있고그절차에따라비상교육이수행되어야한다. 직원들의역할및직급등에따라교육이이루어지며비상시담당직원의부재에따른피해를막기위한대책이마련되어야한다. 착안사항설명 1 단계 부가설명 증빙자료예시 비상계획 / 업무연속성계획에따라직원들이자신의역할과책임범위에해당하는비상교육이이루어지고있지않은단계 - 비상계획 / 업무연속성계획에따른비상교육이이루어지지않는다. - 비상교육을실시하지만비상교육에대한절차및규정없이수행되고있다. 별도증빙자료없음 비상계획 / 업무연속성계획에따라비상시역할과책임에해당 2 단계 부가설명 증빙자료예시 하는교육을이수하기위한세부적인계획이부분적으로문서화되어있는단계 - 비상계획 / 업무연속성계획절차에대한문서가있다. 비상계획 / 업무연속성계획절차에문서내용예시 비상계획및업무연속성관리절차 핵심업무의식별및우선순위 핵심업무가중단될경우미치는영향 보험적용 업무별연속성전략 절차의시험및갱신 수립된절차의승인 - 비상계획 / 업무연속성계획에따른직원의역할, 책임범위등의비상사태를대비하기위한비상교육문서가마련되어있다. 비상계획 / 업무연속성계획문서, 비상교육문서

115 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 비상계획 / 업무연속성계획에명시된비상시역할및책임범위에따른교육이전사적으로이루어지고있는단계 - 비상교육규정및절차가문서화되어있고문서에따라교육이전사적으로수행되고있다. - 비상시직원이없을경우에대한대리인의훈련이이루어지고있다. 비상교육수행내역최근 3년간비상계획 / 업무연속성계획에명시된비상시역할및책임범위에속한교육의성과가정해진기간동안이행되고관리되는단계 - 최근 3년간직원의역할및책임에따라비상교육이수행되고수행된내역이검토되고있다. - 비상교육에대한성과관리가수행된다. 최근 3년간비상교육수행검토내역, 성과관리내역비상계획 / 업무연속성계획에명시된비상시역할및책임범위에속한교육의효과성을주기적으로검토되고개선되는단계 - 비상교육의효과성관리가이루어진다. - 주기적으로비상교육절차및규정이검토되고개선이된다. 비상교육효과성관리내역, 주기적으로비상교육절차가개선증빙자료예시된내역

116 7.2 비상계획모의훈련및갱신 목적 비상계획에대한모의훈련내용및수행결과에대해평가한다. 세부통제항목 비상계획에대한모의훈련계획, 절차등의세부적인사항이마련되어있는가? 평가시주안점 비상계획에대한모의훈련이주기적으로수행되고검토되는가? 비상사태를위한재해복구절차에따라직원들을대상으로한모의훈련을수행하고있는가? 검토자료예시 비상계획 / 업무연속성계획서 비상계획 / 업무연속성모의훈련문서

117 7.2 비상계획모의훈련및갱신 세부평가항목 비상계획 / 업무연속성계획에대한정기적인모의훈련이실시되는가? 개요 비상계획 / 업무연속성계획을통해환경의변화등으로인한오류를제거할수있도록지속적인모의훈련을실시한다. 모의훈련계획에는시기, 방법, 절차등을포함하고있다. 착안사항설명 1 단계 비상계획 / 업무연속성계획에대한정기적인모의훈련이실시되지않거나정해진계획없이수행되는단계 부가설명 - 비상계획 / 업무연속성계획에대한모의훈련이수행되지않거나계획및절차없이수행된다. 증빙자료예시 2 단계부가설명증빙자료예시 별도증빙자료없음비상계획 / 업무연속성계획에대한모의훈련계획이부분적으로문서화되어있는단계 - 비상계획 / 업무연속성계획에따라모의훈련계획이수립되고문서화되어있다. 모의훈련계획및절차예 모의훈련절차 모의훈련시기, 방법, 대상등 모의훈련이필요한부분예 비상시사용되는대체프로세스와시스템 비상시컴퓨터시스템이나네트워크의재구성방법 자동시스템이복구될때까지사용되는수작업방식등모의훈련계획및절차

118 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 비상계획 / 업무연속성계획의효과성을평가하기위한모의훈련이정해진문서에따라전사적으로실시되는단계 - 비상계획 / 업무연속성계획에따른복구전략의특징에대한훈련이전사적으로실시된다. - 비상계획 / 업무연속성계획에의한모의훈련계획절차에따라훈련이전사적으로이행된다. 모의훈련에대한다양한기술예 다양한시나리오에대한서류훈련 시뮬레이션 기술적복구훈련 대체사이트에서의복구훈련 도입한기기나서비스에대한훈련등모의훈련수행내역최근 3년간비상계획 / 업무연속성계획의효과성을평가하기위한모의훈련이이행되고관리되는단계 - 최근 3년간모의훈련계획절차에따라모의훈련이수행되고수행된절차가검토되고있다. - 비상계획 / 업무연속성계획의효과성이평가된모의훈련내역이확인된다. 최근 3년간모의훈련수행검토내역비상계획 / 업무연속성계획의효과성을평가하기위한모의훈련의효과성이평가되고평가결과를토대로주기적으로개선되는단계 - 모의훈련수행내역이검토된자료를바탕으로모의훈련절차의개선이이루어진다. - 모의훈련결과가비상계획 / 업무연속성계획에반영되어개선된다. 주기적으로모의훈련계획및절차가개선된내역

119 7.3 통신서비스이중화 목적 비상시를대비하여안전한통신을위한통신서비스이중화를제공하는지를평가한다. 세부통제항목 평가시주안점 자연적재해나인위적인위협등을통한비상사태를대비하기위해통신서비스의이중화정책및절차가수립되어있는가? 주기적으로통신서비스의이중화상태를점검하고새로운변화에대응하여개선되고있는가? 검토자료예시 비상계획 / 업무연속성계획서 통신서비스이중화정책및절차서

120 7.3 통신서비스이중화 세부평가항목 개요 비상시안전한통신을위해통신서비스에대한이중화 ( 사이트이중화, 라우터이중화, 회선이중화, 서버이중화 ) 를제공하고있는가? 자연적재해등의비상시통신서비스를원활하게제공하기위한통신서비스이중화정책및절차가수립되어운영되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 비상시안전한통신을위해통신서비스에대한이중화가제공되지않는단계 - 비상사태를대비한통신서비스이중화가수행되지않는다. - 통신서비스이중화가수행되어도절차없이일부시스템에대해서만수행되고있다. 별도증빙자료없음비상시를대비한통신서비스에대한이중화를제공하기위한계획이부분적으로문서화되어있는단계 - 비상상태를대비한통신서비스이중화정책및절차가문서화되어있다. 통신서비스이중화정책및절차예 통신서비스이중화정책및절차 통신서비스이중화대상 이중화대상별설비및방법 - 통신서비스이중화정책및절차에따라일부시스템에만적용하여수행하고있다. 통신서비스이중화정책및절차

121 3 단계부가설명증빙자료예시 4 단계 비상시를대비한통신서비스에대한이중화가구성되어전사적으로수행되는단계 - 비상시통신의원활한흐름을위해통신서비스이중화정책및절차에따라통신을위한모든시스템에대해이중화서비스를제공하고있다. 통신서비스이중화정책및절차수행내역최근 3년간비상시를대비한통신서비스이중화가중요시설에구성되어있고수행상태를점검하고관리되어지고있는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 최근 3년동안비상시안전한통신을위해통신서비스이중화정책및절차에따라수행하고수행된내역이검토된다. 최근 3 년동안통신이중화수행검토내역 비상시를대비한통신서비스이중화설비가환경변화에따라최적의상태를유지할수있도록주기적으로성능을검토하고개선되는단계 - 비상시안전한통신을할수있도록통신이중화설비를주기적으로점검하고관리하며검토된결과에따라통신이중화정책및절차가개선된다. 주기적으로통신이중화수행검토개선내역

122 7.4 정보시스템백업과복구 목적 세부통제항목 사용자및시스템정보의백업이이행되고백업정보가안전하게저장되는지를평가한다. 데이터및장비의무결성과가용성을유지하기위해백업계획을수립하여이행하여야하며, 사고발생시적시에복구할수있도록관리하여야한다 백업및복구절차가수립되어있는가? 백업방법및백업매체등의사항이명시되어있는가? 정기적 / 비정기적인백업이이루어지고있는가? 백업및복구가담당자에의해관리되고있는가? 데이터및장비의무결성과가용성을유지하기위해백업계획을수립하여이행하여야하며, 사고발생시적시에복구할수있도록관리하고있는가? 평가시주안점 정보자산에대한백업및복구계획및절차가수립되어있고, 계획및절차가사업연속성과일관성이있는가? 중요한정보에대해서일별, 주별, 월별등정기백업이실시하고있으며백업된매체는식별이용이하도록현황을관리하고있는가? 재난시대처할수있도록백업매체를소산하고있으며백업매체에소산할시, 소산내용등을기록하고있는가? 백업매체관리장소및소산장소에대한물리적보안이이루어지고있는가? 시스템을외주관리하는경우백업및복구요건이계약서또는 SLA 에반영되고있는가? 검토자료예시 정보자산에대한백업및복구계획및절차서 백업매체관리장소및소산장소에대한물리적보안대책서 복구절차서 백업복구방법과관련된문서 정기백업관리대장

123 7.4 정보시스템백업과복구 세부평가항목 개요 정보자산에대한백업및복구절차가수립되어이행되고있는가? 보안사고발생시정보자산을보호하고, 정상적인시스템운영을위해정보자산에대한백업이수행되고이에대한복구절차가수립되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보자산에대한백업및복구가이행되지않거나계획없이수행되는단계 - 정보자산에대한백업및복구를수행하지않는다. - 정보자산에대한백업및복구가수행되나백업절차및방법이정의되어있지않다. 별도증빙자료없음정보자산에대한백업및복구계획이부분적으로문서화되어있는단계 - 백업및복구계획에일정, 예산선정, 담당인력등의내용을포함하여문서화한다. 백업계획수립시고려사항 적절한백업방법, 백업매체, 백업보관방법을이용한다. 데이터의중요도및법규등에서요구하는사항에부합되도록백업대상및방식, 주기, 표준등을마련한다. 복구계획수립시고려사항 장애발생보고방법의수립 복구우선순위의결정 사후점검및원인분석 장애및복구기록유지관리사항백업및복구지침, 백업및복구계획서

124 3 단계 부가설명 정보자산에대한백업및복구절차가계획된문서를바탕으로전사적운영및관리가수행되는단계 - 백업이정기적 ( 수시, 월별, 분기별 ), 비정기적으로이루어지고있다. - 백업관리자는백업방법및백업매체사용방법등을인지하고백업된자료를안전하게보관관리하고있다. - 백업정보가일정시간 ( 즉시, 24시간, 48시간 ) 안에안전하게복구되고있다. 백업관리대장, 백업매체관리장소및소산장소에대한물리적증빙자료예시보안대책서 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근 3년간정보자산에대한백업및복구절차가적절히수행되고있는지주기적인테스트를통해백업및복구의유효성이검증되고있는단계 - 백업및복구가일정시간내에끝마칠수있는지에대한정기적인검토과정과테스트과정을수행한다. - 최근 3년간백업및복구절차가정보자산의무결성및가용성을유지하는지에대해정기적인검토를수행한다. 백업및복구에대한테스트문서변화된환경에맞게백업및복구가주기적으로개선되고최적의상태로유지되고갱신되고있는단계 - 백업및복구절차와방법이주기적으로검토되어백업절차수립시반영되고있다. - 백업및복구방법변경이백업절차가갱신되어최적의상태로유지되고있다. 갱신된백업및복구지침

125 7.4 정보시스템백업과복구 세부평가항목 개요 백업자료의저장이지리적으로분산되거나백업사이트가운영되고있는가? 중요한정보에대해서일별, 월별등정기적인백업이이루어지고지리적으로분산된곳에백업자료가보관및관리되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 백업자료의저장이물리적으로분산되어있지않거나백업사이트가운영되고있지않은단계 - 하나의시스템에백업자료가모두보관되어있다. - 중요데이터백업을수행하는데분산또는백업사이트운영등의관리가이루어지고있지않다. 별도증빙자료없음백업자료가지리적으로분산저장되어운영되기위한계획이부분적으로문서화되어있는단계 - 백업자료보관및관리계획이문서화되어있다. 백업보관및관리계획의예 데이터중요도및법규등의요구사항 백업주기에따른분산저장 백업내용에따른분서저장백업보관및관리계획중요백업자료가계획된문서를바탕으로물리적으로분산되어전사적으로관리되거나운영되는단계 - 데이터의성격, 데이터의양, 전산망자원가동시간등을고려하여백업방식을선택한다. - 백업보관및관리계획에따라물리적으로분산또는백업사이트가관리운영되고있다. 백업보관및관리수행내역

126 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근 3년간중요백업자료의저장또는백업사이트운영이효과적으로운영되고있는지점검하고관리되는단계 - 최근 3년동안의중요데이터에대한백업이백업보관및관리계획에따라수행되고검토된내역이확인된다. 최근 3 년간백업보관및관리수행검토내역 관리책임자의승인을얻어중요백업자료의저장또는백업사이트운영이점검결과를토대로주기적으로개선하여적용하고있는단계 - 일정기간동안백업보관및관리계획을바탕으로중요백업자료저장또는백업사이트운영수행내역이검토된다. - 관리책임자의승인하에백업저장또는백업사이트운영을점검하고그내용이백업보관및관리계획의개선이반영된다. 주기적으로백업보관및관리가개선된내역

127 7.4 정보시스템백업과복구 세부평가항목 백업자료복구에대한책임할당과모의훈련에대한계획이수립되어절차에따라이행되고있는가? 개요 백업자료복구가시간내에적절하게이행될수있도록책임할당및모의훈련이계획되어수행되어야한다. 착안사항설명 1 단계 백업자료복구에대한책임할당과모의훈련계획이수립되어있지않거나이행되지않는단계 부가설명 증빙자료예시 2 단계 - 백업자료복구가이루어지고있지않다. - 백업자료복구가일부시스템에대해서수행되고있으나책임할당및비상시에대비한모의훈련계획이없다. 별도증빙자료없음백업자료복구에대한책임할당과모의훈련계획이부분적으로문서화되어있는단계 부가설명 - 백업자료복구가시간안에적절하게이행될수있도록복구절차를문서화하고있다. 모의훈련계획문서의예 복구절차및모의훈련절차 복구모의훈련의범위, 방법, 담당자, 보고내역 복구실패시의대응방안 백업자료복구에대한책임할당 - 백업복구에대한책임할당과모의훈련이일부시스템에적용되어수행되고있다. 증빙자료예시 백업복구절차및모의훈련계획

128 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 백업복구에대한책임할당과모의훈련이계획된문서를바탕으로적용되어전사적으로수행되는단계 - 백업복구에대한책임을할당하고비상시를대비하여문서화된모의훈련이이루어지고있다. - 백업자료에대한복구가시간내에적절히이행된다. 백업복구절차및모의훈련수행내역최근 3년간백업자료복구에대한책임할당과모의훈련결과를분석하고관리되는단계 - 백업복구모의훈련절차에따라테스트가수행되고수행된내역이검토된다. - 백업복구에대한책임할당내역이검토된다. - 최근 3년간백업복구절차및모의훈련절차수행내역이확인되고검토된다. 최근 3년간백업복구절차및모의훈련수행검토내역백업자료복구에대한책임할당과모의훈련의결과를주기적으로개선하여적용되는단계 - 일정기간동안정보시스템백업복구에대한책임할당과모의훈련수행내역이검토되고검토된내역에따라모의훈련계획절차가개선된다. 일정기간동안모의훈련계획절차개선내역

129 8. 물리적환경적보호 8.1 물리적접근통제 목적 정보시스템및시설에대한물리적접근통제가수행되는지를평가한다. 세부통제항목 물리적접근통제정책및절차가수립되어있는가? 정보시스템및중요시설에대해물리적접근통제장치를이용한접근통제가이루어지는가? 평가시주안점 정보시스템에대한접근통제에대한기록이유지 보관되는가? 중요시설에대한출입기록이유지되고있는가? 비상탈출및복귀절차가확립되어있는가? 검토자료예시 물리적보안정책및절차 물리적시설출입기록문서 각구역별출입허가명단 각구역별외부출입자명단

130 8.1 물리적접근통제 세부평가항목 개요 안전장치, 신원확인, 카드키또는생물학적측정과같은장치를통해중요시설에대한접근통제가이루어지는가? 특별한보호가필요한시설및장비에대해물리적, 환경적재난으로부터보호하기위한보호구역을정의하고접근통제장치를통해물리적접근통제가이루어져야한다. 착안사항설명 1 단계중요시설에대한접근통제가수행되지않은단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 - 중요시설에대한명확한정의가없고접근통제가이루어지지않는다. - 중요시설에대한구역을정의하고있으나접근통제가이루어지지않는다. 별도증빙자료없음중요시설에대한접근통제절차가부분적으로문서화되어있는단계 - 중요시설에대해물리적보호구역이설정되어문서화되어있다. - 물리적보호구역에대해출입통제방법및관리가문서화되어있다. 접근통제절차에포함되는사항 물리적보호구역의중요도에따라접근통제정도가명시 접근통제방법명시 ( 카드센서장치, IC카드, 광카드, 출입관리장치, 암호입력장치, 생체인식장치등 ) 정보시스템및중요시설에대한물리적접근통제가기록접근통제정책관련문서중물리적접근통제부분

131 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 중요시설에대한접근통제절차가계획된문서를바탕으로전사적으로수행되는단계 - 허가되지않는자의접근을제한하고접근통제내역이기록되고있다. - 비인가자가출입해야할경우담당자의인솔하에출입되어진다. 주요시설에대한출입기록내용 주요시설에대한입실시각과퇴실시각 주요시설에대한출입목적출입기록문서최근 3년간중요시설에대한접근통제가이루어지고결과에대한문제점을분석하고확인하는단계 - 최근 3년간의접근통제절차에따른접근통제내역이관리되고있다. - 출입기록이정기적또비정기적으로점검되고있다. - 중요시설에대한변경 ( 담당자변경, 시설변경 ) 시접근통제절차가검토되어재수립되고있다. 최근 3년간의접근통제내역중요시설에대한접근통제절차가이행되고주기적으로개선하여조직의정책에맞는효과적인물리적접근통제가적용되고관리되는단계 - 중요시설에대한접근통제절차및방법이주기적으로개선되고있다. - 미흡한접근통제절차를분석하여차기접근통제계획수립시반영하고있다. 개선된접근통제정책

132 8.1 물리적접근통제 세부평가항목 개요 관리자가민감한시설에대해물리적으로접근하는사람들의기록을주기적으로재검토하는가? 민감한시설에대해필요한보안등급이정의되어있고보안조치및절차가수립되어야한다. 또한민감한시설접근통제수행내역 ( 출입기록등 ) 을주기적으로검토해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 중요시설접근에대한접근통제로출입자기록이이루어지고있지않거나출입자기록이검토되지않는단계 - 중요시설을접근할때출입자기록등과같은접근통제가이루어지고있지않다. - 중요시설에접근통제가이루어지고있으나출입자기록재검토가절차없이수행되고있다. 별도증빙자료없음중요시설에대한접근통제절차문서중출입자기록재검토사항이부분적으로문서화되어있는단계 - 정책및절차에따라민감시설에보안등급이정의되어있고보안등급에따라접근통제문서가마련되어있다. - 민감한시설에대한접근통제절차중출입자기록및재검토절차가문서화되어있다. 출입자기록및재검토절차예 접근하는사람 비인가자에대한구분 출입자기록방법 출입자기록재검토절차출입자기록재검토절차내용

133 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 민감한시설에대해물리적으로접근통제가이루어지고출입자기록재검토절차에의해접근하는사람에대한검토가전사적으로수행되는단계 - 출입자기록및재검토절차가문서화되어있어절차에따라관리자에의해출입자기록재검토가수행된다. 재검토내용 물리적시설의보안등급에따라출입자들의권한검토 출입시각 출입목적출입자기록재검토수행내역최근 3년간출입자기록재검토절차의성과가측정되고측정결과를분석하고검토되는단계 - 민감한시설에대한출입자기록재검토절차에대해재검토가수행되며절차가검토되고있다. - 최근 3년간출입자기록재검토절차수행및검토내역이확인된다. 최근 3년간출입자기록재검토수행검토내역출입자기록에대한접근필요성을주기적으로검토하고문제점을개선하여민감시설에대한접근통제가효과적으로이행되는단계 - 민감한시설에대한접근통제가효과적으로이행되고주기적으로이행내역이검토된다. - 주기적으로출입자기록에대한재검토절차가검토된내역의결과를반영하여개선된다. 주기적출입자기록재검토절차개선내역

134 8.1 물리적접근통제 세부평가항목 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가확립되어있는가? 개요 화재, 수재, 전력이상, 단전및누수감지등과같은재해발생에대비하여재해훈련등비상탈출및복귀절차가수립되어야한다. 이러한절차에따라주기적으로교육이이루어지며결과에따라절차가개선되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가확립되어있지않은단계 - 물리적시설에접근이허가된사람에대한재해훈련이이루어지고있지않다. - 재해훈련이실시되고있으나비상탈출및복귀절차가수립되어있지않다. 별도증빙자료없음허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가부분적으로문서화되어있는단계 - 물리적시설에접근이허가된사람에대한재해훈련시비상탈출및복귀절차가문서화되어있다. 비상탈출및복구절차예 비상탈출방법 비상복구절차 비상탈출및복구훈련 건물내비상탈출구명시비상탈출및복구절차

135 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가문서에따라전사적으로이행되는단계 - 물리적시설에접근이허가된사람에대해비상탈출및복구절차에따라재해훈련이전사적으로수행된다. 비상탈출및복구수행내역 최근 3년간허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차에따라이행된결과를측정하고분석하여관리되는단계 - 물리적시설에대해재해훈련시비상탈출및복구절차에따라수행되고그결과를측정하고분석하여관리가이루어진다. - 최근 3년간비상탈출및복구절차가검토된내역이확인된다. 최근 3 년간비상탈출및복구수행검토내역 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차의효과성을주기적으로검토되고개선되는단계 - 주기적으로물리적시설에대한재해훈련시비상탈출및복구절차가검토된결과에따라개선이이루어지고있다. 주기적으로비상탈출및복구수행개선내역

136 8.2 디스플레이매체접근통제 목적 정보를표시하는디스플레이매체에대한접근통제를평가한다. 세부통제항목 평가시주안점 컴퓨터화면에중요한정보를띄워놓고자리를비우지않도록디스플레이접근통제정책이수립되어있는가? 주기적으로디스플레이접근통제정책을검토하고개선하고있는가? 검토자료예시 물리적보안정책및절차 감사결과보고서

137 8.2 디스플레이매체접근통제 세부평가항목 개요 컴퓨터모니터에대한화면보호기설정및모니터위치설정등의주의사항에대해감독기능이수행되고있는가? 디스플레이매체에대한접근통제정책이수립되어있고컴퓨터모니터에화면보호기설정및모니터위치설정등의주의사항을사용자에게숙지시킨다. 장시간동안자리를비울경우전원을꺼야하고패스워드등의보호수단을사용해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 화면보호기설정및모니터위치설정등의주의사항에대한규정이없는단계 - 디스플레이매체에대한화면보호기설정, 모니터위치설정등의주의사항을나타내는정책이수립되어있지않다. 별도증빙자료없음 화면보호기설정및모니터위치설정등의주의사항에대한규정이부분적으로문서화되어있는단계 - 디스플레이매체에대한접근통제정책이문서화되어있고주의사항을사용자에게숙지시킨다. 디스플레이매체주의사항 디스플레이주의사항내용 ( 화면보호기설정, 모니터위치설정등 ) 사용자교육 디스플레이매체감독기능 디스플레이매체접근통제정책

138 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 화면보호기설정및모니터위치설정등의주의사항에대한정책이문서화되고정책을바탕으로관리감독하는기능을전사적으로수행하는단계 - 디스플레이매체에대한주의사항정책이문서화되어있고문서화된정책에따라관리되어진다. - 디스플레이매체를사용하는사람에게주의사항을숙지시키고이에따라이행되고있다. 디스플레이매체접근통제수행내역최근 3년간화면보호기설정및주의사항등에대한규정을사용자에게수시로인식과감독된결과를검토하는단계 - 사용자가디스플레이매체에대한주의사항정책에따라수행되고수행된결과가검토되어진다. - 최근 3년간의디스플레이매체규정수행검토내역이확인된다. 최근 3년간디스플레이매체규정검토내역화면보호기설정및주의사항등에대한규정을적용하여관리자가수시로점검하고문제점에대해주기적으로개선하는단계 - 디스플레이매체에대한접근통제규정이검토된결과에따라정책이개선된다. - 디스플레이매체규정의개선된사항을사용자에게숙지시킨다. 주기적으로디스플레이매체규정개선내역

139 8.3 물리적접근모니터링 목적 물리적접근에대한감시추적이이루어지고있는지를평가한다. 세부통제항목 각보호구역에대하여접근통제수행내역을주기적으로검토하고있는가? 평가시주안점 주기적으로검토된결과에따라새로운환경에대응하기위한물리적접근통제모니터링규정및절차가개선되는가? 검토자료예시 물리적보안정책및절차 각구역별출입허가자명단 각구역별외부출입자명단

140 8.3 물리적접근모니터링 세부평가항목 개요 안전감시직원의배치, CCTV 등을통해정책에따른물리적접근에대한감시추적과보안위반행위가감시되는가? 물리적접근통제내역은주기적으로물리적보안관리자에의해검토되어야하며권한이없는자의출입시도나유지보수, 비상시등특별한경우는별도의추적관리가이루어져야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 물리적접근에대한감시추적과보안위반행위의감시가수행되지않는단계 - 보호구역을출입하는자를감시 통제하고보안위반행위에대한감시가이루어지고있지않다 별도증빙자료없음 물리적접근에대한감시추적과보안위반행위의감시규정이부분적으로문서화되어있는단계 - 유지보수나비상시, 비인가접근등의행위를감시하기위한물리적접근모니터링의규정및절차가문서화되어있다. 물리적접근모니터링규정및절차의예 인가자와비인가자의구분 물리적접근모니터링범위지정및방법설정 물리적접근모니터링규정및절차 물리적접근에대한감시추적과보안위반행위의문서를바탕으로감시가전사적으로수행되는단계 - 보호구역을접근할경우에대한접근모니터링절차를문서화하고수립된절차에따라전사적으로수행된다. - 비상시나비인가자침입시도와같은행위가감시되어추적관리가이행된다. 물리적접근모니터링규정및절차수행내역

141 4 단계부가설명증빙자료예시 5 단계부가설명 물리적접근에대한감시추적과보안위반행위의감시결과를분석하고검토되는단계 - 물리적접근시모니터링절차에따라감시추적이수행되고수행된내역이검토되어진다. - 최근 3년동안물리적접근감시추적등의감시결과내역및검토내역이확인된다. 최근 3년간물리적접근모니터링규정및절차검토내역물리적접근에대한감시추적과보안위반행위의감시절차의효과성이검토되고주기적으로개선되는단계 - 물리적접근감시추적등의감시결과내역이분석되고그내역이물리적접근모니터링절차에반영된다. - 반영된의견에따라물리적접근모니터링절차가개선된다. 증빙자료예시 주기적으로물리적접근모니터링규정및절차개선내역

142 8.4 전력장비및전력선보호 목적 전력배선및전력장비가손상되거나파손되지않도록정기적으로검토되고있는지를평가한다. 세부통제항목 장비매뉴얼에서명시된범위내로전압이유지될수있도록전압조절기및충분한용량의 UPS가설치되어있는가? 평가시주안점 전력배선및전력장비의손상이나훼손을보호하기위해보호활동이수립되어이행되는가? 정기적으로전력배선및장비에대한검토와파손으로인해발생할수있는위협들에대해검토하고있는가? 검토자료예시 물리적보안정책및절차 장비배치도 장비점검표

143 8.4 전력장비및전력선보호 세부평가항목 개요 전원공급이상이나기타전기관련사고로부터장비를보호하기위해설비상태에대해정기적으로검토되고있는가? 전원공급이상이나기타전기관련사고발생시전원을지속적으로공급하기위하여장비제조업체의사양에따라적절히관리해야한다. 착안사항설명 1 단계전력설비상태에대해검토하지않는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 자연재해등과같은재해나비상시를위한전원공급전력장비에대한대책이마련되어있지않다. - 전력설비상태에대한검토가이루어지고있지않다. 별도증빙자료없음전력설비상태에대한검토계획이부분적으로문서화되어있는단계 - 재해나비상시에대비하기위한전력설비상태검토계획이문서화되어있다. 전력상태검토계획예 전력상태검토절차 검토일정, 방법 전력상태시뮬레이션전력상태검토계획전력설비상태에대한검토가정기적으로전사적수행이되는단계 - 자연재해나비상시등의정전사태를대비하기위해전력상태검토계획에따라전력설비상태를점검한다. - 정기적으로전력상태점검을위해전문입력을통해정기적으로전력설비시설에대한검토가이루어져야한다. 전력상태검토수행내역

144 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정기적인전력설비상태검토결과에대한성과측정이이루어지고검토되는단계 - 자연재해나비상시정전이발생할경우를대비하여전력상태를검토를수행하고수행된결과를분석하고검토한다. - 최근 3년동안전력상태검토수행검토내역이확인된다. - 비상시를대비하여지속적인전력공급을위한시설이마련되어있다. 최근 3년간전력상태검토수행결과내역정기적인전력설비상태점검결과가최적의상태가되도록검토및개선되는단계 - 주기적으로전력상태검토수행된내역이검토되고그결과에따라전력상태검토절차의개선이이루어진다. - 전력상태검토결과에따라비상시전력공급을위한추가적인시설을갖추도록한다. 주기적으로전력상태검토절차개선내역

145 8.4 전력장비및전력선보호 세부평가항목 개요 전력및통신회선을도청이나손상으로부터예방및조치하는활동이이루어지고있는가? 데이터를송수신하거나정보서비스를지원하는전력및통신케이블은방해되거나손상을입지않도록보호해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 전력및통신회선보호를위한예방및조치활동이수행되지않는단계 - 전력및통신회선을데이터가로채기나외부손상으로부터보호하기위한예방및조치활동이수행되고있지않다. 별도증빙자료없음 전력및통신회선보호를위한예방조치활동계획이부분적으로문서화되어있는단계 - 전력및통신회선을보호하기위한예방및조치활동계획이문서화되어있다. 전력및통신회선보호시고려할사항 정보처리시설의전력및통신선은가능한지하에매설하고추가적인보호장치를한다. 네트워크케이블이비인가된가로채기나손상되는것을방지하기위한방법을모색해야한다. 전력선을전기적간섭을방지하기위해통신선과분리한다. 중요시스템의경우케이블의보호장비및출입문이나저장소에대한잠금장치를설치하고대체통신경로등의마련이필요하다. 전력및통신접근통제문서

146 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 전력및통신회선보호를위한예방및조치활동이문서에따라전사적으로이행되는단계 - 전력및통신회선이외부손상이나훼손으로부터보호하기위한주의사항및보호해야할사항에대한문서를바탕으로수행되고있다. 전력및통신접근통제수행내역전력및통신회선보호를위한예방및조치활동의성과가측정되고분석하고검토되는단계 - 전력및통신회선보호를위한주의사항및보호사항에따라수행되며수행된결과를분석하고관리한다. - 최근 3년간전력및통신회선을보호하기위한주의사항및보호사항정책및절차수행된결과에따른검토내역이확인된다. 최근 3년간전력및통신회선보호검토내역전력및통신회선보호를위한예방및조치결과에대한분석을바탕으로주기적으로개선되는단계 - 주기적으로전력및통신회선을외부손상및훼손등의위협으로부터보호하기위한정책및절차검토내역을바탕으로개선이이루어지고있다. 주기적으로전력및통신회선보호개선내역

147 8.5 비상전력 목적 무정전전압장치를제공하여주전원손실시정보시스템에대한보호를수행하는지를평가한다. 세부통제항목 평가시주안점 예기치않은정전사태를대비하는전원공급장치나백업발전기가있는가? 비상전력공급에대한계획및절차에따라운영되고있어주기적으로발전기상태를점검하는가? 검토자료예시 물리적보안정책및절차 장비배치도 장비점검표

148 8.5 비상전력 세부평가항목 개요 전력이중단되지않도록무정전전원공급장치나백업발전기가있는가? 전원공급이상이나기타전력사고를대비한보호장비를갖추어야한다. 비상시전원을공급하기위해다중전력선확보, 무정전전원공급장치 (UPS), 보조발전기등의시설을갖춘다. 착안사항설명 1 단계 부가설명 증빙자료예시 비상전력공급을위한시설이운영되지않거나계획없이운영되는단계 - 예기치못한정전으로인한기기이상또는데이터손상등을예방하기위한비상전력공급시설이운영되고있지않다. - 비상전력공급시설이계획없이운영되고있다. 별도증빙자료없음 2 단계비상전력공급을위한계획이부분적으로문서화되어있는단계 부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 예기치못한정전사태를대비하는장비보호장치에대해계획된정책및절차가문서화되어있다. 비상전력공급정책및절차예 비상전력공급장치도입절차 비상전력공급장치운영절차 비상시정전사태를위한훈련사항 비상시비상전력및백업발전기사용절차및시뮬레이션내용 비상전력공급정책및절차 UPS장비나백업발전기를사용하여비상전력을계획에맞게공급하여전사적으로적용하고있는단계 - 비상시전력을공급하기위한장비를도입하여비상전력공급정책및절차에따라전사적으로수행된다. 비상전력공급정책절차수행내역

149 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근 3년동안 UPS장비나백업발전기에대해정기점검이이루어지고주기적인훈련을통해발전기상태를확인하여관리되는단계 - 비상전력공급정책및절차에따라수행되고수행된내역이검토된다. - 최근 3년간비상전력공급정책및절차수행및검토내역이확인된다. 최근 3 년간비상전력공급정책절차검토내역 UPS장비나백업발전기를사용한비상전력이최적의상태로유지될수있도록공급용량에대해주기적으로검토되고조정되는단계 - 주기적으로비상전력공급정책및절차검토내역결과에따라개선이이루어진다. 주기적으로비상전력공급정책및절차개선내역

150 8.6 비상조명 목적 정전시비상구, 대피경로가포함되는자동비상등시스템을도입및유지하고있는지를평가한다. 세부통제항목 예기치않은정전시를대비한비상조명정책및절차를수립하여이행되고있는가? 평가시주안점 비상시를대비한비상구및대피경로에대한안내가되어있고주기적으로고장여부등을확인하여관리하고있는가? 직원들을대상으로한비상조명과대피경로등을알리고교육하고있는가? 검토자료예시 물리적정책및절차 장비배치도 건물도면

151 8.6 비상조명 세부평가항목 중요시설에대한비상조명이구비되어있는가? 개요 예기치않은정전및비상사태를대비하기위한비상조명 ( 비상구, 대피경로등 ) 이설치되어있어야한다. 또한직원들에게비상시를대비한대피경로및비상구에대한교육이이루어져야한다. 착안사항설명 1 단계중요시설에대한비상조명이구비되어있지않은단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 비상사태가발생하였을경우중요시설에대한비상조명이구비되어있지않거나일부시설에만구비되어있다. 별도증빙자료없음 비상조명설치장소, 도입및유지관리등비상조명설치계획에대해부분적으로문서화되어있는단계 - 예기치않은정전이나비상사태를대비한비상조명설치정책및절차가문서화되어있다. 비상조명정책및절차예 비상조명설치절차 비상조명설치장소 비상조명유지관리 비상조명교육및안내 비상조명정책및절차 중요시설에대해비상조명이계획된문서에따라전사적으로설치되어있는단계 - 예기치않은정전이나비상사태에따른비상조명정책및절차가문서화되어있고문서화된내역에따라비상조명이설치되어있다. - 비상사태를대비한비상조명장소및대피경로등의인지를직원들에게교육시킨다. 비상조명정책및절차수행내역

152 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근 3년동안비상조명설치후지속적으로관리되고검토된내역이확인되는단계 - 비상조명정책및절차를바탕으로비상조명이설치되고설치된내역이관리되고검토된다. - 최근 3년간비상조명정책및절차수행이검토된결과가확인된다. 최근 3년간비상조명정책및절차수행검토내역중요시설의환경변화에따라비상조명체계가반영되어최적의상태를유지할수있도록주기적으로개선되는단계 - 비상조명정책및절차수행이검토된결과에따라비상조명절차의개선이이루어진다. - 주기적으로개선된비상조명정책및절차에따라비상시대피경로등의주의사항을직원들에게숙지시킨다. 주기적으로비상조명정책및절차개선내역

153 8.7 환경통제 목적 화재시활성화될수있는화재진압및탐지장치의시스템을도입하고유지하고있는지를평가한다. 세부통제항목 적절한환경통제에대한규정이이루어지고있는가? 평가시주안점 소방법에따른자동화재탐지설비및경보장치등을설치하고경비실또는소방서로경보가연결되어있는가? 검토자료예시 물리적보안정책및절차 장비배치도 장비점검표 장비책임자목록서

154 8.7 환경통제 세부평가항목 개요 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제를수행하고있는가? 화재 / 수재등의각종재해에대비한시설을충분히설치하여야하고, 비상연락장치및비상구, 물리적접근통제및시건장치를설치하여야한다. 일정한전압을유지하고단전시컴퓨터를안전하게셧다운할수있도록전원을공급할수있어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제가수행되지않는단계 - 화재나재해시를대비한시설 ( 화재자동탐지설비및경보장치, 진압장치, 누수점검등 ) 인환경통제가수행되지않는다. - 환경통제가수행되어도일부시설에대한통제가수행된다. 별도증빙자료없음화재진압및냉 / 난방시스템, 누수점검등에대한환경통제계획이부분적으로문서화되어있는단계 - 적절한환경통제를위한환경통제시스템도입및유지에관한정책및절차가문서화되어있다. 환경통제정책및절차예 환경통제를위한시스템도입절차 재해에대한설비관리 ( 소화설비, 자동화재경보, 자가발전기등 ) 환경통제장비점검절차및내역환경통제정책및절차

155 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제를문서에따라전사적으로이행하고있는단계 - 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제정책및절차에따라전사적으로수행된다. - 소방법에따른자동화재탐지설비및경보장치, 수 / 자동진압장치를설치하고당직실이나소방서로경보가연결되도록하여야한다. - 적절한간격으로누수감지기가설치되어있어야하며경보가연결되어야한다. - 일정한전압을유지하고단전시컴퓨터를안전하게셧다운할수있도록전원을공급할수있어야한다. 환경통제정책및절차수행내역 최근 3년동안비상시대비를위한자동화된도구를사용하여환경통제가수행되며수행내역이검토되는단계 - 재해및비상시를대비한환경통제정책및절차에따라수행되고검토된다. - 최근 3년동안환경통제정책및절차수행검토내역이확인된다. 최근 3 년간환경통제정책및절차수행검토내역 중요시설의환경변화에따라환경통제가적절히이루어지는지정기적으로점검하고결과를반영하여주기적으로개선되는단계 - 주기적으로환경통제정책및절차의수행및검토된결과와환경변화에따라환경통제절차의개선이이루어진다. 주기적으로환경통제정책및절차개선내역

156 9. 인적보안 9.1 신원조사 목적 조직의정보및정보시스템에접근하는사용자에대한신원조사가수행되는지를평가한다. 세부통제항목 정보시스템접근권한에대해정의되어있고사용자에대한신원조회가절차에따라수행되고있는가? 평가시주안점 민감한정보를취급하는직원들에대한비밀유지서약이이루어지고있는가? 중요정보나정보시스템에대한사용자책임이할당되고책임추적성을보장하고있는가? 검토자료예시 신원조사자료 인사규정 정보보호정책 인사계약서

157 9.1 신원조사 세부평가항목 개요 신원조회가수행되고비밀유지서약서를작성하고있는가? 정보시스템접근권한을포함하는업무를새로할당하거나접근필요시할당할경우사용자신원조회및비밀유지서약서작성등의절차가이루어져야한다. 착안사항설명 1 단계신원조사수행및비밀유지서약서작성절차가없는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 조직의정보및정보시스템에사용자접근부여시신원조사및비밀유지서약서작성이이루어지고있지않다. 별도증빙자료없음 신원조사수행및비밀유지서약서작성절차가수립되어문서화되어있는단계 - 정보및정보시스템접근권한을부여하거나새로업무를할당할경우신원조사및비밀유지서약서작성절차가문서화되어있다. 신원조사및비밀유지서약서절차예 신원조사기준절차 신원조사관련내용 비밀유지서약서의내용, 서명자, 서명여부및서명날짜 - 부분적으로정보및정보시스템접근권한신원조사및비밀유지서약이수행된다. 신원조사및비밀유지서약서절차 신원조사수행및비밀유지서약서작성절차에따라수행하는단계 - 정보및정보시스템에대한새로운업무를할당할경우신원조사를수행하고사용자에게비밀유지서약서를작성하고서명을받는다. 신원조사및비밀유지서약서수행내역

158 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 신원조사수행및비밀유지서약서가작성되고서약서의내용대로이행하는지검토되고보관되는단계 - 정보및정보시스템에대해새로운업무할당및접근권한을받을경우신원조사및비밀유지서약서내역이확인되고결과를검토한다. - 최근 3년간의신원조사및비밀유지서약서내역검토결과가확인된다. 최근 3 년간신원조사및비밀유지서약서검토내역 신원조사수행및비밀유지서약서의내용을정기적으로검토하여내부정책에맞게적용되었는지주기적으로검토하고개선되는단계 - 주기적으로신원조사및비밀유지서약서내역검토결과가확인되고그결과에따라절차가개선되어반영된다. 신원조사및비밀유지서약서개선내역

159 9.2 인사관리 목적 인사이동과퇴직자에대한계정관리및소유한정보자산처리등인사관리에대해평가한다. 세부통제항목 인사보안정책에대한규정이정의되고인사관리절차가문서화되어있는가? 평가시주안점 인사관리절차에정보시스템사용자및관리자의책임을명시하고있는가? 인사관리절차에직원이보안책임을이행하지않을경우의처벌규정이명시되어있는가? 주기적으로인사관리절차를검토하여결과를개선하고있는가? 검토자료예시 적격심사자료 민감직무분류및정의서 비밀유지서약서 인력보안정책 퇴직절차서, 퇴직양식

160 9.2 인사관리 세부평가항목 개요 인사이동, 인력채용, 고용유지, 퇴직, 적격검사, 민감직무등의사항을고려한인사관리절차가수립되고이행되는가? 인사관리절차에는직원들이지켜야하는정보보호책임이명시되어야하고인사이동, 인력채용, 고용유지, 퇴직, 적격검사, 민감직무등의사항이문서화되어있어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 인사이동및퇴직자에대한계정관리와소유한자산처리절차가수립되어있지않는단계 - 인사이동, 인력채용등의인사관리를위한절차가수립되어있지않아인사관리가절차없이수행된다. 별도증빙자료없음 인사이동및퇴직자에대한계정관리와소유한자산처리절차가문서화되어있는단계 - 인사에대한보안정책 ( 인사이동, 인력채용, 고용유지, 퇴직, 적격심사, 민감직무등의사항 ) 에따라인사관리절차가문서화되어있다. 인사관리절차예 인사보안정책및지침 인사규정에대한책임과권리 인력에대한적격심사절차 인사관리절차 인사이동및퇴직자에대한계정관리와소유한자산처리절차가문서에따라전사적으로이행되는단계 - 인사보안정책에대한인사관리절차가문서화되어있고문서에따라인사관리절차가전사적으로수행된다. - 정보보호에대하여직원이지켜야할책임등을명시하고직원들에게숙지시켜책임관리가수행된다. 인사관리절차수행내역

161 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 인사이동및퇴직자에대한계정관리와소유한자산처리절차가적절히이행되는지분석되고관리되는단계 - 인사관리절차에따라수행내역이확인되고수행된결과가검토되고있다. - 최근 3년동안인사보안정책의내용이인사관리절차에따라수행되고관리되어검토된내역이확인된다. 최근 3년동안인사관리절차검토내역인사이동및퇴직자에대한계정관리와소유한자산처리절차이행절차가정책에맞게적절히반영되고주기적으로개선되는단계 - 주기적으로인사관리절차에따라수행된결과가검토되고검토된내역이인사관리절차에반영되어개선된다. - 인사이동, 인력채용, 고용유지등의사항이일어났을경우개선된인사관리절차가반영된다. 주기적으로인사관리절차개선내역

162 9.3 내부인력관리 목적 보안시스템이나서비스개발자를통제하는관리계획이수립되어실행되는지를평가한다. 세부통제항목 평가시주안점 정보시스템및서비스에대한내부인력보안관리절차가문서화되고수행되는가? 주기적으로내부인력보안관리절차가검토되고그결과에따라개선되는가? 검토자료예시 인사보안정책 인사규정 민감직무분류및정의서 비밀유지서약서 인력보안정책

163 9.3 내부인력관리 세부평가항목 개요 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리에관한계획이수립되어시행되고있는가? 정보시스템이나서비스에대해내부인력에대해접근권한부여, 직무를할당하는등과같은내부인력관리를위한절차를문서화하여수행한다. 민감한직무에대한정의가이루어지고적격심사및비밀유지서약서작성등의보안이이루어져야한다. 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 착안사항설명 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리가시행되지않는단계 - 내부인력에대한보안관리가수행되고있지않다. - 정보시스템및서비스에대한내부인력보안관리가계획및절차없이수행되고있다. 별도증빙자료없음 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리계획이부분적으로문서화되어있는단계 - 정보시스템및서비스에대한내부인력보안관리을위한절차가문서화되어있다. 내부인력보안관리절차예 직무에따른접근권한부여기준정의 새로운접근권한부여시정의및절차 직원의보안책임및처벌규정 내부인력보안관리절차 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리가문서에따라전사적으로이행되는단계 - 내부인력보안관리절차가문서화되어있고그절차에따라내부인력관리가수행된다. 내부인력보안관리수행내역

164 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리활동이적절히수행되는지검토되는단계 - 정보시스템및서비스에대해내부인력보안관리절차가수행되고그결과를검토한다. - 최근 3년동안내부인력보안관리절차수행내역이검토된결과가확인된다. 최근 3년간내부인력보안관리절차검토내역시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리절차가주기적으로검토되고개선되는단계 - 정보시스템및서비스에대한내부인력보안절차수행내역을검토하고그결과가주기적으로개선된다. - 개선된내부인력보안절차가반영되어운영된다. 내부인력보안절차개선내역

165 9.4 제 3 자보안 목적 제3자에대한보안요건을확립하고감독하여적절한보안을유지하는지를평가한다. 세부통제항목 제3자에의한정보자산접근과관련한보안요구사항을도출하는가? 평가시주안점 제3자에의한정보자산접근시조직의정보보호정책준수및필수보안요건을포함한공식계약이체결되는가? 검토자료예시 인사규정 정보보호정책 비밀유지서약서 계약서

166 9.4 제 3 자보안 세부평가항목 개요 제3자 ( 외부유지보수직원, 외부용역자포함 ) 에의한정보자산접근과관련한보안요구사항의도출및정보보호정책준수계약에이행되고있는가? 조직에서제3자에게정보자산접근과허용하는계약을체결하는경우조직의정보보호정책준수및필수보안요건을포함하는공식적인계약을해야한다. 착안사항설명 1 단계제 3 자에대한보안요구사항이계약에반영되지않은단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 제3자가조직에접근시정보자산접근및보안요구사항에대한절차가마련되어있지않다. 별도증빙자료없음 제3자에대한보안요구사항이계약에반영을위한접근보안요구사항계획및절차가부분적으로문서화되어있는단계 - 조직에제3자의접근을할당할경우보안요구사항에대한절차가문서화되어있다. 제3자접근보안요구사항절차예 무결성, 가용성, 정보복제, 공개의제한등을포함한조직의정보자산에대한보호 서비스제공정책과관리절차 접근통제협의사항 문제해결을위한단계적확대절차수립 책임소재및보고방법및위반시손해배상규정 제 3 자접근보안요구사항절차 전사적으로제3자에대한보안요구사항이계약에반영되어있고, 계약준수여부를감독하고있는단계 - 전사적으로조직에제3자의접근을할당할경우보안요구사항에대한절차에따라계약서를작성하고수행된다. 제 3 자접근보안요구사항수행내역

167 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 제3자보안준수감독활동에대한성과를측정하고측정결과가분석하여관리되는단계 - 제3자의접근을할당할경우보안요구사항절차에따라수행되며수행결과에대한성과를측정하고검토한다. - 최근 3년간제3자접근을위한보안요구사항절차가수행되고검토된내역이확인된다. 최근 3 년간제 3 자접근보안요구사항절차검토내역 제3자보안통제절차의정책준수계약서의내용이내부정책에맞게주기적으로개선되는단계 - 주기적으로제3자접근을위한보안요구사항절차가검토되고검토된내역결과에따라절차가개선된다. 주기적으로제 3 자접근보안요구사항개선내역

168 10. 사고대응 10.1 사고대응모의훈련 목적사고대응모의훈련의성숙도를평가한다. 세부통제항목 평가시주안점 보안사고대응방법및절차에관한적절한교육계획이존재하고이에따라정기적으로교육을실시하는가? 보안사고처리후재발방지를위하여발생할수있는사고내용, 대응방안, 향후재발방지방안등을포함한교육, 훈련이실시되는가? 검토자료예시 모의훈련계획서 모의훈련 / 인식결과서

169 10.1 사고대응모의훈련 세부평가항목 개요 보안사고인식과처리방법에대한내용을포함한교육, 모의훈련이실시이행되고있는가? 보안사고발생시신속한대응을위하여침해유형에대한정의및대응절차를마련하여모의훈련을실시하고효과적으로보안사고을대응할수있도록하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 사고대응절차가마련되어있지않으며, 모의훈련이계획없이수행되고있는단계 - 보안사고인식과처리방법에대한교육및모의훈련이실시되지않는다. - 보안사고에대한대응절차및계획없이모의훈련이수행되고있다. 별도증빙자료없음사고대응절차가마련되어역할및책임이정의되어있으며, 계획이문서화되어있는단계 - 보안사고대응방법및절차에대한교육계획이문서화되고보안사고처리후재방방지를위한교육및훈련에대한문서가마련되어있다. 보안사고대응방법및절차에대한교육계획의예 교육계획절차 교육일자, 교육내용, 교육자, 피교육자대상자, 교육교재 보안사고처리후재발방지를위한사항 발생할수있는사고내용 향후재발방지방안 - 부분적으로보안사고대응교육및훈련이실시되고있다. 보안사고대응방법및절차

170 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계 조직에서발생가능한모든보안사고유형의파악및처리방법에대한내용을포함한교육, 모의훈련을실시하고있는단계 - 조직의보안사고에대응하기위한방법및절차가문서화되어있고이를바탕으로보안사고대응계획, 절차및방법에한교육및모의훈련이수행된다. 보안사고대응방법및절차교육수행내역사고처리후재발방지를위하여필요한교육, 모의훈련이지속적으로이행되고훈련결과가검토되는단계 - 조직의보안사고대응에대한방법및절차에따라교육및모의훈련이수행된결과가검토된다. - 최근 3년간보안사고대응방법및절차의교육및모의훈련수행된내역에따라결과가검토된내역이확인된다. 최근 3년간보안사고대응방법및절차교육검토내역모의훈련및사고처리후재발방지를위한교육, 모의훈련결과검토를통해부적절한절차가주기적으로개선되는단계 부가설명 증빙자료예시 - 조직의보안사고대응방법및절차의교육이수행되고수행된결과에따라검토되고관리된다. - 검토된결과에따라주기적으로보안사고대응방법및절차의교육및모의훈련절차의개선되어운영한다. 주기적으로보안사고대응방법및절차교육절차개선내역

171 10.2 사고모니터링 목적 정보시스템보안사고에대한계속되는추적및기록이이루어지고보안사고정보의수집및분석정도를평가한다. 세부통제항목 정보시스템및서비스에대한보안사고을효과적으로모니터링하고대응할수있는절차를마련하여대응체계가구축되어있는가? 평가시주안점 외부기관을활용하여보안사고를모니터링하는경우, 이에대한세부사항이계약서및계획서에포함되어있는가? 보안사고의모니터링, 대응및처리와관련되어전문가, 전문기관, 전문정부기관 (KISA) 등과의협조체계를구축하고있는가? 검토자료예시 모니터링시스템구성도 모니터링보고서 협조절차및방법

172 10.2. 사고모니터링 세부평가항목 개요 부정접근 ( 시스템, 파일등 ) 이나정당한접근에대한의심사례및보안사고조사과정을지속적으로모니터링하고있는가? 보안사고발생시증거활용을위하여증거추적프로세스를마련하고저장능력강화를통해지속적으로증거를보호해야한다. 착안사항설명 1 단계 부가설명 증빙자료예시 보안사고에모니터링계획이수립되어있지않으며, 필요시에모니터링이수행되는단계 - 정보시스템및서비스에대한보안사고가발생하는사례및보안사고조사과정을위한모니터링절차가마련되어있지않다. 별도증빙자료없음 2 단계보안사고에대한모니터링계획이문서화되고있는단계 부가설명 증빙자료예시 - 정보시스템및서비스에대한보안사고를모니터링하고대응할수있는중앙집중적인대응체계문서가마련되어있다. 보안사고모니터링절차 모니터링및대응방법 대응조직및인력 모니터링및대응절차 모니터링및대응보고및승인방법 - 정보시스템및서비스에대한부분적으로보안사고에대응하기위한모니터링을수행하고있다. 보안사고모니터링절차

173 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 전사적보안사고및보안사고예측등에대한모니터링이이루어지고모든접근추적감시가추적되는단계 - 정보시스템및서비스에대한보안사고모니터링절차가문서화되어있고문서에따라보안사고를대비한모니터링이수행된다. - 모니터링결과를바탕으로모든접근에대한축적이가능하다. 보안사고모니터링수행내역보안사고에대한추적및기록이적절히보호되며, 모니터링결과를분석하여성과를측정하는단계 - 정보시스템및서비스의보안사고에대한모니터링이수행된결과가분석되고검토된다. - 최근 3년동안보안사고에대한모니터링을수행하고부정접근및허가된접근에대한의심사례에대한조사결과를검토한내역이확인된다. 최근 3년동안보안사고모니터링검토내역지속적으로모니터링결과가분석되고분석결과를바탕으로모니터링방법이주기적으로개선되는단계 - 주기적으로부정접근및허가된접근에대한의심사례에대한조사결과가검토되고검토된내역이보안사고모니터링절차및방법에개선된다. 주기적으로보안사고모니터링방법및개선내역

174 10.3 보안사고보고 목적 보안사고의징후및보안사고를인식했을경우보고절차와사고보고내용, 범위, 영향평가등을포함하여분석이이루어지고있는지를평가한다. 세부통제항목 보안사고보고시보안사고와관련된내용등의사항이문서화되어보고되고있는가? 평가시주안점 보안사고가발생되면공식적인관리절차나사고대응절차에따라신속하게보고가이루어지고있는가? 보고에대한피드백절차가있어서보고된사고에대한결과가최고경영자층에통보되고있는가? 검토자료예시 보안사고보고절차문서 보안사고보고보고서 보안사고연락망 보안사고기록문서

175 10.3 보안사고보고 세부평가항목 보안사고발생여부에대한판단기준및보고절차, 보고내용, 보고방법등이절차화되어이행되는가? 개요 보안사고의형태및범위에따른보고절차를마련하여유형에맞는효율적인대응이이루어질수있도록한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 보안사고보고절차및체제가구축되어있지않거나계획없이이행되어지는단계 - 보안사고가발생되면보고절차및체제없이이행되고있다. - 보안사고인지의여부등에대해담당자가판단하고보고하고있다. 별도증빙자료없음보안사고보고절차가수립되고보안사고역할및책임이문서로정의되어있는단계 - 보안사고에대한보고절차가문서화되어있다. 보안사고보고절차문서의예 보안사고인지판단기준 보안사고발생부터사고대응결과보고까지절차 보안사고발생시담당자등의관리자의역할 보안사고발생시책임에대한내용 - 보안사고역할및책임이부분적으로수행되고있다. 보안사고보고절차관련문서

176 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 전사적으로보안사고발생여부가판단되는기준에따라협조체제가구축되어운영되고절차에따라기록되고이행되는단계 - 보안사고발생시보안사고보고에대한연락망등의협조체제가구축되어있다. - 보안사고가발생하면보고문서를작성된다. 보안사고보고서의내용예 보안사고날짜 보고자와보고일시 사고내용 사고대응내용 보안사고통계 사고대응까지의소요시간등보안사고연락망, 보안사고보고서일정기간동안보안사고발생후보고절차및체제가정량적으로측정되고분석되고있는단계 - 보안사고에대한보고절차및체제를정량적지표로작성하여문서화되어있다. - 일정기간동안 ( 최근 3년 ) 의보안사고보고절차및체제수행내역이검토되고있다. 보안사고정량적지표문서, 최근3년동안의보안사고내역보안사고발생후보고절차및체제가소요시간등의목표에따라측정되고부적절한절차가주기적으로개선되는단계 - 보안사고발생시소요시간단축등의보안사고절차를개선하기위한목표를설정하고있다. - 보안사고보고절차및체제에대한검토가이루어진다. - 분석된내용을바탕으로보고절차및체제가개선된다. 보안사고절차개선내역문서

177 10.3 보안사고보고 세부평가항목 보안사고유형, 범위, 비용, 영향평가등을포함한보안사고가분석되어기록되고있는가? 개요 보안사고의정량화된분석및평가를통해보안사고의재발방지및중대한위험에대한대응방안을수립하여야한다. 착안사항설명 1 단계 부가설명 보안사고분석이수행되지않거나계획없이수행되고있는단계 - 정보시스템및서비스에대한보안사고에대한분석이수행되지않는다. - 보안사고에대한분석이수행되고있으나보안사고분석기법에대한절차없이수행된다. 증빙자료예시 2 단계부가설명증빙자료예시 별도증빙자료없음보안사고분석에대한시행계획이부분적으로문서화되고이행되는단계 - 보안사고분석기법에대한정의가마련되어있고분석기법에의한보안사고가분석되어보고절차문서가마련되어있다. 보안사고분석서예 보안사고유형 보안사고양 보안사고비용등보안사고분석서

178 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 전사적보안사고유형, 범위, 비용영향평가등을포함한보안사고가분석되어기록되는단계 - 정보시스템및서비스에대한보안사고분석기법에의해보안사고가분석되어기록되고있다. 보안사고분석결과기록예 분석주기및분석자확인 분석결과확인 보고자, 일시, 분석내용 보안사고분석결과수행내역 보안사고사후대응결과에대한영향평가등이측정되고분석되고있는단계 - 정보시스템및서비스의보안사고가보안사고분석기법에의해분석되고분석된결과가검토된다. - 최근 3년간보안사고분석된결과검토내역이확인된다. 최근 3 년간보안사고분석결과검토내역 보안사고사후대응결과가검토되고목표에따라측정되고재발방지를위해주기적으로개선되는단계 - 주기적으로보안사고분석내역이확인되고결과에따라분석기법및방법의개선이이행된다. 주기적으로보안사고분석절차개선내역

179 11. 감사및책임추적성 11.1 감사대상이벤트생성기능 목적 정보시스템에대한지속적인감사가수행되는지를평가한다. 세부통제항목 정보시스템에접근하는사용자의행위를감시하기위한감사추적기능이수행되는가? 평가시주안점 정보시스템에접근하는사용자별접근통제가수행되고있는가? 주기적으로감사추적기능이수행되고그결과에따라계획및절차가개선되고있는가? 검토자료예시 감사추적지침및계획 감사로그관리계획및절차

180 11.1 감사대상이벤트생성기능 세부평가항목 개요 일반사용자행위식별기능과감사추적기능이있는가? 주요정보시스템에접근되는모든사용자기록은유지되어야하며, 지정된권한에의하여적절히이용하였는지시스템화하여정기적으로점검하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 사용자행위식별과감사추적기능이없거나계획없이행위식별및감사추적이이행되는단계 - 사용자를식별하는기능이나주요정보시스템에대한감사추적기능이없다. - 절차나계획없이사용자행위식별및감사추적기능을수행하고있다. 별도증빙자료없음정보시스템에접근하는사용자에대한행위식별과감시추적기능의시행계획이부분적으로문서화되어이행되는단계 - 정보시스템에접근하는사용자의행위에대한감시추적기능의계획및절차가문서화되어있다. 감시추적계획및절차예 대상, 범위, 주기, 방법, 절차 감사추적도구 - 감시추적기능에대한문서에는누가무엇을, 어떤단말에서, 어떤시스템에서, 언제, 어떤객체를사용하여했는지, 그리고그것이성공적인지실패인지에대한기록이있다. 감사추적지침및계획 ( 감사추적대상기능포함 ) 증빙자료예시감사추적수행내역또는감사추적용로그 ( 일부시스템에서확인가능 )

181 3 단계 부가설명 사용자의역할에따른활동상황의식별기능과감사추적기능이전사적으로시스템화되어운영되는단계 - 감사추적을위한제반기능이정의되어해당기능에대한감사추적이전사적으로운영되고있다. - 운영시스템의데이터파일에대한감사권한은읽기전용으로이루어지며, 감사자의감사활동은허가되고있다. 감사추적지침및계획증빙자료예시감사추적수행내역또는감사추적용로그 ( 전사시스템에서확인가능 ) 4 단계 부가설명 일정기간동안사용자행위식별기능과감사추적기능이확인되고검토되는단계 - 최근 3년동안사용자행위식별기능과감사추적기능수행결과가확인되고그결과를검토하고있다. - 감사추적기록의보관기간에대한감독기관의규정이있는경우해당규정에의거한기간동안의감사추적기록을확보하고있다. 최근 3년간또는감사추적기록보관기간규정에따른일정기증빙자료예시간동안의감사추적수행검토내역또는감사추적용로그 ( 전사시스템대상 ) 5 단계 부가설명 증빙자료예시 사용자행위식별기능과감사추적기능이최신성을보장할수있도록주기적으로개선하는단계 - 주기적으로사용자행위식별기능과감사추적기능에대한검토결과에따라감사지침과계획이개선된다. 감사추적지침및계획이개선된내역

182 11.1 감사대상이벤트생성기능 세부평가항목 감사로그가오프라인에일정기간동안유지되고감사로그에대한접근이엄격하게통제되고있는가? 개요 사용자의활동, 예외사항및정보보안이벤트의로깅이수행되어합의된기간동안보관되고, 감사로그는위조및비인가자의접근으로부터의적절하게보호되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 감사로그에대한유지및접근통제가이루어지지않거나구체적인계획없이통제가되는단계 - 감사추적기능을통해감사로그관리가수행되지않거나수행되어도계획및절차없이수행된다. - 감사로그기록에대한오프라인으로보관되고있지않다. 별도증빙자료없음감사로그에대한유지와접근통제에대한시행계획이부분적으로문서화되어있는단계 - 감사추적기능을통한감사로그관리를위한접근통제시행계획및절차등이문서화되어있다. 감사로그관리계획및절차 온라인 / 오프라인감사로그보관지침 감사로그접근통제 감사로그추가 / 삭제지침 감사로그관리계획및절차 ( 감사로그별유지기간및보호방안증빙자료예시포함 )

183 3 단계 부가설명 감사로그에대한유지와접근통제가전사적정보시스템의중요도에따라되어적용되어있는단계 - 감사로그관리계획및절차에대한문서를통해정보시스템중요도에따른감사로그유지가이루어지고있다. - 감사로그가오프라인으로감사로그관리계획및절차에따라문서가보관되어접근통제가수행된다. 감사로그관리계획및절차 ( 전사정보시스템중요도에따른분증빙자료예시류포함 ), 감사로그관리수행내역및관리수행내역 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 감사로그및접근통제내역에대하여무결성을보장하기위하여주기적으로검토되는단계 - 일정기간 ( 최근 3년간 ) 감사로그및접근통제가수행되고수행된결과가검토되고있다. - 감사추적용기록및로그에대한무결성확인을위해해쉬값의확인등주기적인변조가능성검토가이루어지고있다. 최근 3년간감사로그관리검토내역감사추적용기록및로그무결성검토내역 감사로그및접근통제내역에대하여주기적인분석을통한취약점발견및대응방안을수립하여개선하는단계 - 주기적으로감사로그및접근통제수행내역에대하여검토가이루어지고그결과에따라감사로그및접근통제계획및절차의개선이이루어지고있다. - 주기적인감사로그및접근통제기록에대한주기적인분석결과파악된규정위반항목에대해대책을제시하고있다. 감사로그관리계획및절차개선내역감사로그분석결과보고서 ( 규정위반항목에대한대책포함 )

184 11.2 감사정보관리 목적 기간, 저장용량등을포함한감사정보를관리하고있는지를평가한다. 세부통제항목 정보시스템등의감사기록이필요한부분에대한감사기록정보 ( 기간, 저장용량등 ) 가수행되고있는가? 평가시주안점 감사기록분석지표, 분석방법등의효과성분석을통해감사기록관리를하고있는가? 주기적으로감사기록분석결과에따라관리계획및절차, 보안대책등의개선이이루어지고있는가? 검토자료예시 감사기록 감사기록분석지표

185 11.2 감사정보관리 세부평가항목 개요 감사기록정보의관리 ( 기간, 저장용량등 ) 가이루어지고있는가? 감사기록정보는필요시활용될수있도록적절한기간동안저장되어야하며, 저장장치의용량이초과되어로깅을못하거나과거데이터를덮어쓰는경우가없도록하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 감사기록정보에대한관리를수행하지않거나계획없이관리되는단계 - 감사기록정보를관리하고있지만감사기록계획및절차가없다. - 감사기록관리가수행되지않고있어용량이초과되어저장되지않거나과거데이터가삭제되고있다. 별도증빙자료없음감사기록정보관리를위한시행계획이문서화되어있고감사기록을부분적으로저장하는단계 - 감사기록정보를관리하기위한계획및절차가문서화되어있다. 감사기록계획및절차 감사기록대상, 범위 사용자활동정보 감사기록이오프라인일경우접근통제 감사기록자료저장및백업관리 - 감사기록정보관리가부분적인시스템에대해서만수행된다. 증빙자료예시감사기록관리계획및절차서 ( 일부시스템대상 )

186 3 단계 부가설명 감사기록정보의보관기간, 저장용량등이정의되고, 전사적으로이행되는단계 - 감사기록계획및절차가문서화되어있고그문서에따라감사기록이이루어지고저장, 보관등의관리가수행된다. - 감사기록자료에대한저장및백업주기, 방법, 기간, 책임자등이수행되고내역이확인된다. 증빙자료예시감사기록관리계획및절차서 ( 전사시스템대상 ) 4 단계부가설명증빙자료예시 5 단계부가설명 일정기간동안감사기록정보에대한보안대책및관리방안을수립하고관리내역이유지되는단계 - 최근 3년동안감사기록계획및절차에따라감사로그보관및저장등의관리내역이확인되고그결과가검토된다. - 감사기록분석지표, 분석방법등의효과성분석이수행된다. 최근 3년동안감사기록수행검토내역감사기록정보의관리내역을검토한후주기적으로개선되는단계 - 주기적으로감사기록계획및절차에따라감사기록이관리되고그검토결과내역에따라감사기록계획및절차가개선된다. 최근 3년간감사기록계획및절차개선내역 ( 감사로그저장용증빙자료예시디스크에대한용량검토결과포함 )

187 11.3 감사모니터링, 분석및보고 목적 정기적으로감사결과에대해점검및분석이이루어지고의심스러운행동이나위반을조사하여보고및조치를취하는메커니즘을평가한다. 세부통제항목 감사기록대상이되는정보의범위가정의되어있고이에따른감사기록이이루어지고있는가? 감사기록은사용자의활동상황에대한추적정보를제공하고있는가? 평가시주안점 감사기록에대한접근은강력히통제되고있는가? 감사결과에따라감사보고서가작성되어있으며, 감사결론을위한증거가충분히뒷받침되고있는가? 감사결과를경영진에게보고하는보고프로세스가존재하며이에따라적정한책임자에게보고가이루어지는가? 검토자료예시 감사로그관리 감사기록 감사보고서

188 11.3 감사모니터링, 분석및보고 세부평가항목 개요 특정또는전체시스템에대한로그들이보관및분석되는가? 정보처리시설의사용에대한모니터링절차를수립하고해당감사기록을주기적으로검토하여야한다. 1 단계 부가설명 증빙자료예시 2 단계 부가설명 증빙자료예시 3 단계 부가설명 착안사항설명 시스템및네트워크관련행위로그에대한관리가수행되지않거나계획없이로그가관리되는단계 - 정보시스템및네트워크관련로그기록을하고있으나계획및절차없이수행된다. 별도증빙자료없음 시스템및네트워크관련행위에대한로그수집및분석시행계획이부분적으로문서화되어실행되는단계 - 정보시스템및네트워크를통한사용자의행위에대한증거가되는데이터로그를기록 / 저장시행계획이문서화되어있다. 감사기록로그수집및분석계획 정보시스템및네트워크를통한로그수집절차 로그분석방법 - 일부시스템을대상으로로그수집및분석시행계획이수립되어수행되고있다. 감사로그관리계획및절차감사로그분석결과보고서 ( 일부시스템대상 ) 시스템및네트워크관련행위로그에특권, 접근정책위반등에대하여전사적으로수행되고있는단계 - 전사정보시스템및네트웍의사용자행위에대한감사기록및로그를수집하고분석계획에따라주기적으로분석한다. - 감사기록로그에접근하는사람에대한접근통제정책을수행하고로그에대한감시가이루어진다. 증빙자료예시감사로그분석결과보고서 ( 전사시스템대상 )

189 4 단계부가설명증빙자료예시 5 단계부가설명 시스템및네트워크관련로그를주기적으로분석하여검토되고담당자가검토된내역을확인하는단계 - 최근 3년동안정보시스템및네트워크에대한로그관리가수행되고주기적으로검토된내역이확인된다. - 담당자가로그수집및분석수행내역을확인하여그내역의분석지표를작성하고있다. 최근 3년간감사로그분석결과보고서시스템및네트워크관련로그에대해분석하고분석결과를바탕으로주기적으로보안대책에반영되어개선되는단계 - 주기적으로정보시스템및네트워크관련로그들의분석지표를작성하고분석된결과에따라로그관리절차가개선되고보안대책에반영된다. 최근 3년간감사로그분석결과보고서증빙자료예시감사로그위반사항대응결과보고서 ( 감사로그분석결과에따른보안대책수립및적용결과를포함 )

190 11.4 감사기록시간표시기능 목적 감사기록구성에사용한시간표시기능에대해평가한다. 세부통제항목 평가시주안점 정보시스템의감사기록수행시감사기록관리지침및절차가마련되어있어이에따라수행되고있는가? 감시기록을구성할경우시간표시기능계획이문서화되어있고문서에주기적으로수행되고되고개선되고있는가? 검토자료예시 감사기록

191 11.4 감사기록시간표시기능 세부평가항목 감사기록에시간표시를위한기능이있는가? 개요 감사기록이필요한모든정보처리시스템에시간표시기능적용및동기화를수행하여증적자료로활용시에정확성을제공할수있어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 감사기록의시간표시와관련된계획이없으며, 일부정보처리시스템만시간표시를하는단계 - 정보시스템의감사기록시시간관리가이루어지고있지않다. - 정보시스템에대한감사기록시간표시시행계획없이수행되고있다. 별도증빙자료없음감사기록시간표시기능에대한시행계획이문서화되어있는단계 - 정보시스템의감사기록시시간표시기능에대한계획이문서화되어있다. 감사기록관리지침및절차예 감사기록삭제 감사기록변조여부 감사기록시간표시기능 - 일부시스템에대해감사기록시간표시시행계획에따라감사기록이수행되고있다. 감사추적계획및절차서 ( 일부시스템대상 ) 감사기록 ( 일부시스템에대한시간표시포함 )

192 3 단계부가설명증빙자료예시 4 단계부가설명 감사기록에시간표시를위한표준이수립되어적용되고시스템화되어전사적으로운영되고있는단계 - 정보시스템의감시기록시감사기록관리지침및절차에감사기록시간표시기능에대한내용에따라감사운영되고있다. 감사추적계획및절차서 ( 전사시스템대상 ) 감사기록수행내역 ( 전사시스템에대한시간표시포함 ) 감사기록의시각설정및동기화확인, 주기적인시각의설정및동기화점검여부등을분석하고관리하는단계 - 감사기록에대한시간설정및시각동기화가이루어지고있다. - 일정기간 ( 최근 3년 ) 동안감사기록관리지침및절차의감사기록시간표시기능에따라수행되고그내역이검토되어관리된다. 최근 3년동안감사기록수행검토내역 ( 감사기록시각동기화증빙자료예시및설정내역포함 ) 5 단계 부가설명 감사기록의시간표시기능의관리내역을검토한후주기적으로개선되는단계 - 주기적으로정보시스템의감시기록시감사기록표시기능이수행되고검토된내역에따라감사기록관리지침및절차가개선된다. 감사기록계획및절차개선내역 ( 시각동기화및설정내역증빙자료예시포함 )

193 11.5 부인방지 목적부인방지에대한조치가이루어지는지를평가한다. 세부통제항목 평가시주안점 메시지의송수신, 전자거래등을수행할때부인방지를위한계획및절차가문서화되어있는가? 주기적으로부인방지에대한계획및절차가개선되고있는가? 검토자료예시 부인방지계획및절차

194 11.5 부인방지 세부평가항목 개요 전자결제및전자문서사용시부인방지기능이이행되고있는가? 공중망을통해전자거래를수행하는경우, 정보는사기, 계약분쟁, 권한없는주출및변조로부터보호하기위하여부인방지기능을적용하여야한다. 착안사항설명 1 단계부인방지를위한기능이없거나계획없이이행되고있는단계 부가설명 증빙자료예시 - 메시지의송수신이나교환후송수신자가메시지를송수신하지않았다는것을방지하기위한기능및계획이없다. 별도증빙자료없음 2 단계부인방지에대한조치계획이부분적으로문서화되어있는단계 부가설명 - 전자거래등을수행한후부인을방지하기위한계획및절차가문서화되어있다. 부인방지계획및절차 부인방지를위한암호화방식및도구 부인시대처법 증빙자료예시부인방지계획및절차 ( 일부시스템대상 ) 부인방지를적용하기위하여주요위협요소를파악하여고려하 3 단계였으며, 부인방지기능을전사적으로적용한단계 - 전자거래등의수행후발생할수있는부인방지대응을위한전자서명확보등부인방지계획및절차가전사적으로부가설명수립되어있다. - 부안방지계획및절차에따라전사시스템에대한부인방지기능이적용된다. 부인방지계획및절차 ( 전사시스템대상 ) 증빙자료예시부인방지대책적용결과보고서 ( 전자서명등전사시스템에대한부인방지대책적용에대한결과포함 )

195 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 부인방지기능의무결성이검증되며, 지속적으로이행되고검토되고있는단계 - 최근 3년동안전자거래등의수행에대해부인방지기능이수행되고그결과를검토하고있다. 최근 3 년간부인방지수행및규정위반검토내역 부인방지기능이지속적으로이행되고실적이검토되어주기적으로부인방지조치가개선되는단계 - 부인방지기능이수행되고검토된결과에따라부인방지계획및절차의개선이수행된다. 부인방지계획및절차개선내역

196 12. 시스템및통신보호 12.1 계정관리 목적 정보시스템계정의삭제, 요청, 처리승인에대한절차가수립되어이행되는지를평가한다. 세부통제항목 정보시스템이나응용프로그램에대한특수권한의할당과그사용자목록관리등의관리가이루어지고있는가? 평가시주안점 사용자목록관리등의관리가시스템적으로관리되고있는가? 특수권한의할당및사용관리에대한문서는책임자의서명을포함한인가절차를따르는가? 공식적인사용자등록및해지를위한계정관리절차를마련하고수행하고있는가? 검토자료예시 사용자계정관리계획및절차 특수계정관리계획및절차

197 12.1 계정관리 세부평가항목 개요 사용자계정정보를관리 ( 삭제, 요청, 발급등 ) 하기위한처리절차가있는가? 사용자계정은책임추적성을가질수있도록고유하게부여하여야하며, 업무목적과조직보안정책과부합되는지주기적인점검을수행하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계 사용자계정처리절차가수립되어있지않거나계획없이계정관리가수행되는단계 - 정보시스템및응용프로그램에대한사용자계정과특수계정에대한관리가이루어지지않는다. - 계정관리를위한계획및절차가마련되어있지않다. 별도증빙자료없음사용자의계정관리를위한시행계획이부분적으로문서화되어있는단계 - 정보시스템및응용프로그램에사용자계정과특수계정관리를위한계획및절차가문서화되어있다. 사용자계정관리계획및절차예 부가설명 사용자계정생성절차 사용자계정에따른권한부여절차 사용자권한변경절차 사용자계정관리를위한기록 ( 생성, 변경, 권한등의상황을기록 ) 사용자계정삭제절차 특수계정관리계획및절차예 특수계정생성절차 특수계정에따른권한부여절차 특수권한변경절차 특수계정관리를위한기록 ( 생성, 변경, 권한등의상황을기록 ) 특수계정삭제절차 책임자의서명을포함한인가절차 - 부분적으로사용자계정및특수계정관리가수행된다. 증빙자료예시 사용자계정관리절차

198 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 계정관리계획에따른공식적인계정처리절차가수립되어적용되고수행되고있는단계 - 사용자계정관리계획및절차에따라계정관리 ( 생성, 삭제, 변경등 ) 가수행되고직무에따라사용자권한변경이이루어진다. - 특수계정계획및절차에따라계정관리가수행되고특수권한의할당및사용관리에대한문서는책임자의서명을포함한인가절차에따라수행된다. - 계정관리계획및절차에따라시스템적으로관리가이루어진다. 사용자계정수행내역, 사용자별계정목록, 계정관리시스템 일정기간동안사용자의계정처리절차에따라이행된결과가확인되고검토되는단계 - 최근 3년간사용자계정과특수계정관리를위한계정관리계획및절차에따라수행되고그결과가검토되어진다. 최근 3 년간사용자계정수행검토내역 계정처리결과를분석하여주기적으로개선방향이반영되는단계 - 주기적으로사용자계정과특수계정관리절차에따라수행된결과가검토되고검토된내역이계정관리계획및절차에반영되어개선된다. 사용자계정관리절차개선내역

199 12.2 패스워드관리 목적 세부통제항목 사용자패스워드에대한관리를통해임대하거나공유, 분실및손상으로부터합리적으로보호하고있는지를평가한다. 사용자패스워드의관리절차를수립하고이행하여야한다 다음사항을포함하는사용자패스워드관리절차가존재하고, 이에따라이행되고있는가? - 안전한패스워드사용기준 - 초기패스워드할당후의변경 - 패스워드의암호화 - 패스워드의재발급등 평가시주안점 시스템관리자계정의패스워드에대해최소자리수, 영문자와숫자의조합, 사용기간등의패스워드정책이설정되어수행되고있는가? 시스템관리자계정에대한비밀번호관리정책및절차를수립하여이행하고있는가? 패스워드의안전성을위해스마트카드, 일회용패스워드, 지문인식등의다른방법을사용하는가? 시스템및패스워드관리책임은사용자자신에게있음을주지시키고관리지침을제공하여야한다. 검토자료예시 패스워드정책문서 패스워드교육자료 시스템및패스워드관리지침

200 12.2 패스워드관리 세부평가항목 개요 패스워드의재사용과기본패스워드방지를위해정기적으로패스워드를변경하는내용이정책또는규정에포함되어있는가? 사용자는안전하게패스워드를관리하여야하며, 적절한조합, 자릿수설정및주기적변경을통해추측가능하지않도록해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 패스워드관리정책이수립되어있지않거나계획없이수행되는단계 - 패스워드를공유하거나패스워드정보에대해타인이쉽게볼수있도록하고있다. - 패스워드에대한정책이마련되어있지않다. 별도증빙자료없음사용자패스워드재사용및기본패스워드사용방지에대한계획 ( 방법, 변경기간, 패스워드규칙등 ) 이부분적으로문서화되어있는단계 - 패스워드를통한보안사고을방지하기위해패스워드에대한정책계획이문서화되어있다. 패스워드정책관련문서의예 패스워드사용방법 패스워드최대사용기간 패스워드관련규칙 패스워드분실시에대한대처방법 - 부분적으로패스워드시행계획에따라수행되고있다. 패스워드정책에관한문서

201 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 사용자패스워드재사용및기본패스워드사용방지를위한정책등이전사적으로수립되어있고, 교육되어진단계 - 패스워드사용에대한내용 ( 패스워드방법, 변경기간등 ) 및중요성을인식시키기위해교육이실시되어진다. - 중요시스템의패스워드파일에대한암호화등을통한보안관리가이루어지고있다. - 패스워드정책변경에대한사용자공지시스템이존재한다. 패스워드사용에대한교육자료일정기간동안패스워드관리정책에따라생성된패스워드가확인되고검토되는단계 - 패스워드를사용자들이직접관리하는경우초기에관리자에의해제공되는임시패스워드를사용자들이즉시바꾸어관리한다. - 개인패스워드나그룹공유패스워드에대해서는사용자가유출하지않겠다는서약서를받고있다. - 최근 3년동안사용자계정에따른패스워드관리정책을통해수행되고그결과를검토하고있다. 패스워드유출방지서약서패스워드정책에따라적절하게생성되어사용되고있는지를분석하여, 주기적으로개선방향이반영되는단계 - 주기적으로패스워드관리정책및절차가검토되고개선된다. - 패스워드관리정책및절차가개선된경우에는사용자에게알려개선된정책을적용한다. 최근 3년간의패스워드관리정책및절차서

202 12.2 패스워드관리 세부평가항목 개요 패스워드생성및손실 / 손상된패스워드관리규정에대한절차가수립되어있는가? 패스워드의생성시초기패스워드는즉시변경하여야하며, 사용자가패스워드수령을승인해야한다. 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 착안사항설명패스워드생성및손실 / 손상된패스워드관리규정절차가수립되어있지않거나계획없이이행되는단계 - 사용자계정및특수계정에대한패스워드관리 ( 생성, 손실 / 손상등 ) 가계획및절차없이수행된다. 별도증빙자료없음주요시스템에대한패스워드관리절차수립계획이문서화되어있는단계 - 정보시스템및응용프로그램에사용자계정및특수계정에대한패스워드관리계획및절차가문서화되어있다. 사용자계정에대한패스워드관리계획및절차예 패스워드생성시절차 패스워드손실 / 손상시절차 패스워드변경절차 특수계정에대한패스워드관리계획및절차 패스워드변경시책임자의보고및인가절차 패스워드보관절차 - 일부정보시스템및응용프로그램에대한사용자계정과특수계정에대한패스워드관리가수립되어있다. 패스워드관리절차문서화된계획에따라패스워드관리규정및절차 ( 패스워드생성및손실등 ) 가수립되어전사적으로수행되는단계 - 사용자계정과특수계정에대한패스워드관리계획및절차에따라패스워드관리 ( 생성, 손실 / 손상등 ) 가수행된다. - 계정의패스워드관리계획및절차수행내역이확인된다. 패스워드관리절차수행내역

203 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 일정기간동안패스워드관리규정및절차에따라관리된패스워드가확인되고검토되는단계 - 최근 3년동안사용자계정과특수계정에따라패스워드관리가수행된내역이확인되고수행결과에따라검토가이루어진다. 최근 3년간패스워드수행검토내역패스워드관리규정및절차에따라관리된결과를분석하여주기적으로개선방향이반영되는단계 - 사용자계정과특수계정에따라패스워드관리가수행되며그결과가검토되어패스워드관리절차에반영되어개선된다. 패스워드관리절차개선내역

204 12.2 패스워드관리 세부평가항목 개요 패스워드전송과저장시안전한프로토콜 / 알고리즘을사용하는가? 안전하지않은전자메일등을이용한패스워드전송은금지하여야하며, 패스워드는컴퓨터시스템에안전하지않은방식으로저장되지않아야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 패스워드전송과저장시프로토콜및알고리즘을사용하지않고계획없이패스워드전송및저장이이루어지는단계 - 사용자계정과특수계정의패스워드에대한전송, 저장의안전성을위한프로토콜 / 알고리즘이마련되어있지않다. 별도증빙자료없음 패스워드전송및저장시프로토콜및알고리즘사용계획이부분적으로문서화되어있는단계 - 사용자계정과특수계정의패스워드를보호하기위한암호프로토콜및알고리즘사용에대한계획이패스워드관리절차에포함되어있다. - 패스워드전송및저장시일부계정에대해서프로토콜및암호알고리즘시행계획이수립되어수행된다. 패스워드관리절차 패스워드전송과저장시암호화알고리즘과안전한프로토콜이전사적으로사용되고있는단계 - 사용자계정과특수계정의패스워드를안전하게보관 / 전송하기위해암호화알고리즘과프로토콜을사용하여수행된다. 패스워드암호화수행내역

205 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 일정기간동안패스워드전송및저장시프로토콜또는알고리즘에대한안전성이확인되고검토되는단계 - 최근 3년동안사용자계정과패스워드계정에대한암호화알고리즘과프로토콜수행내역이검토되고있다. 최근 3 년간패스워드암호화수행검토내역 패스워드전송및저장시안전성결과를검토하여주기적으로개선되는단계 - 주기적으로사용자계정과패스워드계정에대한암호화알고리즘 / 프로토콜수행결과가검토되고그결과가관리절차에반영되어개선된다. 패스워드관리절차개선내역

206 12.3 설정관리 목적 중요서버시스템및통신장비, 정보보호제품등의설정관리가되고있는지를평가한다. 세부통제항목 보안시스템의운영설정절차및방안이수립되어수행되고있는가? 평가시주안점 보안장비및프로그램은담당자를지정하여운영하고있으며, 권한이있는담당자에게만접근권한이할당되어있는가? 각보안시스템들이기업의보안정책과운영절차대로이행되고있는지, 보안위반사항이없는지주기적으로설정과운영기록을점검하고있는가? 주요보안시스템의변경, 관리기록에대해보안시스템담당자외에제 3자가확인하고있는가? 검토자료예시 보안시스템운영설정관리절차및방안

207 12.3. 설정관리 세부평가항목 개요 중요서버시스템및통신장비정보보호제품의설정관리가승인과정을통하여이행되고있는가? 정보시스템에대한운영관리는문서화된절차에의하여수행되어야하며, 관련절차는승인을통해점검되고확인되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 중요서버시스템및통신장비등에대한설정관리가이행되지않거나계획없이이행되는단계 - 중요서버시스템및통신장비에대한운영설정관리가수행되고있지않다. - 시스템및통신장비설정변경이승인없이수행된다. 별도증빙자료없음중요서버시스템및통신장비에대한설정관리계획이부분적으로문서화되어있는단계 - 보안시스템의운영설정관리절차및방안이문서화되어있다. 보안시스템운영설정관리절차및방안예 운영설정절차 보안설정지침 시스템설정변경승인절차 접근통제방안 보안시스템운영책임과업무 - 일부시스템에대해부분적으로변경및설정관리가이루어지고승인된다. 보안시스템운영설정관리절차및방안

208 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 중요서버시스템및통신장비에대한보안설정가이드라인또는지침이수립되어전사적으로수행되는단계 - 전사적보안시스템에대해보안정책과운영설정관리계획이수립되어수행된다. - 각종보안시스템에대한운용가이드라인이수립되어있다. 운영설정관리수행내역 일정기간동안의설정관리에대한승인내역이확인되고검토되는단계 - 최근 3년동안보안시스템이운영설정관리절차및방안에따라수행되고그내역이검토된다. 최근 3 년간운영설정수행검토내역 설정관리에대한승인과정이지속적으로분석, 검토되어개선되는단계 - 주기적으로보안시스템에대한설정관리가수행된내역이검토되고그결과가운영설정관리절차및방안에반영되어개선된다. 시스템운영설정관리절차및방안개선내역

209 12.4 접근통제 목적세부통제항목평가시주안점검토자료예시 접근통제정책및관련접근시행메커니즘을도입하여정보시스템사용자접근을통제하는지를평가한다. 비인가된접근을막기위해네트워크의내 외부연결통제, 사용자터미널과컴퓨터서비스간에물리적및논리적경로의통제, 사용자인증, 고장진단포트에대한접근통제등을포함한네트워크접근정책을수립하고이행하여야한다 다음을포함하는네트워크접근정책이수립되어있고, 이에따라운영되고있는가? - 접근통제정책에따라인가된사용자만이네트워크에연결할수있도록함. - 사용자터미널과컴퓨터서비스간에물리적및논리적경로의통제 - 접근통제정책에따른네트워크라우팅통제 - 전화접속에다이얼백또는토큰기반인증 - 원격사용자의적절한인증 - 고장진단포트에대한접근통제 - 중요한정보서비스, 사용자그룹, 시스템그룹의별도분리및비인가자의접근통제대책마련등 업무요구사항에따라접근통제의방법과범위등을정의하고있는가? 사용자의접근권한과통제규칙에대해문서화되어있는가? 접근통제시스템에대해보안정책이적용된접근통제절차에따라서허용여부를결정하는가? 주기적으로접근통제정책및절차에대한검토가이루어지고있는가? 접근통제정책문서 사용자단말에서컴퓨터서비스까지의논리적, 물리적접근경로가문서화 접근승인문서 접근허가목록 접근승인에따른인증체계

210 12.4 접근통제 세부평가항목 개요 사용자별시스템및정보보호제품에대한물리적, 논리적접근권한이부여되며정기적으로검토가이루어지고있는가? 정보및정보처리시설이설치된장소를보호하기위해보안구역은인가된사람만이출입이가능하도록적절하게출입통제를실시하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 사용자별접근권한이부여되지않거나계획없이이행되는단계 - 정보시스템및정보보호제품에대해사용자별로접근권한을부여하지않는다. - 정보시스템및정보보호제품등에대해임의적으로담당자가접근권한을부여하고있다. 별도증빙자료없음사용자에대한직급별, 업무별접근권한에대한검토계획이부분적으로문서화되어있는단계 - 정보시스템및정보보호제품등을사용하는자에대한접근통제정책및절차가문서화되어있다. 사용자접근권한정책및절차예 사용자계정생성및삭제절차 접근등급에대한분류표 직급이나업무별등회사마다의접근부여방법 사용자권한변경시절차 특수권한관리에대한절차 보안구역설정에관한내용 시스템로그관련내용 - 일부시스템에대해서물리적, 논리적접근권한을부여하고있다. 사용자접근권한접근통제정책서

211 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 사용자별시스템및정보보호제품에대한물리적접근권한에대한정책이전사적으로수립되어, 이를통한접근권한이부여되는단계 - 정보시스템및정보보호제품에대해통제장치 ( 방범시설, 잠금장치등 ) 을설치하고있다. - 정보시스템및정보보호제품등의보안구역출입시증빙문서 ( 출입관리대장 ) 를작성한다. - 정보시스템및정보보호제품등에대한로그에대해문서화하여보관하고있다. 접근통제정책문서, 사용자단말에서컴퓨터서비스까지의논리적, 물리적접근경로가문서화, 접근승인문서, 접근허가목록, 접근승인에따른인증체계일정기간동안의접근권한에대한내용이확인되고검토되고있는단계 - 일정기간동안의정보시스템및정보보호제품에대한접근권한내역이문서화되어있고검토되고있다. - 접근통제에따른보안사고발생시시스템의로그, 출입관리문서를통해내역을확인할수있다. 시스템로그관리문서, 일정기간접근권한내역접근권한부여내역이검토되고사용자직급및업무변경시접근권한이변경되고주기적으로갱신되는단계 - 주기적으로사용자별정보시스템및정보보호제품등의접근권한부여에대한내역이검토되어지고수정사항이있을경우개선된다. - 사용자직급및업무변경이발생할경우접근변경절차에따라접근권한이변경절차에따라이루어진다. 접근권한변경절차서

212 12.4 접근통제 세부평가항목 개요 네트워크접근 ( 특정터미널접근, 응용프로그램접근, 시스템운영체제접근등 ) 정책이수립되어있고이에따라운영되고있는가? 전송되는정보를포함하여네트워크를사용하는시스템및응용프로그램의보안을관리하고위협으로부터보호하기위해서네트워크의적절한접근통제가이루어져야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 네트워크접근통제정책이수립되어있지않거나계획없이운영되는단계 - 정보시스템및서비스의네트워크를통한비인가자의접근을막기위한정책이수립되어있지않다. - 네트워크접근통제정책시행계획없이접근통제가수행되고있다. 별도증빙자료없음네트워크접근정책수립을위한계획이부분적으로문서화되어있는단계 - 비인가자의네트워크접근을제한하기위한정책이수립되고이에대한문서가마련되어있다. 네트워크접근통제정책 사용자의접근경로 ( 물리적, 논리적 ) 라우터규칙 원격사용자인증 고장진단포트접근통제 - 네트워크접근통제정책시행계획이수립되어있고일부부만수행된다. 네트워크접근통제정책

213 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 네트워크접근정책이수립되고, 이를통하여접근통제가전사적으로이루어지는단계 - 정보시스템및서비스의네트워크를통한비인가자접근을통제하기위한정책에따라전사적으로수행되고있다. - 중요정보서비스, 사용자그룹, 시스템접근통제대책이마련되어있어야한다. - 네트워크접근제어시스템 (NACS) 이구축되어있다. 네트워크접근통제수행내역 네트워크접근정책에따른일정기간동안의접근통제결과가확인되고검토되는단계 - 최근 3년간비인가자의네트워크접근을막기위한정책에따라접근통제가운영되고그결과를검토한다. 최근 3 년간네트워크접근통제수행검토내역 네트워크접근정책에따라접근통제가검토결과가분석되어, 주기적으로정책에반영되는단계 - 일정기간동안비인가자의네트워크접근을막기위한접근통제정책수행내역이검토되고그결과가네트워크접근통제정책에반영되어개선된다. 네트워크접근통제정책개선내역

214 12.4 접근통제 세부평가항목 개요 데이터베이스내의접근정책및절차가수립되어있고이에따라운영되고있는가? 중요정보를포함하는데이터베이스의운영은엄격한접근통제가이루어져야하며, 접근권한등은적절하게승인되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 데이터베이스내혹은중요파일보호를위한정책및절차가수립되어있지않거나계획없이운영되고있는단계 - 데이터베이스내에정보를보호하기위한정책및절차가마련되어있지않다. - 데이터베이스접근통제정책시행계획없이정책이수행된다. 별도증빙자료없음데이터베이스에대한접근권한이명시되고데이터사전및유틸리티에대한접근통제계획이문서화되어있는단계 - 데이터베이스의정보를보호하기위한정책및절차가문서화되어있다. 데이터베이스접근통제정책및절차예 데이터베이스관리자및사용자의식별 뷰, 레코드또는필드수준에서사용자의접근권한을명시 데이터사전및유틸리티에대한접근통제명시 - 데이터베이스접근통제정책이수립되어있으나일부데이터베이스범위에대해서만수행된다. 데이터베이스접근정책및절차

215 3 단계부가설명증빙자료예시 4 단계 데이터베이스의정보보호를위한접근권한에대한정책및절차가수립되고이에따라전사적으로이행되는단계 - 데이터베이스의정보보호를위한접근통제정책및절차에따라데이터베이스관리가수행된다. 데이터베이스접근통제수행내역 일정기간동안의데이터베이스의중요파일보호를위한정책및절차에따른접근통제의결과가확인되고검토되는단계 부가설명 - 최근 3년동안데이터베이스접근통제정책및절차가수행된내역이확인되고그결과를검토하고있다. 증빙자료예시 5 단계부가설명증빙자료예시 최근 3년간데이터베이스접근정책수행검토내역데이터베이스접근통제의검토결과가분석되어, 주기적으로개선되는단계 - 주기적으로데이터베이스접근통제가수행된내역이검토되고검토된결과가접근통제정책및절차에반영되어개선된다. 데이터베이스접근정책및절차개선내역

216 12.4 접근통제 세부평가항목 개요 원격작업을통해내부시스템접근시관련식별인증, 접근통제대책이수립되어이행되고있는가? 원격으로접근하여내부시스템에접근시정보유출을방지하기위하여암호화기반기술을적용하고관련접근기록은감사될수있도록유지되어야한다. 착안사항설명 1 단계 부가설명 증빙자료예시 원격접근통제대책이수립되지않거나계획없이접근통제기능이수립되어있는단계 - 원격으로접근하는내부시스템에대한통제대책이수립되어있지않다. - 원격접근통제를위한계획없이원격작업이이행되고있다. 별도증빙자료없음 2 단계원격접근통제대책이문서화되어있는단계 부가설명 증빙자료예시 - 원격작업을통제하기위한정책및절차가문서화되어있다. 원격접근통제정책및절차 원격작업장소의물리적보안검토 허용된작업, 작업시간, 접근할수있는데이터및시스템의정의 적절한통신장비와통신보안대책 백업 감사와모니터링 원격작업허가및취소시절차 - 원격작업수행시원격접근통제대책이일부작업에대해서만수행된다. 원격접근통제정책및절차

217 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 원격접근에대한인증및접근통제정책이수립되고이에따라전사적으로이행되는단계 - 원격접근제어를위한서버접근제어및네트워크접근제어시스템이구축되어있다. - 원격으로접근하는내부시스템에대한원격접근통제정책및절차에따라수행되고있다. 원격접근통제수행내역 원격접근에대한인증및접근통제가이행된일정기간동안의이행내역이확인되고검토되는단계 - 최근 3년동안원격접근통제정책및절차에따라수행내역이확인되고그결과가검토된다. 최근 3 년간원격접근통제수행검토내역 원격접근에대한인증및접근통제정책에따라이행된결과가분석되어, 주기적으로개선되는단계 - 주기적으로원격접근통제수행내역이검토되고그결과에따라원격접근통제정책및절차가개선된다. 원격접근통제정책및절차개선내역

218 12.4 접근통제 세부평가항목 개요 무선접근 ( 무선랜, 휴대폰등의무선기기및장비 ) 통제정책이수립되어이행되고있는가? 무선접근은보안상취약하여접근통제에의해엄격히관리되어야하며, 내부망과직접연결되지않도록적절한보안대책을수립하여야한다. 착안사항설명 1 단계무선접근통제정책이수립되지않거나계획없이이행되는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 무선접근을통제하기위한정책을수립하고있지않다. - 무선접근통제정책에대한계획없이무선접근이이루어지고있다. 별도증빙자료없음무선접근통제기능에대한실행계획이부분적으로문서화되어있는단계 - 무선랜, 휴대폰등의무선기기및장비에대한접근을통제하기위한계획이문서화되어있다. 무선접근통제정책예 무선접근통제범위정의 무선랜사용시데이터암호화 무선장비사용주의사항공지 무선장비취약성평가 - 무선접근에대해일부분만접근통제가수행된다. 무선접근통제정책무선기술사용에대한접근통제정책이전사적으로수립되고이에따라이행되는단계 - 무선장비를보호하기위한무선기술접근통제정책에따라수행되고있다. - 무선장비를사용하는사용자에게무선장비사용시주의사항에대한교육및인식을시킨다. 무선접근통제수행내역

219 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 일정기간동안의무선기술사용에대한인증및접근통제의이행내역이확인되고검토되는단계 - 최근 3년동안무선장비를보호하기위한무선기술접근통제정책에따라수행된내역이검토된다. - 무선접근에대한통제를위한접근제어시스템이구축되어있다. 최근 3년간무선접근통제수행검토내역무선기술사용에대한접근통제정책에따라이행된결과가분석되고주기적으로개선되는단계 - 주기적으로무선기술접근통제수행내역결과에따라접근통제정책이개선된다. - 개선된내역에따라무선장비를사용하는사용자에게변경된정책에대한주의사항을알린다. 무선접근통제정책개선내역

220 12.4 접근통제 세부평가항목 개요 이동장비의분석및불법접근등의위험으로부터보호하기위한정책및보안대책이수립되어있는가? 이동장비는외부에서사용됨에따라발생가능한위험에대해서보호방안을수립하여적용하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 이동장비보안을위한정책이수립되어있지않거나계획없이수행되는단계 - 휴대용컴퓨터등의이동장비사용시에바이러스, 불법접근등의위협으로부터보호하기위한정책및계획이수립되어있지않다. - 이동장비를이용할경우장비보안을위한정책및대책없이수행되고있다. 별도증빙자료없음이동장비보안을위한사용제한규칙및실행계획 ( 암호화, 물리적잠금장치, 추적 ) 부분적으로문서화되어있는단계 - 휴대용컴퓨터 ( 노트북, 팜탑, 랩탑, 이동전화등 ) 와같은이동장비보안을위한정책및계획이문서화되어있다. 내부네트워크연결과공공장소에서사용시고려할사항 암호화알고리즘등의방법을사용 정보유출에대한주의 이동장비의정보를빠르고쉽게백업 물리적잠금장치사용 이동컴퓨터보안정책예 이동컴퓨터의사용 물리적보호, 접근제어, 암호화, 백업, 바이러스정책 내부네트워크연결 - 일부이동장비에대해보안정책및대책이마련되어있다. 이동컴퓨터보안지침

221 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 이동장비에대한분실및불법접근으로부터보호하기위한정책및보안대책이수립되어전사적으로수행되는단계 - 이동장비보안을위한정책및계획이문서화되어있고그절차에따라정책및계획이수행된다. - 이동장비보안을위해이동장비를사용하는사용자에게보안교육을실시한다. 이동컴퓨터보안수행내역 이동장비에대한보안정책이해여부의일정기간동안의내역이확인되고검토되는단계 - 최근 3년동안이동장비에대한정책및계획이수행되며그내역이검토된다. 최근 3 년간이동컴퓨터보안수행검토내역 이동장비의대해보안정책에따라이행된결과가시스템적으로분석되고, 주기적으로개선되는단계 - 주기적으로이동장비에보안수행내역이확인되고검토된내역에따라이동장비보안정책및계획이개선된다. - 이동장비에대한이동장비보안정책을수립할수있는시스템이구축되어있다. 이동컴퓨터보안지침개선내역

222 12.5 접근시도실패관리기능 목적접근시도에따른제한기능에대해평가한다. 세부통제항목 평가시주안점 정보시스템에접근하는사용자의접근실패횟수를제한하는정책및계획이수립되어있는가? 사용자접근시도제한을위한지침에따라수행되고결과에따라개선이되는가? 검토자료예시 사용자계정및패스워드관리절차

223 12.5 접근시도실패관리기능 세부평가항목 개요 시스템에접근하는사용자에대한인증실패횟수를제한하는기능이있는가? 무차별공격에대한예방으로사용자인증실패횟수를제한하여접근통제에대한관리가필요하다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 시스템에접근하는사용자접근시도가능횟수를지정하는기능이없거나계획없이수행하는단계 - 정보시스템의무차별공격에대비하기위한사용자접근시도횟수를지정하고있지않다. 별도증빙자료없음 사용자접근시도가능횟수제한에대한계획이부분적으로문서화되어있는단계 - 정보시스템의무차별공격을시도하는행위를방지하기위해사용자접근시도시실패횟수를정책적인절차에따라정의되어있다. - 사업상접근시도횟수를제한할수없을경우에는이에대한타당성을명시해야하며이에따른무차별공격에대한대책을마련하고있어야한다. - 사용자접근시도와관련된지침이문서화되어있다. - 일부시스템에대해접근하는횟수를제한하고있다. 사용자계정및패스워드관리절차 관리지침이마련되어접근시도가능횟수를제한하여접근통제가전사적으로수행되고있는단계 - 모든시스템에대해사용자의접근을시도하는관련지침이마련되어있어지침에따라사용자접근통제가수행된다. 사용자접근실패접근통제수행내역

224 4 단계부가설명증빙자료예시 5 단계 접근시도가능횟수제한에맞게접근통제가적절히이루어지고있으며일정기간동안의내역이확인되고검토되는단계 - 최근 3년동안정보시스템의사용자접근시도가능횟수를제한하여수행되고있으며그결과가검토된다. 최근 3 년간사용자접근실패접근통제수행내역 관리지침에따른접근시도가능횟수제한의이행결과가분석되고, 주기적으로개선되는단계 부가설명 - 주기적으로정보시스템의사용자접근시도가능횟수제한을수행하고검토된결과가관리지침에반영되어개선된다. 증빙자료예시 사용자계정및패스워드관리절차개선내역

225 12.6 시스템이용주의사항공지기능 목적시스템사용주의사항을공지하는기능을평가한다. 세부통제항목 평가시주안점 정보시스템을사용하는사용자에게해킹, 비밀번호유출등과같은위협들에대한사항들을공지하고있는가? 시스템환경에따라주의사항공지내용이검토되고개선되는가? 검토자료예시 주의사항공지계획 개인정보보호정책및계획

226 12.6 시스템이용주의사항공지기능 세부평가항목 개요 표준화된시스템이용시주의사항을사용자에게공지하는기능이있는가? 정보시스템을이용할경우사용자에게주의사항을공지하여불법접근, 바이러스등과같은위험요소를줄여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 사용자에대한시스템이용주의사항공지기능이없거나, 계획없이필요에따라공지하는단계 - 정보시스템을이용하는사용자에게주의사항을공지하고있지않다. - 사용자가시스템이용시주의사항공지가시행계획없이필요한경우에만수행된다. 별도증빙자료없음사용자에대해시스템이용주의사항공지에대한계획이부분적으로문서화되어있는단계 - 정보시스템을이용하는사용자에게주의사항공지계획이문서화되어있다. 사용자주의사항공지예 해킹위험 비밀번호관리 접속관리등 - 일부정보시스템에대해서만이용주의사항계획이수립되어있거나공지하고있다. 사용자주의사항공지계획지침이나절차서에맞게시스템이용시주의사항에대해전사적으로공지하고있는단계 - 모든정보시스템을이용하는사용자에게주의사항공지계획에따라주의사항들을사용자에게숙지시키고있다. - 보안인식및교육시에이에대한내용이포함된교육이이루어지고있다. 주의사항공지수행내역

227 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 시스템환경변화에따라적합하게변경하여공지하고있는지일정기간동안의내역이확인되고검토되는단계 - 최근 3년동안정보시스템을이용하는사용자에게주의사항을공지하고그결과가검토된다. - 시스템이환경에따라변하게되면공지내용을업데이트한다. 최근 3 년동안주의사항공지수행검토내역 시스템환경변화에따라적합하게시스템이용주의사항이공지되었는지분석되고, 주기적으로개선되는단계 - 주기적으로정보시스템에대한사용자주의사항공지내역이검토되고검토된내역이주의사항공지계획이개선된다. 주의사항공지계획개선내역

228 12.6 시스템이용주의사항공지기능 세부평가항목 개요 개인정보보호정책을홈페이지에공지하는기능이있는가? 자사의홈페이지상에개인정보보호정책에대한내용이정책및계획에따라서공지되어야한다. 개인정보보호에대한내용이유출되었을경우에대한책임문제등과같은정책이수립되어있어야한다. 착안사항설명 1 단계 개인정보보호정책을홈페이지에공지하는기능이없거나계획없이수행되고있는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 - 자사의홈페이지에개인정보보호정책을공지하고있지않다. - 개인정보보호정책을수립하고있으나계획없이수행되거나홈페이지에공지되어있지않다. 별도증빙자료없음개인정보보호정책을공지하기위한절차에대한사항이부분적으로문서화되어있는단계 - 자사홈페이지에개인정보보호정책을공지하기위한계획및절차가문서화되어있다. 개인정보보호정책및계획예 개인정보보호정책수립절차 개인정보보호정책공지절차 개인정보보호정책변경절차 - 개인정보보호정책및계획에따라일부분만홈페이지에공지되고있다. 개인정보보호정책및계획

229 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 지침또는절차에맞게홈페이지에개인정보보호정책을전사적으로공지하고내부직원에게개인정보보호에대해인식시키고있는단계 - 자사홈페이지의개인정보보호정책을홈페이지에공지하기위한지침및절차가문서화되어수행된다. - 개인정보보호정책및절차에대해내부인력에교육한다. 개인정보보호정책수행내역일정기간동안의홈페이지의개인정보보호정책이지침또는절차에맞게공지되고, 내부직원들에게개인정보보호를인식하도록지향하는것이확인되고검토되는단계 - 최근 3년동안개인정보보호정책을홈페이지에공지하고그결과가검토된다. - 내부직원에대한교육내역이확인되고교육된결과가검토된다. 최근 3년간개인정보보호수행검토내역홈페이지의개인정보보호정책이지침또는절차에맞게공지되었는지를분석하고, 주기적으로개선되는단계 - 주기적으로홈페이지상의개인정보보호정책공지수행결과를검토하고검토된결과에따라개인정보보호정책및계획이개선된다. - 내부인력교육시개인정보보호정책및계획이개선된내역을교육하고있다. 개인정보보호정책개선내역

230 12.7 이전로그인정보알림기능 목적 로그인성공시마지막로그인정보통지에대해평가한다. 세부통제항목 평가시주안점 정보시스템에로그인할경우최근에로그인한정보가확인되는가? 최근로그인정보가확인되고수행된결과에따라절차의개선이이루어지고있는가? 검토자료예시 사용자계정관리계획및절차

231 12.7 이전로그인정보알림기능 세부평가항목 개요 로그인시최근의로그인정보를확인할수있는기능이있는가? 정보시스템에로그인할경우최근에로그인한정보 ( 시간, IP 등 ) 를제공하여자신이아닌해커에의한로그인이되고있는지에대한확인할수있다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 최근로그인정보를확인할수없거나, 이에대한구체적인계획없이기능이수행되는단계 - 정보시스템에접근하여로그인이성공적으로이루어지면마지막로그인시간등의정보를알수없다. - 정보시스템의최근로그인된정보가계획및정책없이수행되고있다. 별도증빙자료없음 최근로그인에대한정보를확인할수있는기능에대해부분적으로문서화하고있는단계 - 정보시스템에접근하여로그인이성공적으로이루어지면최근로그인정보확인기능에대한계획및절차가문서화되어있다. 최근로그인정보확인계획및절차예 로그인저장계획및절차 ( 최근로그인저장개수등 ) 최근로그인정보 ( 시간, 장소, IP 등 사용자계정관리절차 최근로그인에대한정보를확인할수있는기능이전사적으로존재하는단계 - 모든정보시스템에접근하여성공적으로로그인시최근로그인한정보확인이계획및절차에따라수행되고있다. 최근로그인정보수행내역

232 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근로그인에대한정보가관리자에의해일정기간동안관리되는단계 - 최근 3년동안정보시스템에접근하여성공적인로그인시최근로그인정보가수행된내역이확인되고그내역이검토된다. 최근 3년간최근로그인정보수행검토내역최근로그인에대한정보를검토, 분석하여, 주기적으로접근정책에반영되는단계 - 주기적으로정보시스템의로그인후최근로그인된정보를확인하여그내역이검토되며결과에따라최근로그인정보계획및절차가개선이이루어진다. 사용자계정관리절차개선내역

233 12.8 세션통제기능 목적 사용자의사용기능세션수및세션잠금, 세션종료기능을평가한다. 세부통제항목 정보시스템에접근하는사용자의세션수를제한하고있는가? 평가시주안점 네트워크세션지침에따라사용자의세션수를제한하고종료하는기능을수행하고내역에따라개선되는가? 검토자료예시 세션통제절차지침

234 12.8 세션통제기능 세부평가항목 사용자의사용가능세션수를정의하고있는가? 개요 정보시스템에접근하는사용자의세션수를제한하여무차별공격과같은위협으로부터보호해야한다. 만약, 사용자의세션수를제한할수없는회사일경우에는이에대한명시가명확성을문서화하여세션지침에보관되어있어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 네트워크에접근하는사용자에대한세션수를정의되어있지않고불특정다수가접속하도록잠금설정이되어있지않은단계 - 정보시스템의네트워크에접근하는사용자의세션수를정의하지않다. - 세션수계획및지침없이관리자가임의적으로세션수를정의하여수행되고있다. 별도증빙자료없음업무별, 직급별, 중요도별필요한세션수에대해정해진지침이부분적으로문서화되어있는단계 - 정보시스템의네트워크접근하는사용자의세션수를정의된지침이문서화되어있다. 네트워크세션지침예 세션수생성 / 수정절차 업무별, 직급별, 중요도별에따라세션수정의 세션수를제한할수없는경우에는타당성을명시 - 일부시스템에대해사용자세션수지침을적용하고있다. 세션통제절차지침

235 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정해진지침에따라세션수를전사적으로통제하고중요정보에대한접근을엄격히차단하여적용하는단계 - 모든정보시스템의네트워크에접근하는사용자세션을업무별, 직급별, 중요도별로세션지침에따라수행하고있다. 세션통제수행내역 세션에대한통제가적절하고이행되고있는지의여부가일정기간확인되고검토되는단계 - 최근 3년간정보시스템의네트워크에접근하는사용자의세션수가정의된지침에따라수행된내역을검토한다. 최근 3 년간세션통제수행검토내역 세션에대한문제점이분석, 파악되어주기적으로가능한세션수정의가갱신되는단계 - 주기적으로사용자세션수를정의한내역검토결과에따라세션지침을개선하고있다. 세션통제지침개선내역

236 12.8 세션통제기능 세부평가항목 개요 사용하지않는동안에화면보호기잠금설정이되어있거나워크스테이션접속을끊는기능이유지되고있는가? 정보시스템에접근한후일정기간동안작업이이루어지고않고있거나키보드나마우스와같은입력이일어나지않은경우모니터의화면보호기기능이나잠금기능을수행해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 별도의지침없이사용하지않는동안화면보호기잠금이설정되어있거나, 접속을계획유지되고있는단계 - 시스템을일정기간동안사용하지않을경우모니터의화면보호기기능및잠금기능이설정되어있지않다. - 시스템을사용하기않는경우를대비한대책마련지침이없다. 별도증빙자료없음정해진지침및절차에따라사용자가일정시간사용하지않을시화면보호기에잠금을설정하고접속을차단할수있도록부분적으로문서화되어있는단계 - 시스템을일정기간동안사용하지않을경우화면보호기및접속차단등의지침및절차가문서화되어있다. 세션통제지침및절차 모니터보호지침 접속차단지침 - 시스템을사용하지않을경우일부시스템에대해서만화면보호기잠금및접속차단이이행된다. 세션통제지침및절차

237 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 사용자가일정기간사용하지않을시외부자가접근할수없도록화면보호기의잠금이설정되어접속차단이전사적으로이행되는단계 - 시스템을일정기간사용하지않을경우세션통제지침및절차에따라모니터의화면보호기기능및시스템잠금기능이수행된다. 세션통제수행내역일정기간동안화면보호기능및잠금기능이이행된사항이확인되고검토되는단계 - 최근 3년동안시스템이일정기간동안사용되지않을경우세션통제지침및절차에따라수행되고그내역이검토된다. 최근 3년간세션통제수행검토내역검토된분석결과를반영하여외부자로부터접근을차단하고안전하게유지될수있도록주기적으로관리하고갱신하는단계 - 주기적으로시스템이일정기간동안사용되지않을경우외부로부터의접근을차단하기위한화면보호기능및잠금기능이수행되며그내역을검토하여세션통제지침및절차에반영되어개선된다. 세션통제지침및절차개선내역

238 12.9 시스템과응용프로그램의분리 목적 사용자인터페이스서비스와정보시스템관리서비스와의기능이분리되어있는지를평가한다. 세부통제항목 정보시스템이개발및테스트시스템을위한시스템과시스템은운영되고있는시스템과분리되어운영되고있는가? 평가시주안점 시스템에업무특성에따라분류절차가문서화되어있고그문서에따라수행되고개선되고있는가? 응용프로그램의중요도에따른데이터가분리되어저장되고있는가? 중요도별데이터가분류하기위한정책및절차가문서화되어있고이에따라수행되고개선되고있는가? 검토자료예시 시스템개발및운영절차

239 12.9 시스템과응용프로그램의분리 세부평가항목 개요 개발및테스트시스템이운영시스템과분리되어있는가? 시스템의개발및테스트시스템과운영되고있는시스템과의분리가이루어져야한다. 개발및테스트상에생기는오류및위협들로부터운영되고있는시스템에영향을받지않도록되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 개발및테스트시스템이운영시스템과분리되어있지않거나구체적인계획없이분리되어운영되는단계 - 개발및테스트시스템과운영시스템에대한분리절차가마련되어있지않다. - 개발및테스트되는시스템과운영시스템이같은네트워크에서운영되고있다. 별도증빙자료없음 각시스템에대해업무특성에맞게분류하기위한절차가부분적으로문서화되어있는단계 - 개발및테스트시스템및운영시스템과같은시스템에따라분리되어수행하기위한절차가문서화되어있다. 시스템에따른분리절차 각시스템별업무특성분류정의 시스템별운영절차 - 일부시스템에대해서만개발 / 테스트시스템과운영시스템을분리계획에따라수행되고있다. 시스템개발및운영절차 개발및테스트시스템과운영시스템이분리되어전사적으로수행되는단계 - 개발및테스트시스템및운영시스템과같은시스템별분류절차에따라분류되어수행된다. 시스템개발및운영절차수행내역

240 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 개발및테스트시스템과운영시스템이분리되어운영되고있는지일정기간동안의운영내역이확인되고검토되는단계 - 최근 3년동안개발및테스트시스템과운영시스템과같은시스템별절차에따라분류되어수행되고그내역을검토한내역이확인된다. 최근 3년간시스템개발및운영절차수행검토내역개발및테스트시스템과운영시스템이분리운영되어있는지검토하고문제점을분석하여주기적으로개선되는단계 - 주기적으로시스템별절차에따라분류되어수행된결과에따라검토된내역이시스템에따른분류절차에반영되어개선된다. 시스템개발및운영절차개선내역

241 12.9 시스템과응용프로그램의분리 세부평가항목 개요 중요데이터와일반데이터가다른서버에분리되어보관되는가? 데이터가중요도에따라서서버에분류되어저장되어있어야한다. 중요데이터가보관되어있는서버는접근통제가엄격하게이루어져야하며해킹등으로부터데이터의유출을방지해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 중요데이터와일반데이터구분이없거나, 계획없이데이터를보관하고있는단계 - 응용프로그램을중요데이터와일반데이터로구분하여보관하고있지않다. 별도증빙자료없음 중요데이터와일반데이터가분리되어보관하도록부분적으로문서화는되어있는단계 - 응용프로그램을중요데이터와일반데이터로분류하여보관하기위한절차가문서화되어있다. 응용프로그램의분리절차 응용프로그램의분리기준정의 각데이터별보관방법 - 일부시스템에대해서만중요데이터와일반데이터를분리계획에따라수행되고있다. 시스템개발및운영절차 중요데이터와일반데이터를정해진절차와지침문서를통해서로다른서버에분리되어전사적으로보관되는단계 - 응용프로그램분류절차에따라중요데이터와일반데이터를분류하고각데이터특성에따라보관되고있다. 시스템개발및운영절차수행내역

242 4 단계부가설명증빙자료예시 5 단계 중요데이터및일반데이터가정해진지침에따라구분하여보관하고있는지일정기간동안의관리내역이확인되고검토되는단계 - 최근 3년동안응용프로그램분류절차에따라중요데이터와일반데이터를분류하고각데이터별로보관되어수행되고그내역이검토된다. 최근 3년간시스템개발및운영절차수행검토내역데이터의분리보관에대한문제점이분석되어주기적개선되는단계 부가설명 - 주기적으로각데이터별로보관되어검토된내역에따라응용프로그램분류절차에반영되어개선된다. 증빙자료예시 시스템개발및운영절차개선내역

243 12.10 공유시스템자원보안관리 목적 시스템자원공유를통한비허가된정보이동에대해방지하는자원보안관리기능에대해평가한다. 세부통제항목 평가시주안점 공유되는데이터에대한보안관리를위한정책및절차가수립되어있는가? 데이터공유보안지침에따라수행되고개선되는가? 검토자료예시 데이터공유보안지침

244 12.10 공유시스템자원보안관리 세부평가항목 개요 데이터공유 ( 데이터베이스등 ) 에대한보안관리지침 ( 책임과권한포함 ) 이수립되어이행되고있는가? 공유된데이터를보호하기위한보안관리지침을수립하여이해되어야한다. 공유된데이터는위 변조의위험이크고데이터를통한바이러스감염등이발생하기쉽다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 데이터공유에대한보안관리지침이수립되어있지않거나, 임의적으로데이터를공유하여이행되는단계 - 데이터를공유하고있는시스템에대한보안지침없이수행된다. 별도증빙자료없음 데이터공유에대한보안관리지침수립등의이행계획이부분적으로문서화되어있는단계 - 데이터를공유하고있는시스템에대한보안지침문서가있다. 데이터공유보안지침 직무별데이터사용권한 데이터사용권한변경절차 데이터사용책임절차 - 데이터를공유하고있는일부시스템에대해서만보안지침을수립하여수행하고있다. 데이터공유보안지침 3 단계데이터공유보안지침에따라전사적으로수행되고있는단계 부가설명 증빙자료예시 - 데이터를공유하고있는시스템에대한보안지침에따라데이터보안관리지침이수행된다. 데이터공유보안수행내역

245 4 단계지침에따라일정기간수행된내역이확인되고검토되는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 최근 3년동안데이터를공유하고있는시스템에대한보안지침이수행되고그내역이검토된다. 최근 3 년간데이터공유보안수행검토내역 지침에따라지속적으로이행된내역을분석하여주기적으로개선되는단계 - 주기적으로데이터공유보안수행내역이검토되고그결과가데이터공유보안지침에반영되어개선되고있다. 데이터공유보안지침개선내역

246 12.11 소프트웨어결함및악성코드로부터의보호 목적 소프트웨어결함및악성코드로부터정보시스템이보호되는지를평가한다. 세부통제항목 정보시스템의소프트웨어를바이러스및악성소프트웨어로부터보호하기위한백신프로그램및자동업데이트기능이수행되는가? 평가시주안점 정보시스템을보호하기위한절차가문서화되어수행되고있는가? 바이러스및악성소프트웨어의유입을방지하기위한정책및절차가문서화되어있고그에따라수행되고있는가? 검토자료예시 정보시스템보호계획및절차 악성소프트웨어통제지침 시스템및네트워크성능분석계획및절차

247 12.11 소프트웨어결함및악성코드로부터의보호 세부평가항목 바이러스정보에대한주기적자동검사가개인사용자용 PC까지자동업데이트되는가? 개요 소프트웨어및데이터, 시스템등을바이러스및악성소프트웨어로부터보호하기위한백신프로그램및자동업데이트, 패치등이수행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 바이러스정보에대해별도의관리가되지않고자동검사가이루어지지않거나, 일부시스템에대해서만자동업데이트되는단계 - 바이러스등의악성소프트웨어로부터보호하기위한백신프로그램및자동업데이트가수행되지않는다. - 바이러스에대한보호가계획없이수행되고있다. 별도증빙자료없음바이러스자동검사실행에대한계획이부분적으로문서화되어있는단계 - 바이러스등의악성소프트웨어로부터보호하기위한계획이문서화되어있다. 정보시스템의보호계획예 정보시스템보호계획및절차 정보시스템의백신및자동업데이트절차 - 일부시스템에대해서만바이러스자동검사및자동업데이트가지침에따라수행된다. 정보시스템보호계획및절차

248 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 바이러스정보에대한주기적자동업데이트가지침등으로정해져, 이를통해 end-pc단까지주기적으로자동업데이트가전사적으로시행되고있는단계 - 정보시스템의바이러스등의악성소프트웨어를보호하기위한계획에따라주기적으로자동업데이트가수행된다. - 바이러스등의악성소프트웨어로부터보호하기위한교육을실시한다. 사용자교육예 소프트웨어설지 다운로드금지 불법소프트웨어 이메일주의 정보시스템보호수행내역 일정기간동안바이러스정보에대한자동검사및업데이트가절차에맞게적절히수행되었는지기록이확인되고검토되는단계 - 최근 3년동안정보시스템을바이러스및악성소프트웨어로부터보호하기위한백신및자동업데이트를수행하고그내역을검토한다. 최근 3 년간정보시스템보호수행검토내역 절차에따른수행여부의분석을통해문제점을개선하기위한방안이주기적으로반영되는단계 - 주기적으로백신및자동업데이트를수행하고검토된내역에따라정보시스템보호계획을개선한다. 정보시스템보호계획개선내역

249 12.11 소프트웨어결함및악성코드로부터의보호 세부평가항목 개요 악성코드유입방지정책과허가되지않는 S/W라이센스관리등에대한규정에따라이행되는가? 소프트웨어로부터악성코드및악성프로그램의유입을방지하기위한정책및절차를수립하여수행해야한다. 불법 S/W 나라이센스를사용으로부터악성코드유입가능성이높다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 악성코드유입예방정책과 S/W사용규정이없거나계획없이이행되고있는단계 - 악성코드유입예방정책과허가되지않은 S/W사용, 소프트웨어라이센스등에대한규정이없다. 별도증빙자료없음 악성코드유입예방정책과 S/W사용규정수립의계획이부분적으로문서화되어있는단계 - 악성코드유입예방정책과 S/W 사용등의규정이문서화되어있다. 악성코드및바이러스감염예방절차예 악성코드및바이러스감염예방절차 탐지방법 문제발생시보고및복구절차 악성소프트웨어통제지침 악성코드유입예방과 S/W라이센스관리규정이마련되어전사적으로시행되는단계 - 악성코드및바이러스감염예방절차와 S/W 사용등의규정에따라수행된다. 악성코드로부터보호하기위한통제사항 비인가된소프트웨어및불법소프트웨어사용금지 외부네트워크로부터다운시바이러스점검등대책 전자우편첨부파일에대한바이러스감여여부점검 악성코드에대한새로운정보및보호대책을사용자에게공지 악성소프트웨어통제수행내역

250 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 악성코드및 S/W라이센스관리규정에따라일정기간동안의관리내역이확인되고검토되는단계 - 최근 3년동안악성코드로부터정보시스템을보호하기위한규정에따라수행되고그내역이검토되어진다. - 최근에발생된악성코드에대한정보의업데이트가수행된다. 최근 3년간악성소프트웨어통제수행검토내역관리규정에따른결과가분석되고주기적으로문제점이개선되는단계 - 주기적으로악성코드및 S/W 관리규정에따라수행되고검토된내역이악성코드및바이러스예방절차및통제사항이개선된다. 악성소프트웨어통제지침개선내역

251 12.11 소프트웨어결함및악성코드로부터의보호 세부평가항목 개요 시스템및네트워크성능을분석하기위한관리방안이수립되어이행되는가? 시스템및네트워크에서요구되는성능의요구사항을충족시킬수있도록성능관리가수행되어야한다. 주요한성능분석에대한정보가경영층까지보고되는지확인하고정보시스템운영위원회등을통해보고되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 시스템및네트워크성능을감시하지않거나계획없이시스템성능분석을수행하고있는단계 - 시스템및네트워크성능관리계획, 지침및절차가없다. - 시스템및네트워크의성능분석을위한계획없이수행된다. 별도증빙자료없음시스템및네트워크성능분석을위한관리방안수립계획이부분적으로문서화되어있는단계 - 시스템및네트워크의성능분석을위한관리계획및절차가문서화되어있다. 성능분석계획및절차 성능분석대상 성능분석방법 성능분석절차 - 일부시스템및네트워크에대해서만성능분석계획에따라수행된다. 시스템및네트워크성능분석계획및절차

252 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 시스템및네트워크성능분석에대한지침과절차가수립되어전사적으로적용하고있는단계 - 시스템및네트워크의성능분석계획및절차에따라성능분석이수행된다. - 주요한성능문제발생시경영층까지보고가이루어져야하고시스템운영위원회등을통해보고되어야한다. 시스템및네트워크성능분석수행내역 시스템및네트워크성능분석을적정하게이루어지고있는지일정기간동안의내용이확인되고검토되는단계 - 최근 3년동안정보시스템및네트워크성능평가계획및절차에따라수행되고그결가검토된다. 최근 3 년간시스템및네트워크성능분석수행검토내역 성능분석결과를분석하여주기적으로성능분석을위한관리방안이개선되는단계 - 주기적으로정보시스템및네트워크성능평가수행내역이검토되고그내역에따라성능분석계획및절차가개선된다. 시스템및네트워크성능분석계획및절차개선내역

253 12.12 침입탐지및차단도구와기술 목적 정보시스템의이벤트감시와공격탐지, 시스템의비허가사용을식별하는도구및기술수준을평가한다. 세부통제항목 평가시주안점 정보시스템의침입탐지및차단도구를보안정책및규칙에맞게설치되어있는가? 침입탐지시의심되는이벤트에대한보고가절차에따라수행되는가? 검토자료예시 침입탐지처리및보고절차 침입차단처리및보고절차

254 12.12 침입탐지및차단도구와기술 세부평가항목 개요 침입탐지보고가정기적으로검토되고의심되는이벤트에대해적절하게처리되고있는가? 정보시스템및서비스등이외부의위협으로부터보호하기위한침입탐지시스템을구축하고이에대한보고절차가수립되어있어야한다. 침입탐지후의심되는이벤트에대한보고가이루어진다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 침입탐지보고및사건처리가수행되지않거나계획없이수행되는단계 - 정보시스템및서비스등이외부로부터위협을보호하기위한침입탐지보고및사건처리가이루어지고있지않다. - 침입탐지보고및사건처리가절차없이수행된다. 별도증빙자료없음침입탐지보고절차및처리계획에대해부분적으로문서화되어있는단계 - 정보시스템및서비스등의외부로부터위협에대한침입탐지보고절차및처리계획이문서화되어있다. 침입탐지보고절차 침입탐자날짜 보고자, 보고일시 침입탐지내용 침입탐지통계 침입탐지처리계획 침입탐지정의및범위 긴급연락체계 침입탐지절차 - 일부시스템및서비스에대해서침입탐지계획에따라외부침입을탐지할수있다. 침입탐지처리및보고절차

255 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 침입탐지에대한이벤트상황별로단계별보고및처리가정해지절차에맞게전사적으로적용하고이행되는단계 - 침입탐지처리계획에따라침입탐지가수행된다. - 침입탐지된결과가침입탐지보고절차에따라이벤트상황별보고된다. 침입탐지처리및보고수행내역 일정기간동안의처리내용과보고내용이확인되고검토되는단계 - 최근 3년동안침입탐지보고절차에따라이벤트상황별보고가이행되고결과가검토된다. 최근 3 년간침입탐지처리및보고수행검토내역 보고내역분석후침입탐지정책설정에주기적으로반영되는단계 - 주기적으로침입탐지상황별보고가이행되고검토된결과가절차에반영되어개선된다. 침입탐지처리및보고절차개선내역

256 12.12 침입탐지및차단도구와기술 세부평가항목 개요 침입차단및탐지도구는조직의보안정책과규칙에적합하게설치되어있는가? 조직의보안정책및규칙에따라침입차단및탐지도구를구축하고구축절차가문서화되어수행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 침입차단및탐지도구의정책설정이조직의보안정책과연관성이없거나계획없이운영되는단계 - 침입차단및탐지도구설치시조직의정보보안정책에따라구성되어있지않다. 별도증빙자료없음 침입차단및탐지도구의정책설정을위한계획이부분적으로수립되어문서화되어있는단계 - 조직의정보보안정책에따라침입차단및탐지도구정책을설정하기위한계획이수립되어문서화되어있다. 침입차단및탐지도구정책 침입차단및탐지도구정책설정 침입차단및탐지도구성능평가표 침입차단및탐지도구변경절차 - 일부시스템및서비스에대해서만침입차단및탐지도구시행계획이수립되어운영되고있다. 침입차단및탐지정책 조직의보안정책과규칙에맞게침입차단및탐지도구가설치되고전사적으로적용되고있는단계 - 조직의침입차단및탐지도구설치시보안정책과규칙에맞게침입차단및탐지도구정책에따라적용된다. 침입차단및탐지수행내역

257 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 침입차단및탐지도구에대해일정기간정책설정에대한사항이확인되고검토되는단계 - 최근 3년동안침입차단및탐지도구가조직의보안정책과규칙에맞게설정된정책에따라수행되고그결과가검토된다. 최근 3년간침입차단및탐지수행검토내역침입차단및탐지도구의정책설정사항이분석되고주기적으로개선되는단계 - 주기적으로침입차단및탐지도구정책에따라수행된내역을검토하고그내역이다음번침입차단및탐지도구정책에반영되어개선된다. 침입차단및탐지정책개선내역

258 12.13 서비스거부보호 (DoS) 목적 서비스거부공격 (Denial of Service) 유형효과제한및보호능력을평가한다. 세부통제항목 평가시주안점 시스템에대한서비스거부공격이발생할경우에대응절차및계획이문서화되어수행되는가? 서비스거부공격대응결과에따라주기적으로대응책을개선하고있는가? 검토자료예시 서비스거부공격대응절차

259 12.13 서비스거부보호 (DoS) 세부평가항목 개요 서비스거부공격 (Denial of Service) 에대해공격정도에따른대응방안이수립되어있는가? 외부침입자로부터서비스거부공격을시도해오면이에대한공격대응계획및절차가수립되어공격여부판단, 대응절차등이수행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 서비스거부공격에대한대응방안이수립되어있지않거나계획없이대응하고있는단계 - 서비스거부공격이발생되면그에대한대응방안이없다. - 서비스거부공격에대한대응방안은가능하나시행계획및절차없이수행된다. 별도증빙자료없음 서비스거부공격에대한대응계획이부분적으로문서화되어있는단계 - 시스템에대한서비스거부공격이발생하는것에대응하기위한계획및절차가문서화되어있다. 서비스거부공격에대한대응계획및절차예 서비스거부공격여부정의 서비스거부공격대응절차 서비스거부공격보고절차 - 일부시스템에대해서만서비스거부공격의대응대책을마련하고있다. 서비스거부공격대응절차 서비스거부공격에대한대응방안이전사적으로수립되어이행되는단계 - 모든시스템에대한서비스거부공격이발생하면서비스거부공격에대한대응계획및절차에따라수행된다. 서비스거부공격대응수행내역

260 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 일정기간동안서비스거부공격에대한대응이대응방안에따라이행됨이확인되고검토되는단계 - 최근 3년동안서비스거부공격발생시계획및절차에따라수행되고그결과가검토된다. 최근 3 년간서비스거부공격대응수행검토내역 서비스거부공격에대한대응결과를분석하여주기적으로서비스거부공격에대한대응책이개선되는단계 - 주기적으로서비스거부공격이발생하면계획및절차에따라수행된내역이검토되고그결과에따라계획및절차를개선한다. 서비스거부공격대응절차개선내역

261 12.14 보안통신경로 목적 사용자와시스템보안기능성간신뢰통신경로를평가한다. 세부통제항목 평가시주안점 통신경로 ( 공중망및사설망 ) 의보안신뢰성에대한평가가수행되고있는가? 통신망의신뢰성평가수행내역을통해평가계획및지침이개선되는가? 검토자료예시 통신경로신뢰성평가계획및절차

262 12.14 보안통신경로 세부평가항목 개요 공중망및사설망통신경로에대한신뢰성을평가하고있는가? 데이터의송 수신할때손상및위변조되지않도록안전하고신뢰된상태로전송하는지를평가한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명 공중망및사설망통신경로에대한신뢰성이평가되지않거나계획없이통신이이루어지는단계 - 공중망및사설망등통신경로를통해들어오는데이터의위변조에대한신뢰성평가가되지않는다. - 신뢰성평가가수행되지만절차및계획없이수행된다. 별도증빙자료없음 공중망및사설망의신뢰성평가계획이부분적으로문서화되어있는단계 - 공중망및사설망을통해들어온데이터에대한신뢰성검증을하기위한계획및절차가문서화되어있다. 데이터의신뢰성평가계획및절차예 바이러스에대한보호방안 첨부파일의보호대책 통신경로신뢰성평가계획및절차 공중망및사설망통신경로에대한신뢰성이전사적으로평가되고있는단계 - 공중망및사설망을통해들어온데이터는신뢰성평가계획및절차에따라평가가수행된다. 증빙자료예시 통신경로신뢰성평가수행내역

263 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 통신망에대한신뢰성평가내역이지속적으로이루어지고있는지확인되고검토되는단계 - 최근 3년동안통신망의데이터수신에대한신뢰성평가계획및절차에따라수행되고그내역이검토된다. 최근 3 년간통신경로신뢰성평가수행검토내역 통신망의신뢰성평가내역이분석되어, 문제점이개선될수있도록통신망보호기술이주기적으로개선되는단계 - 주기적으로신뢰성평가가수행되고검토된내역이신뢰성계획및절차에반영되어개선된다. - 개선된내역에따라통신망보호기술이개선된다. 통신경로신뢰성평가계획및절차개선내역

264 12.15 암호키구축및관리 목적 자동메커니즘을도입하여암호키확립및키관리를위한과정을지원하는지를평가한다. 세부통제항목 문서화된암호정책이존재하고이에따라암호키관리가수행되는가? 평가시주안점 암호키에대한관리지침과절차및방법이마련되어있고이에따라관리되고있는가? 암호키복구방안을마련하여이에따라키가복구되고있는가? 검토자료예시 암호정책 암호키관리지침

265 12.15 암호키구축및관리 세부평가항목 개요 암호키산출, 분배, 저장, 사용, 파기와파일보관등을포함한암호관리가이루어지고있는가? 암호키산출, 분배, 저장, 사용, 파기와파일보관등의암호사용에대한정책을수립하여야한다. 착안사항설명 1 단계 부가설명 증빙자료예시 암호키관리를하지않거나, 정해진지침이나절차없이임의적으로적용 ( 산출, 분배, 저장, 파기 ) 하고있는단계 - 암호키에대한관리지침절차및방법이마련되어있지않다. - 암호키를사용할때관리지침없이수행된다. 별도증빙자료없음 2 단계암호키관리를위한계획이부분적으로문서화되어있는단계 부가설명 증빙자료예시 - 암호정책에따라암호키를관리하기위한관리지침및절차가문서화되어있다. 암호키관리지침예 키의안전한생성 사용및저장 관리책임및방법 방법, 보관, 폐기 암호정책예 암호를사용해야하는경우 경우에따른암호화방법 안전한암호프로그램의배포관리 전자서명또는부인봉쇄서비스의신뢰정도 - 암호키정책에대한암호관리가일부분에적용되어수행되고있다. 암호키관리지침, 암호정책

266 3 단계 부가설명 증빙자료예시 키관리계획에따라키생성분배, 저장, 사용에대한절차가있고전사적으로이행되는단계 - 암호정책에따라암호키관리지침이수립되고그지침에따라수행된다. 암호키관리수행내역 4 단계일정기간동안의키관리내역이확인되고검토되는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 최근 3년동안암호정책에따라암호키관리지침에따라수행되고그내역이검토된다. 최근 3 년동안암호키관리수행검토내역 키관리절차에따라암호키관리가이행되는것이분석되고, 주기적으로갱신되는단계 - 주기적으로암호키관리지침에따라수행되고검토된내역이암호키관리지침에반영되어개선된다. 암호키관리지침개선내역

267 12.15 암호키구축및관리 세부평가항목 개요 암호키를안전하게관리되고복구하기위하여지침이나절차, 방법등이마련되어있는가? 암호키를안전하게관리하기위하여저장 / 사용 / 변경 / 파기에대한적절한관리지침에따라처리되어있는지평가한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 암호키복구방안이수립되어있지않거나계획없이암호키복구를수행하고있는단계 - 암호정책에따라암호키복구절차가마련되어있지않다. - 암호키복구는수행되고있으나계획및절차가없다. 별도증빙자료없음암호키정책에따라복구방안 ( 방법, 기간, 암호화알고리즘 ) 계획이문서화되어있는단계 - 암호키정책에따라암호키복구방안계획이문서화되어있다. 암호키관리지침예 암호키복구방안 암호키복구절차암호키관리지침암호키복구방안이마련되고, 이에따라암호키가복구되는단계 - 암호키정책에따라암호키관리지침이수립되어수행된다. - 암호키관리지침에따라암호키복구절차, 방안이명시되어수행된다. 암호키복구수행내역

268 4 단계 암호키복구방안에따라지속적으로이행되고일정기간동안의복구내역이확인되고검토되는단계 부가설명 - 최근 3년동안암호키관리지침에따라복구절차가수립되어이행되고그내역이검토된다. 증빙자료예시 5 단계부가설명증빙자료예시 최근 3년간암호키복구수행검토내역암호키복구결과로문제점을분석하여, 주기적으로개선되는단계 - 주기적으로암호키복구절차가수행된내역이검토되고검토결과에따라암호키관리절차및복구절차가개선된다. 암호키복구절차개선내역

269 12.16 인터넷전화 목적 인터넷전화에대한사용제한및실행지침이확립되어있는지를평가한다. 세부통제항목 인터넷전화를사용시이에대한계획및지침이수립되어있어이에따라수행되고있는가? 평가시주안점 인터넷전화계획및지침에따라수행된내역이검토되고결과에따라계획및지침이개선되고있는가? 검토자료예시 인터넷전화지침및계획

270 12.16 인터넷전화 세부평가항목 개요 인터넷전화에대한사용금지혹은사용제한에필요한실행지침이수립되어있고이에따라관리되고적용하고있는가? 인터넷전화는패킷단위로전송하기때문에도청등의위협이일어날수있다. 이에대응하는사용금지및제한지침이수립되어관리되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 인터넷전화사용이지침에따라수행되지않거나계획없이수행하고있는단계 - 인터넷전화를사용할때지침이나계획없이수행되고있다. 별도증빙자료없음 인터넷전화사용을위한계획이부분적으로문서화되어있는단계 - 인터넷전화사용을위한계획및지침이문서화되어있다. 인터넷전화계획및지침예 인터넷사용금지및제한범위 인터넷사용시주의사항공지 인터넷전화지침및계획 인터넷전화사용에대한실행지침이확립되어전사적으로이행되는단계 - 인터넷전화사용을위한지침에따라수행된다. - 인터넷전화를사용하는사용자에게인터넷사용주의사항에대한교육을실시하고있다. 인터넷전화지침수행내역

271 4 단계부가설명증빙자료예시 5 단계 일정기간동안인터넷전화사용이실행지침에따라지속적으로이행되고있는지확인되고검토되는단계 - 최근 3년동안인터넷전화사용지침에따라수행되고그내역이검토되고있다. 최근 3 년간인터넷전화지침수행검토내역 인터넷전화사용이실행지침에따라이행됨을분석, 개선방향을주기적으로반영하는단계 부가설명 - 주기적으로인터넷전화사용지침에따라수행된내역이검토되고그결과에따라지침이개선된다. - 개선된지침에따라인터넷전화를사용자에게교육시킨다. 증빙자료예시 인터넷전화지침및계획개선내역

272 제 3 장결론 주요정보통신기반시설의해킹및바이러스등의각종위협으로부터보호하기위해 2005년도주요정보통신기반시설정보보호수준평가방법론이개발되었다. 개발된방법론을 2006년정보통신부소관 16개관리기관을대상으로정보보호수준평가를시범적용한결과측정모델적용방법에대한평가항목분류방법및분류기준에대한해설요구등의개선사항들이발생하였다. 본연구에서는정보보호수준평가시관리자의평가항목의미에대한이해가부족하고수준평가항목에대한명확한목적에대한이해부족, 수준평가결과에대한신뢰성부족등의문제점을해결및평가에대한신뢰성을높이기위해해설서를개발하였다. 정보보호수준평가방법론해설서는통제분야에대한목적및내용에대해설명하고통제항목템플릿을작성하여세부통제항목을평가하기위해이해도를한층더높였다. 또한 89개세부통제항목의단계별착안사항의모호함을줄이기위해착안사항수정, 부가설명및사례설명을추가등을개발하였다. 국내기반시설을대상으로시범평가하여본연구이전의결과와본연구를통해세부통제항목착안사항개선및해설서개발을통한결과를비교하였다. 비교한결과본연구결과를적용한경우정보보호수준이낮아진것을볼수있었다. 이는착안사항단계별정의를개선하고단계별부가설명및사례설명을통해모호성을없애고명확성을높였기때문이다. 특히시범평가결과에서명확성을요구하는분야에서평가결과를차이를보고본연구결과를통해기반시설들의정보보호수준평가시결과가객관성을띄고있다는것으로해석할수있다

273 본해설서를통해주요정보통신기반시설의평가자가정보보호수준평가를실시할때의이해를돕고신뢰성있고객관적인평가를기대할수있다. 또한국가의주요기반시설에서정보보호수준을향상시키기위해본해설서를이용하여부족한통제분야및통제항목에대한가이드라인역할을할수있다

274 [ 부록 1] 평가프레임워크 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 정보보호조직구 성계획및절차가 별도증빙자료 1. 정책및절차수립 1.1 정보호호조직 조직의보안목표를달성하기위해정보보호활동을계획, 관리하기위한정보보호조직이구성되어있는지를평가한다. 1. 조직의보안목표를달성하기위해정책을수립하고계획하는정보보호조직이수립되어있는가? 수립되어있지않은단계 2. 정보보호조직구성을위해부분적으로시행계획 ( 일정, 예산, 절차등 ) 이문서화되어있는단계 없음전사조직도 ( 정보보호조직명기 ), 정보보호조직직무기술서, 정보보호전담조직운영계획서또는정보보호사업계획서 3. 문서화된시행계 정보보호 획에의해전사적 담당조직

275 정보보호조직이세부적으로구성되어운영되는단계 4. 정보보호조직이문서화된시행계획에의거업무를수행하고있으며, 수행내역이체계적으로관리되어지고있는단계 5. 정보보호조직이지속적으로운영되어지고있으며, 결 인사명령공문, 정보보호사업계획서 ( 경영층승인필 ), 정보보호예산편성안 ( 경영층승인필 ) 정보보호사업계획서 ( 경영층승인필, 목표측정지표명시 ), 정보보호업무추진실적보고서 ( 정기, 비정기 ), 정보보호위원회회의록 4단계까지의증빙자료포함, 2개년간의

276 정보보호사업 계획서, 정보보호 과에대한분석이업무에반영되는단계 위원회회의록 ( 정보보호조직성과검토부분 ), 감사보고서 ( 정 보보호조직 대상 ) 1.2 정보보호계획 정보보호정책이조직의목표와일관성있게수립되어야하고, 정보자산, 인력, 정보통신망의신뢰 1. 정보보호계획이매년수립되고이행되는가? 1. 정보보호계획이수립되어있지않거나구체적, 체계적인계획없이보호계획만을수립하고있는단계 2. 정보보호계획수립을위한시행계획 ( 우선순위, 책임, 예산, 역할및일정등 ) 별도증빙자료없음정보보호계획수립을위한시행계획서또는관련공문

277 성을높이기위한목적으로수립되어이행되고있는지를평가한다. 이부분적으로문서화되어있는단계 3. 전사적으로문서화된시행계획에의거하여정보시스템및조직전반에걸친위협을고려한정보보호계획이수립및이행되는단계 4. 매년수립된정보보호계획에대한산출물이검토되고계획대비실행달성도를검토하는단계 정보보호사업계획서 ( 중장기, 연간 ), 위험평가보고서 ( 연간, 위험수준감소를위한과제제시 ) 정보보호사업계획서 ( 중장기, 연간, 성과측정지표포함 ), 정보보호과제별산출물, 과제별실행결과보고서 ( 정보보호위원회보고 )

278 5. 정보보호계획에따른이행결과달성도를검토하고주기적으로보호대책개선을위한피드백이이루어지는단계 4단계까지의증빙자료포함, 2년간의정보보호사업계획서

279 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 주요보유자산 ( 인력, 시설, 장비 2. 위험평가 2.1 자산분류 정보및정보시스템, 보유자산에대한분류기준수립과동기준에의해분류된자산의취급정의및관리가이루어지는지를평가한다. 1. 주요보유자산 ( 인력, 시설, 장비등 ) 이자산분류기준에의해분류되고있는가? 등 ) 의분류기준과자산분류절차가마련되어있지않아담당자가임의적으로분류하는단계 2. 주요보유자산 ( 인력, 시설, 장비등 ) 중부분적으로만자산분류기준과절차에대한시행계획이문서화되어있는단계 3. 기업내모든보유자산 ( 인력, 시설, 별도증빙자료없음정보자산분류지침및절차서, 자산분류계획서 ( 위험분석계획서내의자산분류계획도유효함 ) 정보자산분류지침및 장비등 ) 에대해자 절차서,

280 산분류기준에따라분류되어있으며담당자가지정되어있는단계 4. 주요보유자산 ( 인력, 시설, 장비등 ) 의분류가정기적으로수행되어자산변동시일정기간동안의자산내역이확인되고검토되어지는단계 5. 주요보유자산 ( 인력, 시설, 장비 자산분류평가서 ( 위험분석보고서내의자산분류결과도유효함 ) 정보자산분류지침및절차서, 자산분류평가서 ( 위험분석보고서내의자산분류결과도유효하며, 2회차이상의분류결과가확보되어자산변동내역을파악할수있어야함 ) 정보자산분류지침및

281 2. 분류된자산별취급절차에대해정의하고이에따라정보 등 ) 의분류가정기적으로수행되어자산변동시주기적으로자산분류내역이검토결과에따라개선이이루어지는단계 1. 자산분류와취급정의및관리등이수립되어있지않거나자산에대한취급절차없이관리되고있는단계 절차서 ( 자산분류방안의주기적개선 항목포함 ), 자산분류평가서 ( 위험분석보고서내의자산분류결과도유효하며, 2년차이상의분류결과가확보되어자산변동내역을파악할수있어야함 ) 별도증빙자료없음

282 및정보시스템이관리 ( 생성, 저장, 이용, 보관, 파기 ) 되고있는가? 2. 자산분류기준에따라분류된자산에대해자산별취급정의및관리를위한시행계획이문서화되어있는단계 3. 인력, 시설, 장비별로자산이분류되고등급별취급절차가정의되어있으며, 절차에따라이행하고있는단계 4. 분류기준과자산의취급절차에따라서자산이관리된일정기간 ( 최근 3 년 ) 내역이검토되는단계 정보보호계획서정보자산중요도별취급절차 ( 정보자산분류지침또는위험분석보고서내에포함가능 ) 3개년간정보자산분류평가서또는위험분석보고서 ( 정보자산소유자, 관리자, 책임자

283 명시및취급내역정의 ) 3 개년간 정보자산 분류평가서또는 위험분석 5. 분류된자산내 보고서 ( 정보자 역및취급절차에 산소유자, 대한평가가수행 관리자, 책임자 되어 지속적으로 명시및 관리내역을검토하 취급내역정의, 고주기적으로개 개정및 선되는단계 개선사항명시 ), 정보자산 분류지침 ( 자산 취급절차의 개선 항목포함 ) 2.2 자원할당 1. 자원에 1. 자원에대한책 별도증빙자료 자원 및예산확 대한책임 임및할당, 역할등 없음

284 이규정또는관련 문서에 기록되지 않거나계획및절 차없이자원이관 리되고있는단계 2. 자원에대해서만 정보보호 책임및할당, 역할 계획서 ( 인력및 할당 보가적절하게이루어지는지를평가한다. 및할당, 역할등에대해명시한규정또는관련문서가존재하는가? 등을규정하기위한계획이문서화되어있는단계 3. 전사적자원에대한목록의유지 ( 설정 ) 관리및책임권한등을명시한내역과규정이문서화되어있으며, 그규정에따라자원관리대장과같은문서가존재하는단계 예산등자원의할당에대한내용명시 ) 자원관리대장 ( 규정 / 지침 ) 또는정보보호계획서 ( 인력및예산등자원의할당에대한내용명시 ). 정보보호담당인력자원에대한인사명령서, 정보보호담당

285 4. 자원의변경사항발생시이에대한책임, 할당및역할등이최근 3년간주기적으로관련문서에반영되어검토되는단계 5. 자원에대한책임및할당, 역할등이적절한가에대해주기적으로검 인력자원에대한직무기술서최근 3년간자원관리대장또는정보보호계획서, 정보보호담당인력자원에대한인사명령서, 정보보호담당인력자원에대한직무기술서, 정보보호규정 / 지침 ( 정보보호자원의역할및책임명시 ) 최근 3년간자원관리대장 ( 자원관리검토결과포함 ) 또는

286 2. 정보시스템자원에대한예산을확보하기위한투자재검토위원회 ( 가칭 ) 가 토하고 개선하며 정보보호계획서, 정보보호담당인력자원에대한인사명령서, 정보보호담당 이에대해문서에반영하는단계 인력자원에대한직무기술서, 정보보호 규정 / 지침 ( 정보 보호자원의 역할및책임 명시 ) 1. 정보시스템의예 산확보및투자결 정을위한위원회별도증빙자료가존재하지않거없음나필요시임시위 원회가 구성되는 단계 2. 예산확보및투 투자재검토

287 존재하고투자를결정하기위한정량화된지표가수립되어있는가? 자결정을위한위원회가비상시적으로존재하고정량화된투자를결정하기위한지표가부분적으로문서화되어있는단계 3. 예산확보및투자결정을위한정량화된전사적지표가정보시스템의특성 ( 서버, 네트워크, 어플리케이션, PC 등각특성에맞는지표수립 ) 에따라세분화되어있는단계 위원회 ( 가칭 ) 회으록또는예산및투자계획협의결과가포함된정보보호위원회회의록, 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 투자재검토위원회 ( 가칭 ) 회의록또는예산및투자계획협의결고가포함된정보보호위원회회의록, 정보보호투자효과분석보고서 ( 위험수

288 4. 예산확보및투자대비성과가관리되고일정기간 ( 최근 3년 ) 의내역이확인되고검토되어지는단계 준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 최근 3년간예산및투자현황관련문서, 3개년간예산및투자계획협의결과가포함된정보보호위원회회의록, 3개년간정보보호투자효과분석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예

289 3. 중장기계획에정 5. 예산확보및투자대비성과에따른검토가이루어지고업무에대한반영과개선이수행되는단계 1. 중장기계획에정보시스템투자 산및투자계획포함 ) 최근 3년간예산및투자현황관리문서, 3개년간예산및투자계획협의결과가포함된정보보호위원회회의록, 3개년간정보보호투자효과분석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 별도증빙자료없음

290 보시스템투자계획이포함되고이를바탕으로한예산이집행되는가? 계획이수립되어있지않으나필요할경우에예산집행이수행되는단계 2. 정보시스템투자계획이구체적으로문서화 ( 예산집행절차및계획 ) 가되어있는단계 3. 중장기계획에정보시스템투자계획이수립되어있고, 동지침에따라예산집행이이루어지는단계 4. 정보시스템투자계획에따라일정기간 ( 최근 3년 ) 의예산집행내역이확인되고지속적으 중장기계획서, 예산집행절차및계획에관한문서중장기계획서일정기간 ( 최근 3년간 ) 중장기계획검토내역

291 로중장기계획에 투자계획이포함 되는단계 5. 정보시스템자원 에대한예산집행 내역에대해검토 정보시스템예산 한결과를근거로 집행절차개선 주기적으로예산집 내역 행에반영되는단 계 1. 시스템및서비 2.3 보안요구사항검토 시스템및서비스도입시최소보안요구사항수준검토가수행되는지를평가한다. 1. 시스템및서비스도입시보안요구사항및취약성검토를수행하고있는가? 스도입시보안요구사항및취약성검토를수행하지않고계획또는절차없이수행되는단계 2. 시스템및서비스도입시보안요구사항및취약성검토를위한절차 별도증빙자료없음정보보호규정 / 지침 ( 정보시스템도입시보안요구사항

292 검토절차포함 ), 등의계획 ( 문서화 ) 보안요구사항및이마련되어있는취약성점검단계계획서 ( 보안요구항목포함 ) 정보보호규정 / 지침 ( 정보시스템도입시보안요구사항검토절차포함 ), 3. 시스템및서비보안요구사항및스도입시보안요취약성점검구사항및취약성계획서 ( 보안요검토절차가수립구항목포함 ), 되어수행하고있보안요구사항는단계점검결과보고서또는취약성점검결과보고서또는보안성심의결과보고서 4. 시스템및서비 3개년간

293 스도입시보안요구사항및취약성검토결과가일정기간 ( 최근 3년 ) 확인가능한단계 보안요구사항점검결과보고서또는취약성점검결과보고서 3개년간 5. 시스템및서비스도입시보안요구사항및취약점검토결과를분석하고주기적으로반영하고있는단계 보안요구사항점검결과보고서또는취약성점검결과보고서, 3개년간보안성심의결과보고서또는취약점 조치결과보고서 조직의안 1. 시스템 1. 위험평가계획 2.4 위험평가 정적인운영과자산을보호하기위해취 및시설, 내 외부인력에대한위험평가 수립및재수행이이루어지지않거나계획또는절차없이이행하고있는 별도증빙자료없음 약성, 위협 계획이수 단계

294 2. 위험평가계획수립및재수행시행절차가부분적으로문서화되어있는단계 3. 위험평가계획이 위험평가수행절차서, 위험평가수행계획서 및보안통제를고려한위험평가가수행되고있는가를평가한다. 립되고변경사항발생시위험평가정책을기반으로한위험평가가재수행되는가? 수립되어자산의변경사항발생시위험평가정책을기반으로한위험평가가전사적으로재수행되는단계 4. 위험평가계획이수립되어최근 3년간자산의변경사항발생시위험평 위험평가수행결과보고서 3개년간 가정책을기반으 위험평가수행 로한위험평가가 결과보고서 즉시재수행되고 그내역이검토되 는단계

295 2. 위험분석을통해나타난취약성들을완화시키고보호계획수립을위한보안요구사항들의평가와대책이마련되어있는가? 5. 위험평가계획및재수행내역에대해주기적으로검토 반영한후위험평가계획이개선되는단계 1. 위험분석후보안요구사항평가및대책이마련되어있지않거나계획과절차없이이행되는단계 2. 위험분석후보안요구사항평가및대책에대한시행계획이문서화되어있는단계 3. 위험분석후보안요구사항평가및대책이세부자 3개년간위험평가수행결과보고서, 위험평가수행절차서 ( 위험평가절차의개선 항목포함 ) 별도증빙자료없음위험분석보고서, 보안요구사항평가및대책시행계획서취약성목록, 정보보호대책운영기록

296 산별 ( 장비및서비스단위까지세부적 ) 전사적평가가이루어지고대책이마련되어있는단계 4. 최근 3년간위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어검토되는단계 5. 위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가 반영 검 정보보호대책운영기록 (3년동안 ) 보안요구사항평가및대책개선내역

297 3. 위험분석을통해보호대책과잔류위험이문서화되고이에대한최고책임자 (CSO) 의승인절차가이루어지는가? 토되고주기적으로갱신하는단계 1. 위험분석을통한보호대책수립과잔류위험에대한최고책임자 (CSO) 의승인이없는단계 2. 보호대책과잔류위험을문서화하기위한계획이수립되어있으며, 최고책임자 (CSO) 의승인을위한절차가문서화되어있는단계 3. 최고책임자 (CSO) 의전사적승인절차에따라승인이이루어지는단계 별도증빙자료없음보호대책과잔류위험의승인절차및계획서승인절차수행이확인되는문서

298 4. 정보자산및개인정보침해영향평가가이루어지는가? 4. 최근 3년간보호대책과잔류위험에대한최고책임자 (CSO) 의승인내역이절차에따라이행되었는지를검토하는단계 5. 승인내역에대한주기적인점검을통해절차가보완되고개선되는단계 1. 정보자산및개인정보에대한침해영향평가가이행되지않거나계획및절차없이이행되는단계 2. 정보자산및개인정보에대한침해영향평가시행 최근 3년동안의승인내역, 승인검토내역승인내역이개선된내역별도증빙자료없음침해영향평가문서, 영향평가지표

299 계획이문서화되어 있는단계 3. 정보자산및개 인정보에대한잠재적손실에따른영향평가가수행되 영향평가수행내역 는단계 4. 최근 3년간조직의모든정보자산의영향평가결과물이검토되는단계 5. 조직의모든정 최근 3년간침해영향평가내역, 침해영향평가검토내역 보자산의영향분석 결과에대해검토 침해영향평가계 후영향분석방법 획및절차개선 및내용이주기적 내역 으로개선되고있 는단계 2.5 적절한취 1. 모든시 1. 모의해킹및취 별도증빙자료 취약 약성진단 스템및업 약성진단이수행 없음

300 되지않거나계획 및절차없이수행 성진단 도구및기법을사용하여시스템에영향을미치는취약성을식별하고주기적으로진단한후위험분석에반영하고있는지를평가한다. 무서비스들 ( 기술적, 관리적, 물리적측면 ) 에대한모의해킹및취약성진단이수행되는가? 되고있는단계 2. 모의해킹및취약성진단방법, 일정, 대상등의구체적인시행계획이부분적으로문서화되어있는단계 3. 모든시스템및업무서비스에대한모의해킹및취약성진단을전사적으로수행하고있는단계 4. 최근 3년간모든시스템및업무서비스에대한모의 모의해킹및취약성평가에대한계획서모의해킹및취약점진단평가결과보고서 3개년간취약점진단결과보고서, 해킹및취약성진 취약점제거및 단수행내역을검 완화를위한 토하고 취약점을 조치계획서및

301 제거하고있는단계 5. 모든시스템및업무서비스에대한모의해킹및취약성진단수행내역을검토하고취약점을제거하며주기적으로위험분석에반영하여개선되고있는단계 조치결과보고서 3개년간위험평가결과보고서 ( 취약성진단결과반영및조치결과에따른위험수준변화반영 ), 3개년간취약점진단결과보고서

302 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 3. 구성관리 3.1 구성변경통제 정보시스템의변경시변경통제및승인이이루어지는지를평가한다. 1. 조직의모든 IT 구성요소 (S/W는릴리즈, 패치등에따라부여, H/W나기술문서에대해서는조직적으로적절한원칙에따름 ) 에대한버전통제에대한관리가수행되는가? 1. IT 구성요소에대한버전통제관리가수행되지않거나계획및절차없이이행되는단계 2. IT 구성요소에대한버전통제관리계획 ( 목록, 담당자, 활동계획등 ) 이부분적으로문서화되어있는단계 3. 문서화된계획에의해조직의모든 IT 구성요소에대한버전통제가관리및수행이전사적으로이행되고 별도증빙자료없음변경관리절차문서, 구성변경관리목록대장, 구성변경점검체크리스트구성관리버전통제관리및수행내역

303 실적자료가관리되고있는단계 4. 조직의모든 IT 구성요소에대한버전통제가문서화된계획에의해관리및수행되고실적자료가일정기간 ( 최근 3년 ) 내역으로관리되고있는단계 5. 조직의모든 IT 구성요소에대한버전통제가문서화된계획에의해관리및수행되고실적자료가일정기간동안의내역으로관리및검토되어갱신되는단계 최근 3년동안의구성관리버전통제관리내역변경관리절차개선내역

304 2. 정보시스템의일시적변경 ( 장비교체, 업그레이드, 이동등 ) 시승인절차에의해승인후변경이이루어지는가? 1. 정보시스템의일시적변경을위한승인절차또는계획없이이행되는단계 2. 정보시스템의일시적변경시승인절차계획 ( 정책서 / 지침서등 ) 이부분적으로수립되어있는단계 3. 정보시스템의일시적변경시승인절차계획 ( 정책서 / 지침서등 ) 에따라전사적으로수행되는단계 4. 정보시스템의일시적변경시승인절차계획에따라 별도증빙자료없음변경승인계획서시스템변경작업내역최근 3년동안변경승인절차내역

305 3. 정보시스템구성변경 ( 장비교체, 제거, 추가도입확정등 ) 에따른효과분석이수행되고있 수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 5. 정보시스템의일시적변경시승인절차계획에따라수행되고이행내역을분석하여승인절차에반영되는단계 1. 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 과계획없이수행되는단계 2. 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계 일정기간동안변경승인절차계획이개선된내역별도증빙자료없음효과분석계획및절차문서, 효과분석지표

306 획이문서화되어있는단계 는가? 3. 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어수행되는단계 4. 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 5. 정보시스템변경에따른효과분석 ( 일정, 예산, 인력 효과분석수행내역최근 3년간효과분석내역, 효과분석계획및절차검토내역효과분석계획및절차개선내역

307 등 ) 결과가문서로 확인되어개선되는 단계 1. 정보시스템구성 변경후보안요소 정보시스템구성보안을위해보안요소 1. 시스템 ( 정보시스템, 정보보호제품, 통 설정상태의검토절차와계획의수립없이수행되는단계 별도증빙자료없음 3.2 구성보안설정 설정이재검토되고정기적으로서비스및기능에대해검토하는과정을평가한다. 신장비등 ) 의모든보안설정상태를주기적으로검토하는절차가수립되어있는가? 2. 정보시스템구성변경후보안요소설정상태의검토절차와계획이부분적으로문서화되어있는단계 3. 정보시스템구성변경후보안요소설정상태의검토 보안요소설정절차및계획서보안요소설정수행내역 절차와계획이문

308 2. 시스템에서허용하는서비스에대해주기적으로검토하 서화되어전사적으로수행되는단계 4. 정보시스템구성변경후보안요소설정상태의검토절차와계획이문서화되어수행되고일정기간 ( 최근 3 년 ) 의이행내역이확인되는단계 5. 정보시스템보안설정상태의검토결과를근거로주기적으로절차가갱신되는단계 1. 정보시스템구성변경후허용하는서비스에대한재검토와계획의수립없이수행되는단계 보안설정절차검토내역보안설정절차개선내역별도증빙자료없음

309 는과정이이행되고있는가? 2. 정보시스템구성변경후허용되는서비스에대한검토와계획이문서화되어있는단계 3. 정보시스템구성변경후허용하는서비스에대한재검토와계획이문서화되어재검토가전사적으로수행되는단계 4. 최근 3년간정보시스템구성변경후허용하는서비스에대한절차와계획이문서화되어수행되고주기적인이행내역이확인되는단계 허용서비스에대한문서허용서비스에대한시스템등의내역최근 3년동안의허용된시스템등의내역

310 5. 정보시스템구성변경후허용하는서비스에대한재검토결과를분석하여주기적으로재검토하고개선사항을반영하는단계 허용서비스의재검토및절차개선내역

311 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 4. 유지보수 4.1 유지보수도구 자연재해나불법적인접근으로인한장애, 물리적오류발생에대한유지보수를위한유지보수도구도입시일정한절차에의해승인, 통제, 감독이이루어지는지를평가한다. 1. 유지보수도구를사용하기위한사용승인및통제, 감독이이루어지는가? 1. 유지보수시사용하기위한도구의사용승인및통제, 감독이절차없이수행되는단계 2. 유지보수시사용하기위한도구의사용승인및통제, 감독에대한절차가부분적으로문서화되어있는단계 3. 유지보수도구를사용하기위한도구의사용승인및통제, 감독이문서화에따라전사적 별도증빙자료없음연간유지보수계획서, 유지보수도구목록유지보수사용내역, 유지보수도구사용에대한승인관련서류

312 으로수행되는단 계 4. 최근 3 년간유지 보수를 사용하기 위한도구의사용 최근 3 년간의 승인및통제, 감독 유지보수내역, 이문서화되어수 유지보수실행 행되고 주기적인 결과보고서 이행내역이확인 되는단계 5. 유지보수를사용 하기위한도구의 유지보수도구 사용승인및통제, 변경및관리 감독이 수행되고 내역서, 주기적으로 사용 유지보수결과 내역이검토되어 보고서 개선되는단계 4.2 원격유지 원격유지보수및진단활동에 1. 원격유지보수및진단활동 1. 원격유지보수및진단활동에대한감시가이루어 별도증빙자료없음

313 지지않거나계획 없이수행되는단 계 2. 원격유지보수 대한보안승인이이루어지는지고통제보수및감시가이루어지는지를평가한다. 에대한감시가이루어지는가? 및진단활동에대한감시계획이수립되어있고부분적으로감시가이루어지는단계 3. 원격유지보수및진단활동에대한감시가자동감사추적기능등을이용하여전사적으로 원격유지보수및진단활동감시계획서자동감사추적내역문서 수행되는단계 4. 최근 3 년간원격 유지보수및진단 감사추적 활동에대한감시 실적이확인되는 내역이문서화되어 문서 지속적으로수행되

314 고감사추적실적이확인되는단계 5. 원격유지보수및진단활동에대한감시내역분석이원격유지보수활동에주기적으로반영되어개선되는단계 일정기간동안자동감사추적기능검토내역및개선내역

315 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 정보저장매체에 대해라벨링표시 5. 매체보호 5.1 매체출력물표시 정보저장매체및정보시스템출력물에외부레이블링을하여정보의취급경고및배포제한을표시하고있는지를평가한다. 1. 저장매체가정보중요도에따라내 / 외부에라벨링이이루어지고있는가? 를하지않거나절차나규정없이라벨링표시를하고있는단계 2. 중요도에따라저장매체가구분되어있으며라벨링규칙수립계획이문서화되어있는단계 3. 매체별중요도에따라구분되어있으며문서화된라벨링규칙에따라 별도증빙자료없음매체관리지침 / 절차서매체별라벨링분류목록, 매체별라벨링 라벨링을전사적으 수행내역 로수행하는단계

316 4. 매체별중요도에 따라구분되어있 으며문서화된라 최근 3 년간 벨링규칙에따라 라벨링규정및 일정기간 ( 최근 3 절차검토내역 년 ) 수행하고있는 단계 5. 매체별중요도에 따라구분되어있 으며문서화된라 벨링규칙수립계 매체라벨링 획에따라지속적 절차및계획 으로수행하고주 개선내역 기적으로사용내역 을검토하여개선 하는단계 5.2 저장된정 1. 매체보 1. 매체보관장소 매체 보시스템 관장소에 에대한출입통제 별도증빙자료 접근 매체를물 출입하기 장치또는규제및 없음 관리 리적으로 위한키또 접근규칙이마련

317 되지않고이행되 는단계 2. 매체보관장소 출입을위한출입 통제장치설치계획이문서화되어접근통제장치가 매체접근통제절차관련문서 통제하고안전하게 는다른접 부분적으로설치되어있는단계 저장및접 근장치가 3. 매체보관장소 근관리되 되어있는 출입을위한출입 는지를평가한다. 가? 통제장치설치계획이문서화되어접근통제장치가 매체접근통제수행내역 전사적으로설치되 어있는단계 4. 매체보관장소 의출입통제장치 매체접근통제 설치계획에 따라 검토내역 접근통제장치가

318 설치되어있으며일정기간 ( 최근 3 년 ) 접근통제내역이확인되는단계 5. 매체보관장소에 대한출입통제장치 설치가정기적으로 점검되고 주기적 매체접근통제 검토를통하여출 개선내역 입통제 문제점을 개선보완하는단 계 5.3 매체운반방법 매체운반시허가된직원에의해매체가전달되도록하는절차및접근통제가이 1. 안전을요하는매체가운반될때접근통제가이루어지고있는가? 1. 매체운반절차및접근통제가계획및절차없이수행되는단계 2. 매체운반절차및접근통제계획이부분적으로문 별도증빙자료없음매체관리지침 / 절차서

319 루어지는지를평가한다. 서화되어있는단계 3. 매체운반절차및접근통제가문서화된절차에의해서전사적으로수행되는단계 4. 매체운반절차및접근통제가문서화된정책에의해서수행되며일정기간 ( 최근 3년 ) 의그내역이확인되는단계 5. 문서화된정책에의해서수행되며주기적검토를통하여매체운반절차및접근통제문제점을개선보완하는단계 매체운반수행내역서매체운반검토내역서매체운반절차및규정개선내역

320 1. 시스템및서비 스도입과개발, 변 경에따라통제사 별도증빙자료 항에대한분석이 없음 5.4 문서관리 정보시스템및구성요소에대한문서의구비및관리에대하여평가한다. 1. 시스템및서비스도입과개발, 변경에따라통제사항에대한분석이수행되고관련문서가수정되는가? 계획및절차없이수행되는단계 2. 시스템및서비스도입과개발, 변경시통제사항에대한분석계획및절차가부분적으로문서화되어있는단계 3. 문서화된계획에따라시스템및서비스도입시부터추가, 개발, 변경에이르기까지통제사항에대한분석이 매체통제사항분석서매체의통제사항분석이확인되는문서 전사적으로수행되 는단계

321 2. 조직내모든문서에대한전달, 복사, 폐기, 보관 4. 시스템및서비스의도입 / 개발 / 변경시이에대한통제사항이문서화되어일정기간 ( 최근 3년이상 ) 적용되고문서화되는단계 5. 시스템및서비스도입 / 개발 / 변경과관련된문서를포함한형상관리가주기적으로검토되어개선되는단계 1. 정보시스템문서에대한관리지침또는계획및절차없이수행되는단계 최근3년간의매체통제사항분석서일정기간동안정보시스템및서비스의문서관리및형상관리내역별도증빙자료없음

322 지침이존재하며이에따라관리가이루어지는가? 2. 정보시스템문서에대한관리지침이부분적으로문서화되어있는단계 3. 정보시스템문서의관리지침이문서화되어문서분류지침에따라전사적으로관리되는단계 4. 정보시스템문서의분류등급이계획절차를포함한관리지침으로문서화되어문서분류지침이 3년이상적용되고문서관리대장이검토되는단계 문서관리지침, 문서관리대장분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침서및절차서, 문서관리지침, 문서관리대장최근3년간의문서관리대장

323 3. 시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 가관리되 5. 정보시스템문서관리지침및관련지침을주기적으로개선보완하는단계 1. 시스템도입및개발시스템관련문서에대한관리지침또는계획없이관리되는단계 2. 시스템도입및개발시스템관련문서에대한관리계획이문서화되어있거나부분적으로만관리되고있는단계 분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침서및절차서의변경이력관리서, 문서관리지침, 문서관리대장별도증빙자료없음시스템관련문서관리지침서

324 고있는가? 3. 관리자가문서화된관리지침에따라전사적관리유지 ( 변경이력, 접근내역등 ) 하는단계 4. 관리자가조직전체의시스템설계명세서를문서화된관리지침에따라관리유지 ( 변경이력, 접근내역등 ) 하고관리내역이 3년이상확인되는단계 5. 관리자가조직전체의시스템설계명세서를문서화된관리지침에따라관리유지 ( 변경이력, 접근내역등 ) 하 시스템관련문서관리지침수행내역최근 3년간시스템관련관리지침검토내역서시스템관련관리지침개선내역

325 고관리내역을검 토하여주기적으로 개선되는단계 1. 매체폐기방법관 리계획수립또는 별도증빙자료 계획없이수행되는 없음 단계 5.5 매체및기록파기 매체의물리적파기방법과저장된기록의삭제방법을평가한다. 1. 정보나매체가용도폐기되기위한폐기방법이수립되고적절하게이행되는가? 2. 매체폐기방법관리계획이문서화되어있는단계 3. 매체폐기방법관리계획이문서화된관리지침에따라전사적으로수행되는단계 폐기절차및계획문서폐기관리대장 4. 최근 3년간매체폐기방법관리계획이문서화된관리지침에따라수행 매체폐기정책및절차검토내역

326 되어폐기내역이확인되는단계 5. 매체폐기방법관리계획이문서화된관리지침에따라수행된폐기내역이검토되어주기적으로개선되는단계 매체폐기정책및절차개선내역

327 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 조직의정보보호 정책과규정및직 6. 보안인식및교육훈련 6.1 보안인식교육및훈련 모든사용자에대해기본정보시스템보안인식정도와적절한정보시스템보안교육수준을평가한다. 1. 모든구성원이조직의정보보호정책과관련된일반규정및자신의직무와관련한보안교육을이수하였는가? 무와관련한교육지침이없거나계획과일정없이교육을수행하고있는단계 2. 조직의정보보호정책과규정및직무와관련한교육에대한세부적인 ( 일정, 내용, 비용, 대상자등 ) 계획이부분적으로문서화되어있는단계 별도증빙자료없음보안교육지침서 3. 조직의정보보호 보안교육수행 정책과규정및직 내역

328 무와관련한전사적교육지침에따라조직구성원이보안교육을이수한단계 4. 최근 3년간조직의정보보호정책과규정및직무와관련한교육지침에따라조직구성원이보안교육을이수한실적이확인되는단계 5. 모든구성원에대한교육이지속적으로수행되고교육의내용검토후상황에적합하게주기적으로개선되는단계 최근 3년동안정보보호교육검토내역정보보호교육지침및교육자료등개선내역

329 .2. 외부계약자와아웃소싱인력에대한보안교육지침및내용이준비되어실시되고있는가? 1. 외부계약자와아웃소싱인력에대한보안교육을수행치않거나보안교육지침없이교육을수행하거나보안인식교육이이루어지지않는단계 2. 외부계약자와아웃소싱인력에대한보안교육지침이부분적으로문서화되어있는단계 3. 외부계약자와아웃소싱인력에대한보안교육이문서화된보안교육지침에따라전사적으로수행되는단계 별도증빙자료없음외부인력보안교육지침서외부인력보안교육수행내역

330 4. 최근 3년간외부계약자와아웃소싱인력에대한보안교육이문서화된보안교육지침에따라수행되어실적이있는단계외부인력보안교육지침검토내역 5. 외부계약자와아웃소싱인력에대한보안교육이수행된실적에대한검토를통해주기적으로교육내용에반영되는단계 외부인력교육관련개선내역

331 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 비상계획 / 업무 연속성계획에따 7. 비상계획 7.1 비상교육 비상시역할및책임에대한교육환경및수준에대한평가를수행한다. 1. 비상계획 / 업무연속성계획에따라직원들이자신의역할과책임범위에해당하는교육을이수하는가? 라직원들이자신의역할과책임범위에해당하는비상교육이이루어지고있지않은단계 2. 비상계획 / 업무연속성계획에따라비상시역할과책임에해당하는교육을이수하기위한세부적인계획이부분적으로문서화되어있는 별도증빙자료없음비상계획 / 업무연속성계획문서, 비상교육문서 단계 3. 비상계획 / 업무 비상교육수행 연속성계획에명 내역

332 시된비상시역할및책임범위에따른교육이전사적으로이루어지고있는단계 4. 최근 3년간비상계획 / 업무연속성계획에명시된비상시역할및책임범위에속한교육의성과가정해진기간동안이행되고관리되는단계 5. 비상계획 / 업무연속성계획에명시된비상시역할및책임범위에속한교육의효과성을주기적으로검토되고개선되는단계 최근 3년간비상교육수행검토내역, 성과관리내역비상교육효과성관리내역, 주기적으로비상교육절차가개선된내역

333 1. 비상계획 / 업무 연속성계획에대 한정기적인모의훈련이실시되지않거나정해진계 별도증빙자료없음 획없이수행되는 7.2 비상계획모의훈련및갱신 비상계획에대한모의훈련내용및수행결과에대해평가한다. 1. 비상계획 / 업무연속성계획에대한정기적인모의훈련이실시되는가? 단계 2. 비상계획 / 업무연속성계획에대한모의훈련계획이부분적으로문서화되어있는단계 3. 비상계획 / 업무연속성계획의효과성을평가하기위한모의훈련이정해진문서에따 모의훈련계획및절차모의훈련수행내역 라전사적으로실 시되는단계 4. 최근 3 년간비상 최근 3 년간모의 계획 / 업무연속성 훈련수행검토

334 계획의 효과성을 평가하기위한모의훈련이이행되 내역 고관리되는단계 5. 비상계획 / 업무 연속성계획의효 과성을 평가하기 주기적으로모의 위한 모의훈련의 훈련계획및 효과성이 평가되 절차가개선된 고평가결과를토 내역 대로 주기적으로 개선되는단계 비상시를 1. 비상시 1. 비상시안전한 7.3 통신서비스이중화 대비하여안전한통신을위한통신서비스이중화를제공하는지를평가한다. 안전한통신을위해통신서비스에대한이중화 ( 사이트이중화, 라우터이중화, 회 통신을위해통신서비스에대한이중화가제공되지않는단계 2. 비상시를대비한통신서비스에대한이중화를제공하기위한계획이 별도증빙자료없음통신서비스이중화정책및절차

335 선이중화, 서버이중화 ) 를제공하고있는가? 부분적으로문서화되어있는단계 3. 비상시를대비한통신서비스에대한이중화가구성되어전사적으로수행되는단계 4. 최근 3년간비상시를대비한통신서비스이중화가중요시설에구성되어있고수행상태를점검하고관리되어지고있는단계 5. 비상시를대비한통신서비스이중화설비가환경변화에따라최적의상태를유지할수있도록주기적으로 통신서비스이중화정책및절차수행내역최근 3년동안통신이중화수행검토내역주기적으로통신이중화수행검토개선내역

336 성능을 검토하고 개선되는단계 7.4 정보시스템백업과복구 사용자및시스템정보의백업이이행되고백업정보가안전하게저장되는지를평가한다. 데이터및장비의무결성과가용성을유지하기위해백업계획을수립하여이행하여야하 1. 정보자산에대한백업및복구절차가수립되어이행되고있는가? 1. 정보자산에대한백업및복구가이행되지않거나계획없이수행되는단계 2. 정보자산에대한백업및복구계획이부분적으로문서화되어있는단계 3. 정보자산에대한백업및복구절차가계획된문서를바탕으로전사적운영및관리가수행되는단계 4. 최근 3년간정보자산에대한백업및복구절차가적 별도증빙자료없음백업및복구지침, 백업및복구계획서백업관리대장, 백업매체관리장소및소산장소에대한물리적보안대책서백업및복구에대한테스트문서

337 절히수행되고있 는지주기적인테 스트를통해백업 및복구의유효성 이검증되고있는 단계 5. 변화된환경에 며, 사고발생시적시에복구할수있도록관리하여야한다. 2. 백업자료의저장이지리적으로분산되거나백업사이트 맞게백업및복구가주기적으로개선되고최적의상태로유지되고갱신되고있는단계 1. 백업자료의저장이물리적으로분산되어있지않거나백업사이트가운영되고있지않은단계 갱신된백업및복구지침별도증빙자료없음 가운영되고있는가? 2. 백업자료가지리적으로분산저 백업보관및관리계획

338 장되어운영되기위한계획이부분적으로문서화되어있는단계 3. 중요백업자료가계획된문서를바탕으로물리적으로분산되어전사적으로관리되거나운영되는단계 4. 최근 3년간중요백업자료의저장또는백업사이트운영이효과적으로운영되고있는지점검하고관리되는단계 5. 관리책임자의승인을얻어중요백업자료의저장또는백업사이트 백업보관및관리수행내역최근 3년간백업보관및관리수행검토내역주기적으로백업보관및관리가개선된내역

339 3. 백업자료복구에대한책임할당과모의훈련에대한계획이수립되어절차에따라이행되고있는가? 운영이점검결과를토대로주기적으로개선하여적용하고있는단계 1. 백업자료복구에대한책임할당과모의훈련계획이수립되어있지않거나이행되지않는단계 2. 백업자료복구에대한책임할당과모의훈련계획이부분적으로문서화되어있는단계 3. 백업복구에대한책임할당과모의훈련이계획된문서를바탕으로적용되어전사적으로수행되는단계 별도증빙자료없음백업복구절차및모의훈련계획백업복구절차및모의훈련수행내역

340 4. 최근 3년간백업자료복구에대한책임할당과모의훈련결과를분석하고관리되는단계 5. 백업자료복구에대한책임할당과모의훈련의결과를주기적으로개선하여적용되는단계 최근 3년간백업복구절차및모의훈련수행검토내역일정기간동안모의훈련계획절차개선내역

341 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 중요시설에대한접근통제가수행되지않은단계 별도증빙자료없음 8. 물리적환경적보호 8.1 물리적접근통제 정보시스템및시설에대한물리적접근통제가수행되는지를평가한다. 1. 안전장치, 신원확인, 카드키또는생물학적측정과같은장치를통해중요시설에대한접근통제가이루어지는가? 2. 중요시설에대한접근통제절차가부분적으로문서화되어있는단계 3. 중요시설에대한접근통제절차가계획된문서를바탕으로전사적으로수행되는단계 4. 최근 3년간중요 접근통제정책관련문서중물리적접근통제부분출입기록문서 시설에대한접근 최근 3 년간의 통제가 이루어지 접근통제내역 고결과에대한문

342 제점을분석하고확인하는단계 2. 관리자가민감한시설에대해물리적으로접근하는사람들의기록을주기적으로재검 5. 중요시설에대한접근통제절차가이행되고주기적으로개선하여조직의정책에맞는효과적인물리적접근통제가적용되고관리되는단계 1. 중요시설접근에대한접근통제로출입자기록이이루어지고있지않거나출입자기록이검토되지않는단계 2. 중요시설에대한접근통제절차 갱신된접근통제정책별도증빙자료없음출입자기록재검토절차

343 문서중출입자기록재검토사항이부분적으로문서화되어있는단계 내용 토하는가? 3. 민감한시설에대해물리적으로접근통제가이루어지고출입자기록재검토절차에의해접근하는사람에대한검토가전사적으로수행되는단계 4. 최근 3년간출입자기록재검토절차의성과가측정되고측정결과를분석하고검토되는단계 출입자기록재검토수행내역최근 3년간출입자기록재검토수행검토내역

344 3. 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가확립되어있는가? 5. 출입자기록에대한접근필요성을주기적으로검토하고문제점을개선하여민감시설에대한접근통제가효과적으로이행되는단계 1. 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가확립되어있지않은단계 2. 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가부분적으로문서화되어있는단계 주기적출입자기록재검토절차개선내역별도증빙자료없음비상탈출및복구절차

345 3. 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차가문서에따라전사적으로이행되는단계 4. 최근 3년간허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차에따라이행된결과를측정하고분석하여관리되는단계 5. 허가된사람에대해소방훈련과같은재해훈련시비상탈출및복귀절차의효과성을 비상탈출및복구수행내역최근 3년간비상탈출및복구수행검토내역주기적으로비상탈출및복구수행개선내역

346 주기적으로 검토 되고개선되는단 계 1. 화면보호기설 8.2 디스플레이매체접근통제 정보를표시하는디스플레이매체에대한접근통제를평가한다. 1. 컴퓨터모니터에대한화면보호기설정및모니터위치설정등의주의사항에대해감독기능이수행되고있는가? 정및모니터위치설정등의주의사항에대한규정이없는단계 2. 화면보호기설정및모니터위치설정등의주의사항에대한규정이부분적으로문서화되어있는단계 3. 화면보호기설정및모니터위치설정등의주의사 별도증빙자료없음디스플레이매체접근통제정책디스플레이매체접근통제수행 항에대한정책이 내역 문서화되고 정책

347 을바탕으로관리감독하는기능을전사적으로수행하는단계 4. 최근 3년간화면보호기설정및주의사항등에대한규정을사용자에게수시로인식과감독된결과를검토하는단계 5. 화면보호기설정및주의사항등에대한규정을적용하여관리자가수시로점검하고문제점에대해주기적으로개선하는단계 최근 3년간디스플레이매체규정검토내역주기적으로디스플레이매체규정개선내역

348 1. 물리적접근에 8.3 물리적접근모니터링 물리적접근에대한감시추적이이루어지고있는지를평가한다. 1. 안전감시직원의배치, CCTV 등을통해정책에따른물리적접근에대한감시추적과보안위반행위가감시되는가? 대한감시추적과보안위반행위의감시가수행되지않는단계 2. 물리적접근에대한감시추적과보안위반행위의감시규정이부분적으로문서화되어있는단계 3. 물리적접근에대한감시추적과보안위반행위의문서를바탕으로감시가전사적으 별도증빙자료없음물리적접근모니터링규정및절차물리적접근모니터링규정및절차수행내역 로수행되는단계 4. 물리적접근에 최근 3 년간 대한감시추적과 물리적접근

349 보안위반행위의감시결과를분석하고검토되는단계 모니터링규정및절차검토내역 5. 물리적접근에 대한감시추적과 주기적으로 보안위반행위의 물리적접근 감시절차의효과 모니터링규정 성이검토되고주 및절차개선 기적으로 개선되 내역 는단계 8.4 전력장비및전력선보호 전력배선및전력장비가손상되거나파손되지않도록정기적으로검토되고있는지를평 1. 전원공급이상이나기타전기관련사고로부터장비를보호하기위해설비상태에대해 1. 전력설비상태에대해검토하지않는단계 2. 전력설비상태에대한검토계획이부분적으로문서화되어있는단계 별도증빙자료없음전력상태검토계획

350 정기적으로검토되고있는가? 3. 전력설비상태에대한검토가정기적으로전사적수행이되는단계 4. 정기적인전력설비상태검토결과에대한성과측정이이루어지고검토되는단계 전력상태검토수행내역최근 3년간전력상태검토수행결과내역 가한다. 5. 정기적인전력설비상태점검결과가최적의상태가되도록검토및개선되는단계 주기적으로전력상태검토절차개선내역 2. 전력및통신회선을도청이나손상으로부터예 1. 전력및통신회선보호를위한예방및조치활동이수행되지않는단계 별도증빙자료없음

351 방및조치하는활동이이루어지고있는가? 2. 전력및통신회선보호를위한예방조치활동계획이부분적으로문서화되어있는단계 3. 전력및통신회선보호를위한예방및조치활동이문서에따라전사적으로이행되는단계 4. 전력및통신회선보호를위한예방및조치활동의성과가측정되고분석하고검토되는단계 5. 전력및통신회선보호를위한예 전력및통신접근통제문서전력및통신접근통제수행내역최근 3년간전력및통신회선보호검토내역주기적으로전력및통신회선

352 방및조치결과에 대한분석을바탕으로주기적으로 보호개선내역 개선되는단계 1. 비상전력공급을 무정전전압장치를 1. 전력이 위한시설이운영되지않거나계획없이운영되는단계 별도증빙자료없음 8.5 비상전력 제공하여주전원손실시정보시스템에대한보호를수행하는지를평가한다. 중단되지않도록무정전전원공급장치나백업발전기가있는가? 2. 비상전력공급을위한계획이부분적으로문서화되어있는단계 3. UPS장비나백업발전기를사용하여비상전력을계획에맞게공급 비상전력공급정책및절차비상전력공급정책절차 하여 전사적으로 수행내역 적용하고있는단 계

353 4. 최근 3 년동안 UPS 장비나 백업 발전기에대해정 최근 3 년간 기점검이 이루어 비상전력공급 지고주기적인훈 정책절차검토 련을통해발전기 내역 상태를 확인하여 관리되는단계 5. UPS 장비나백 업발전기를사용 한비상전력이최 주기적으로 적의상태로유지 비상전력공급 될수있도록공급 정책및절차 용량에대해주기 개선내역 적으로 검토되고 조정되는단계 8.6 비상조명 정전시비상구, 대피경로가포함되는자 1. 중요시설에대한비상조명이구비되 1. 중요시설에대한비상조명이구비되어있지않은단계 별도증빙자료없음

354 2. 비상조명설치 장소, 도입및유지 관리등비상조명 비상조명정책 설치계획에대해 및절차 부분적으로 문서 화되어있는단계 3. 중요시설에대 동비상등시스템을도입및유지하고있 어있는가? 해비상조명이계획된문서에따라전사적으로설치되어있는단계 비상조명정책및절차수행내역 는지를평가한다. 4. 최근 3년동안비상조명설치후지속적으로관리되고검토된내역이확인되는단계 최근 3년간비상조명정책및절차수행검토내역 5. 중요시설의환 주기적으로 경변화에따라비 비상조명정책 상조명체계가반 및절차개선 영되어최적의상 내역

355 태를유지할수있 도록 주기적으로 개선되는단계 1. 화재진압및냉 8.7 환경통제 화재시활성화될수있는화재진압및탐지장치의시스템을도입하고유지하고있는지를평가한다. 1. 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제를수행하고있는가? / 난방시스템, 누수점검등에대한환경통제가수행되지않는단계 2. 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제계획이부분적으로문서화되어있는단계 3. 화재진압및냉 / 난방시스템, 누수점검등에대한환경통제를문서 별도증빙자료없음환경통제정책및절차환경통제정책및절차수행 에따라전사적으 내역 로이행하고있는 단계

356 4. 최근 3년동안비상시대비를위한자동화된도구를사용하여환경통제가수행되며수행내역이검토되는단계 5. 중요시설의환경변화에따라환경통제가적절히이루어지는지정기적으로점검하고결과를반영하여주기적으로개선되는단계 최근 3년간환경통제정책및절차수행검토내역주기적으로환경통제정책및절차개선내역

357 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 신원조사수행 및비밀유지서약 별도증빙자료 서작성절차가없 없음 는단계 9. 인적보안 9.1 신원조사 조직의정보및정보시스템에접근하는사용자에대한신원조사가수행되는지를평가한다. 1. 신원조회가수행되고비밀유지서약서를작성하고있는가? 2. 신원조사수행및비밀유지서약서작성절차가수립되어문서화되어있는단계 3. 신원조사수행및비밀유지서약서작성절차에따라수행하는단계 4. 신원조사수행 신원조사및비밀유지서약서절차신원조사및비밀유지서약서수행내역최근 3년간 및 비밀유지서약 신원조사및 서가작성되고서 비밀유지서약서 약서의 내용대로 검토내역

358 이행하는지 검토 되고보관되는단 계 5. 신원조사수행 및 비밀유지서약 서의내용을정기적으로검토하여내부정책에맞게적용되었는지주 신원조사및비밀유지서약서개선내역 기적으로 검토하 고개선되는단계 9.2 인사관리 인사이동과퇴직자에대한계정관리및소유한정보자산처 1. 인사이동, 인력채용, 고용유지, 퇴직, 적격심사, 민감직무등 1. 인사이동및퇴직자에대한계정관리와소유한자산처리절차가수립되어있지않는단계 별도증빙자료없음 리등인사관리에대해평가한 의사항을고려한인사관리절 2. 인사이동및퇴직자에대한계정관리와소유한자 인사관리절차

359 다. 차가수립되고이행되는가? 산처리절차가문서화되어있는단계 3. 인사이동및퇴직자에대한계정관리와소유한자산처리절차가문서에따라전사적으로이행되는단계 4. 인사이동및퇴직자에대한계정관리와소유한자산처리절차가적절히이행되는지분석되고관리되는단계 5. 인사이동및퇴직자에대한계정관리와소유한자 인사관리절차수행내역최근 3년동안인사관리절차검토내역주기적으로인사관리절차개선내역

360 산처리절차이행 절차가정책에맞 게적절히반영되 고주기적으로개 선되는단계 1. 시스템이나서 9.3 내부인력관리 보안시스템이나서비스개발자를통제하는관리계획이수립되어실행되는지를평가한다. 1. 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리에관한계획이수립되어시행되고있는가? 비스내부인력보안에대한시스템사용접근권한등의관리가시행되지않는단계 2. 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리계획이부분적으로문서화되어있는단계 3. 시스템이나서 별도증빙자료없음내부인력보안관리절차내부인력 비스내부인력보 보안관리수행

361 안에대한시스템사용접근권한등의관리가문서에따라전사적으로이행되는단계 4. 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리활동이적절히수행되는지검토되는단계 5. 시스템이나서비스내부인력보안에대한시스템사용접근권한등의관리절차가주기적으로검토되고개선되는단계 내역최근 3년간내부인력보안관리절차검토내역내부인력보안절차개선내역

362 1. 제 3 자에대한보 안요구사항이계 별도증빙자료없 제 3 자에대한보안요건을확 9.4 립하고감제3자독하여적보안절한보안 1. 제3자 ( 외부유지보수직원, 외부용역자포함 ) 에의한정보자산접근과관련한보안요구사 약에반영되지않은단계 2. 제3자에대한보안요구사항이계약에반영을위한접근보안요구사항계획및절차가부분적으로문서화되어있는단계 음제3자접근보안요구사항절차 을유지하는지를평가한다. 항의도출및정보보호정책준수계약에이행되고있는가? 3. 전사적으로제3 자에대한보안요구사항이계약에반영되어있고, 계약준수여부를감독하고있는단계 제3자접근보안요구사항수행내역 4. 제 3 자보안준수 최근 3 년간 감독활동에대한 제 3 자접근

363 성과를측정하고측정결과가분석하여관리되는단계 5. 제3자보안통제절차의정책준수계약서의내용이내부정책에맞게주기적으로개선되는단계 보안요구사항절차검토내역주기적으로제3자접근보안요구사항개선내역

364 통제분야 통제항목 적용평가내용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 사고대응절차 가마련되어있지않으며, 모의훈련이계획없이수행 별도증빙자료없음 10. 사고대응 10.1 사고대응모의훈련 사고대응모의훈련의성숙도를평가한다. 1. 보안사고인식과처리방법에대한내용을포함한교육, 모의훈련이실시이행 되고있는단계 2. 사고대응절차가마련되어역할및책임이정의되어있으며, 계획이문서화되어있는단계 3. 조직에서발생가 보안사고대응방법및절차 되고있는 능한모든보안사고 가? 유형의파악및처 보안사고대응 리방법에대한내용 방법및절차 을포함한교육, 모 교육수행내역 의훈련을실시하고 있는단계

365 4. 사고처리후재 발방지를위하여필요한교육, 모의훈련이지속적으로이행되고훈련결과가검토되는 최근 3년간보안사고대응방법및절차교육검토내역 단계 5. 모의훈련및사 고처리후재발방 주기적으로 지를위한교육, 모 보안사고대응 의훈련결과검토 방법및절차 를통해부적절한 교육절차개선 절차가 주기적으 내역 로개선되는단계 정보시스 1. 부정접 1. 보안사고에모 10.2 템보안사 근 ( 시스템, 니터링계획이수 사고 고에대한 파일등 ) 이 립되어있지 않으 별도증빙자료없 모니 계속되는 나정당한 며, 필요시에모니 음 터링 추적및기 접근에대 터링이 수행되는 록이이루 한의심사 단계

366 2. 보안사고에대 한모니터링계획 보안사고 이문서화되고있 모니터링절차 는단계 3. 전사적보안사 고및보안사고예 측등에대한모니 보안사고 어지고보안사고정보의수집및분석정도를평가한다. 례및보안사고조사과정의지속적모니터링하고있는가? 터링이이루어지고모든접근추적감시가추적되는단계 4. 보안사고에대한추적및기록이적절히보호되며, 모니터링수행내역최근 3년동안보안사고 모니터링 결과를 모니터링검토 분석하여 성과를 내역 측정하는단계 5. 지속적으로모 주기적으로 니터링결과가분 보안사고 석되고 분석결과 모니터링방법 를바탕으로모니 및개선내역

367 터링방법이주기 적으로 개선되는 단계 1. 보안사고보고 10.3 보안사고보고 보안사고의징후및보안사고를인식했을경우보고절차와사고보고 내용, 범 위, 영향평가등을포함하여분석이이루어지고있는지를평가한다. 1. 보안사고발생여부에대한판단기준및보고절차, 보고내용, 보고방법등이절차화되어이행되는가? 절차및체제가구축되어있지않거나계획없이이행되어지는단계 2. 보안사고보고절차가수립되고보안사고역할및책임이문서로정의되어있는단계 3. 전사적으로보안사고발생여부가판단되는기준에따라협조체제가구축되어운영되고절차에따라기록되고이행되 별도증빙자료없음보안사고보고절차관련문서보안사고연락망, 보안사고보고서 는단계

368 2. 보안사고유형, 범위, 비용, 영향평가등을포함한보안사고가분석되어기록되고있는 4. 보안사고발생후보고절차및체제가정량적으로측정되고분석되고있는단계 5. 보안사고발생후보고절차및체제가소요시간등의목표에따라측정되고부적절한절차가주기적으로개선되는단계 1. 보안사고분석이수행되지않거나계획없이수행되고있는단계 2. 보안사고분석에대한시행계획이부분적으로문서화되고이행되는단계 보안사고정량적지표문서, 최근3년동안의보안사고내역보안사고절차개선내역문서별도증빙자료없음보안사고분석서

369 가? 3. 전사적보안사고유형, 범위, 비용영향평가등을포함한보안사고가분석되어기록되는단계 4. 보안사고사후대응결과에대한영향평가등이측정되고분석되고있는단계 5. 보안사고사후대응결과가검토되고목표에따라측정되고재발방지를위해주기적으로개선되는단계 보안사고분석결과수행내역최근 3년간보안사고분석결과검토내역주기적으로보안사고분석절차개선내역

370 통제분야 통제항목 평가내용적용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 사용자행위식 별과감사추적기 능이없거나계획 별도증빙자료 없이행위식별및 없음 감사추적이 이행 11. 감사및책임추적성 11.1 감사대상이벤트생성기능 정보시스템에대한지속적인감사가수행되는지를평가한다. 1. 일반사용자행위식별기능과감사추적기능이있는가? 되는단계 2. 정보시스템에접근하는사용자에대한행위식별과감시추적기능의시행계획이부분적으로문서화 감사추적지침및계획 ( 감사추적대상기능포함 ), 감사추적수행내역또는감사추적용 되어이행되는단 로그 ( 일부 계 시스템에서확인 가능 ) 3. 사용자의역할 감사추적지침 에따른활동상황 및계획,

371 의식별기능과감사추적기능이전사적으로시스템화되어운영되는단계 4. 일정기간동안사용자행위식별기능과감사추적기능이확인되고검토되는단계 5. 사용자행위식별기능과감사추적기능이최신성을보장할수있도록주기적으로개선하는단계 감사추적수행내역또는감사추적용로그 ( 전사시스템에서확인가능 ) 최근 3년간또는감사추적기록보관기간규정에따른일정기간동안의감사추적수행검토내역또는감사추적용로그 ( 전사시스템대상 ) 감사추적지침및계획이개선된내역

372 2. 감사로그가오프라인에일정기간동안유지되고감사로그에대한접근이엄격하게통제되고있는가? 1. 감사로그에대한유지및접근통제가이루어지지않거나구체적인계획없이통제가되는단계 2. 감사로그에대한유지와접근통제에대한시행계획이부분적으로문서화되어있는단계 3. 감사로그에대한유지와접근통제가전사적정보시스템의중요도에따라되어적용되어있는단계 별도증빙자료없음감사로그관리계획및절차 ( 감사로그별유지기간및보호방안포함 ) 감사로그관리계획및절차 ( 전사정보시스템중요도에따른분류포함 ), 감사로그관리수행내역및관리수행내역

373 4. 감사로그및접 최근 3 년간 근통제내역에대 감사로그관리 하여무결성을보 검토내역, 장하기위하여주 감사추적용기록 기적으로 검토되 및로그무결성 는단계 검토내역 5. 감사로그및접근통제내역에대하여주기적인분석을통한취약점발견및대응방안을수립하여개선하는단계 감사로그관리계획및절차개선내역, 감사로그분석결과보고서 ( 규정위반항목에대한대책포함 ) 11.2 감사정보관리 기간, 저장용량등을포함한감사정보를관리하고있는지를 1. 감사기록정보의관리 ( 기간, 저장용량등 ) 가이루어지고있 1. 감사기록정보에대한관리를수행하지않거나계획없이관리되는단계 별도증빙자료없음

374 평가한다. 는가? 2. 감사기록정보관리를위한시행계획이문서화되어있고감사기록을부분적으로저장하는단계 3. 감사기록정보의보관기간, 저장용량등이정의되고, 전사적으로이행되는단계 4. 일정기간동안감사기록정보에대한보안대책및관리방안을수립하고관리내역이유지되는단계 5. 감사기록정보의관리내역을검 감사기록관리계획및절차서 ( 일부시스템대상 ) 감사기록관리계획및절차서 ( 전사시스템대상 ) 최근 3년동안감사기록수행검토내역최근 3년간감사기록계획

375 및절차개선 토한후주기적으로개선되는단계 내역 ( 감사로그저장용디스크에대한용량검토 결과포함 ) 11.3 감사 정기적으로감사결과에대해점검및분석이이루어지고의 1. 특정또는전체시 1. 시스템및네트워크관련행위로그에대한관리가수행되지않거나계획없이로그가관리되는단계 별도증빙자료없음 모니터링, 분석및보고 심스러운행동이나위반을조사하여보고및조치를취하는메커니즘을평가한다. 스템에대한로그들이보관및분석되는가? 2. 시스템및네트워크관련행위에대한로그수집및분석시행계획이부분적으로문서화되어실행되는단계 3. 시스템및네트워크관련행위로 감사로그관리계획및절차, 감사로그분석결과보고서 ( 일부시스템대상 ) 감사로그분석결과

376 그에특권, 접근정책위반등에대하여전사적으로수행되고있는단계 4. 시스템및네트워크관련로그를주기적으로분석하여검토되고담당자가검토된내역을확인하는단계 5. 시스템및네트워크관련로그에대해분석하고분석결과를바탕으로주기적으로보안대책에반영되어개선되는단계 보고서 ( 전사시스템대상 ) 최근 3년간감사로그분석결과보고서최근 3년간감사로그분석결과보고서, 감사로그위반사항대응결과보고서 ( 감사로그분석결과에

377 따른보안대책 수립및적용 결과를포함 ) 1. 감사기록의시 간표시와관련된 계획이없으며, 일 별도증빙자료 부 정보처리시스 없음 템만 시간표시를 11.4 감사기록시간표시기능 감사기록구성에사용한시간표시기능에대해평가한다. 1. 감시기록에시간표시를위한기능이있는가? 하는단계 2. 감사기록시간표시기능에대한시행계획이문서화되어있는단계 감사추적계획및절차서 ( 일부시스템대상 ), 감사기록 ( 일부시스템에대한 시간표시포함 ) 3. 감사기록에시 감사추적계획 간표시를위한표 및절차서 ( 전사 준이수립되어적 시스템대상 ), 용되고 시스템화 감사기록수행

378 되어 전사적으로 내역 ( 전사 운영되고있는단 시스템에대한 계 시간표시포함 ) 4. 감사기록의시각설정및동기화확인, 주기적인시각의설정및동기화점검여부등을분석하고관리하는단계 최근 3년동안감사기록수행검토내역 ( 감사기록시각동기화및설정내역포함 ) 5. 감사기록의시 감사기록계획 간표시기능의관 및절차개선 리내역을 검토한 내역 ( 시각 후주기적으로개 동기화및설정 선되는단계 내역포함 ) 11.5 부인방지 부인방지에대한조치가이루어지는지 1. 전자결제및전자문서사용시부인방 1. 부인방지를위한기능이없거나계획없이이행되고있는단계 별도증빙자료없음

379 2. 부인방지에대한조치계획이부분적으로문서화되어있는단계 부인방지계획및절차 ( 일부시스템대상 ) 부인방지계획 및절차 ( 전사 3. 부인방지를적 시스템대상 ), 용하기위하여주 부인방지대책 를평가한다. 지기능이이행되고있는가? 요위협요소를파악하여고려하였으며, 부인방지기능을전사적으로 적용결과보고서 ( 전자서명등전사시스템에대한 적용한단계 부인방지대책 적용에대한 결과포함 ) 4. 부인방지기능의무결성이검증되며, 지속적으로이행되고검토되고있는단계 최근 3년간부인방지수행및규정위반검토내역

380 5. 부인방지기능이지속적으로이행되고실적이검토되어주기적으로부인방지조치가개선되는단계 부인방지계획및절차개선내역

381 통제분야 통제항목 평가내용적용여부 세부평가항목 적용여부착안사항설명평가 증빙자료예시평가방법 평가검증 ( 제외사유 ) 중요도 1. 사용자계정처 리절차가수립되어있지않거나계획없이계정관리 별도증빙자료없음 정보시스 가수행되는단계 12. 시스템및통신보호 12.1 계정관리 템계정의삭제, 요 청, 처리승인에대한절차가수립되어이행되는지를평가한다. 1. 사용자계정정보를관리 ( 삭제, 요청, 발급등 ) 하기위한처리절차가있는가? 2. 사용자의계정관리를위한시행계획이부분적으로문서화되어있는단계 3. 계정관리계획에따른공식적인계정처리절차가수립되어적용되고수행되고있는단계 사용자계정관리절차사용자계정수행내역, 사용자별계정목록, 계정관리시스템 4. 일정기간동안 최근 3 년간 사용자의 계정처 사용자계정

382 리절차에따라이 행된결과가확인되고검토되는단 수행검토내역 계 5. 계정처리결과를분석하여주기적으로개선방향이반영되는단계 사용자계정관리절차개선내역 사용자패 1. 패스워 1. 패스워드관리 스워드에대한관리를통해임 드의재사용과기본패스워드 정책이수립되어있지않거나계획없이수행되는단 별도증빙자료없음 12.2 패스워드관리 대하거나공유하고분실및손상으로부터합리적 방지를위해정기적으로패스워드를변경하는내 계 2. 사용자패스워드재사용및기본패스워드사용방지에대한계획 ( 방 패스워드정책에 으로보호 용이정책 법, 변경기간, 패 관한문서 하고있는 또는규정 스워드규칙등 ) 이 지를평가 에포함되 부분적으로 문서 한다. 어 있는 화되어있는단계

383 가? 3. 사용자패스워드재사용및기본패스워드사용방지를위한정책등이전사적으로수립되어있고, 교육되어진단계 4. 일정기간동안패스워드관리정책에따라생성된패스워드가확인되고검토되는단계 5. 패스워드정책에따라적절하게생성되어사용되고있는지를분석하여, 주기적으로개선방향이반영되는단계 패스워드사용에대한교육자료패스워드유출방지서약서최근 3년간의패스워드관리정책및절차서

384 2. 패스워드생성및손실 / 손상된패스워드관리규정에대한절차가수립되어있는가? 1. 패스워드생성및손실 / 손상된패스워드관리규정절차가수립되어있지않거나계획없이이행되는단계 2. 주요시스템에대한패스워드관리절차수립계획이문서화되어있는단계 3. 문서화된계획에따라패스워드관리규정및절차 ( 패스워드생성및손실등 ) 가수립되어전사적으로수행되는단계 4. 일정기간동안패스워드관리규 별도증빙자료없음패스워드관리절차패스워드관리절차수행내역최근 3년간패스워드수행

385 3. 패스워드전송과저장시안전한프로토콜 / 알고리즘을사용하는가? 정및절차에따라관리된패스워드가확인되고검토되는단계 5. 패스워드관리규정및절차에따라관리된결과를분석하여주기적으로개선방향이반영되는단계 1. 패스워드전송과저장시프로토콜및알고리즘을사용하지않고계획없이패스워드전송및저장이이루어지는단계 2. 패스워드전송및저장시프로토콜및알고리즘사 검토내역패스워드관리절차개선내역별도증빙자료없음패스워드관리절차

386 용계획이부분적으로문서화되어있는단계 3. 패스워드전송과저장시암호화알고리즘과안전한프로토콜이전사적으로사용되고있는단계 4. 일정기간동안패스워드전송및저장시프로토콜또는알고리즘에대한안전성이확인되고검토되는단계 5. 패스워드전송및저장시안전성결과를검토하여주기적으로개선되는단계 패스워드암호화수행내역최근 3년간패스워드암호화수행검토내역패스워드관리절차개선내역

387 1. 중요서버시스템 및통신장비등에 대한 설정관리가 별도증빙자료 이행되지 않거나 없음 12.3 설정관리 중요서버시스템및통신장비, 정보보호제품등의설정관리가되고있는지를평가한다. 1. 중요서버시스템및통신장비정보보호제품의설정관리가승인과정을통하여이행되고있는가? 계획없이이행되는단계 2. 중요서버시스템및통신장비에대한설정관리계획이부분적으로문서화되어있는단계 3. 중요서버시스템및통신장비에대한보안설정가이드라인또는지침이수립되어전 보안시스템운영설정관리절차및방안운영설정관리수행내역 사적으로 수행되 는단계 4. 일정기간동안 최근 3 년간 의설정관리에대 운영설정수행

388 한승인내역이확 인되고 검토되는 검토내역 단계 5. 설정관리에대 한승인과정이지 시스템운영설정 속적으로분석, 검 관리절차및 토되어 개선되는 방안개선내역 단계 12.4 접근통제 접근통제정책및관련접근시행메커니즘을도입하여정보시스템사용자접근을통제하는지를평가한다. 1. 사용자별시스템및정보보호제품에대한물리적, 논리적접근권한이부여되며정기적으로검토가이루어지고있는 1. 사용자별접근권한이부여되지않거나계획없이이행되는단계 2. 사용자에대한직급별, 업무별접근권한에대한검토계획이부분적으로문서화되어있는단계 3. 사용자별시스템및정보보호제 별도증빙자료없음사용자접근권한접근통제정책서접근통제정책문서, 사용자

389 가? 품에대한물리적접근권한에대한정책이전사적으로수립되어, 이를통한접근권한이부여되는단계 4. 일정기간동안의접근권한에대한내용이확인되고검토되고있는단계 5. 접근권한부여내역이검토되고사용자직급및업무변경시접근권한이변경되고주기적으로갱신되는단계 단말에서컴퓨터서비스까지의논리적, 물리적접근경로가문서화, 접근승인문서, 접근허가목록, 접근승인에따른인증체계시스템로그관리문서, 일정기간접근권한내역접근권한변경절차서

390 2. 네트워크접근 ( 특정터미널접근, 응용프로그램접근, 시스템운영체제접근등 ) 정책이수립되어있고이에따라운영되고있는가? 1. 네트워크접근통제정책이수립되어있지않거나계획없이운영되는단계 2. 네트워크접근정책수립을위한계획이부분적으로문서화되어있는단계 3. 네트워크접근정책이수립되고, 이를통하여접근통제가전사적으로이루어지는단계 4. 네트워크접근정책에따른일정기간동안의접근통제결과가확인되 별도증빙자료없음네트워크접근통제정책네트워크접근통제수행내역최근 3년간네트워크접근통제수행검토내역

391 3. 데이터베이스내의접근정책및절차가수립되어있고이에따라운영되고있는가? 고검토되는단계 5. 네트워크접근정책에따라접근통제가검토결과가분석되어, 주기적으로정책에반영되는단계 1. 데이터베이스내혹은중요파일보호를위한정책및절차가수립되어있지않거나계획없이운영되고있는단계 2. 데이터베이스에대한접근권한이명시되고데이터사전및유틸리티에대한접근통제계획이문서화되어있는단계 네트워크접근통제정책개선내역별도증빙자료없음데이터베이스접근정책및절차

392 4. 원격작업을통해 3. 데이터베이스의정보보호를위한접근권한에대한정책및절차가수립되고이에따라전사적으로이행되는단계 4. 일정기간동안의데이터베이스의중요파일보호를위한정책및절차에따른접근통제의결과가확인되고검토되는단계 5. 데이터베이스접근통제의검토결과가분석되어, 주기적으로개선되는단계 1. 원격접근통제대책이수립되지 데이터베이스접근통제수행내역최근 3년간데이터베이스접근정책수행검토내역데이터베이스접근정책및절차개선내역별도증빙자료없음

393 내부시스템접근시관련식별인증, 접근통제대책이수립되어이행되고있는가? 않거나계획없이접근통제기능이수립되어있는단계 2. 원격접근통제원격접근통제대책이문서화되정책및절차어있는단계 3. 원격접근에대한인증및접근통제정책이수립되원격접근통제고이에따라전사수행내역적으로이행되는단계 4. 원격접근에대한인증및접근통최근 3년간원격제가이행된일정접근통제수행기간동안의이행검토내역내역이확인되고검토되는단계 5. 원격접근에대원격접근통제

394 5. 무선접근 ( 무선랜, 휴대폰등의무선기기및장비 ) 통제정책이수립되어이행되고있는가? 한인증및접근통제정책에따라이행된결과가분석되어, 주기적으로개선되는단계 1. 무선접근통제정책이수립되지않거나계획없이이행되는단계 2. 무선접근통제기능에대한실행계획이부분적으로문서화되어있는단계 3. 무선기술사용에대한접근통제정책이전사적으로수립되고이에따라이행되는단계 정책및절차개선내역별도증빙자료없음무선접근통제정책무선접근통제수행내역

395 6. 이동장비의분실및불법접근등의위험으로부터보호하기위한정책및보안대책이수 4. 일정기간동안의무선기술사용에대한인증및접근통제의이행내역이확인되고검토되는단계 5. 무선기술사용에대한접근통제정책에따라이행된결과가분석되고주기적으로개선되는단계 1. 이동장비보안을위한정책이수립되어있지않거나계획없이수행되는단계 2. 이동장비보안을위한사용제한규칙및실행계획 최근 3년간무선접근통제수행검토내역무선접근통제정책개선내역별도증빙자료없음이동컴퓨터보안지침

396 립되어있는가? ( 암호화, 물리적잠금장치, 추적 ) 부분적으로문서화되어있는단계 3. 이동장비에대한분실및불법접근으로부터보호하기위한정책및보안대책이수립되어전사적으로수행되는단계 4. 이동장비에대한보안정책이해여부의일정기간동안의내역이확인되고검토되는단계 5. 이동장비의대해보안정책에따라이행된결과가시스템적으로분 이동컴퓨터보안수행내역최근 3년간이동컴퓨터보안수행검토내역이동컴퓨터보안지침개선내역

397 석되고, 주기적으 로개선되는단계 1. 시스템에접근 하는사용자접근 시도 가능횟수를 별도증빙자료 지정하는 기능이 없음 12.5 접근시도실패관리기능 접근시도에따른제한기능에대해평가한다. 1. 시스템에접근하는사용자에대한인증실패횟수를제한하는기능이있는가? 없거나계획없이수행하는단계 2. 사용자접근시도가능횟수제한에대한계획이부분적으로문서화되어있는단계 3. 관리지침이마련되어접근시도가능횟수를제한하여접근통제가전사적으로수행 사용자계정및패스워드관리절차사용자접근실패접근통제수행내역 되고있는단계 4. 접근시도가능 횟수제한에맞게

398 접근통제가 적절 히이루어지고있 으며 일정기간동 안의내역이확인 되고검토되는단 계최근 3 년간사용 자접근실패접근 통제수행내역 5. 관리지침에따 른접근시도가능횟수제한의이행결과가분석되고, 주기적으로개선 사용자계정및패스워드관리절차개선내역 되는단계 12.6 시스템이용주의사항공지 시스템사용주의사항을공지하는기능을평가한다. 1. 표준화된이용시주의사항을사용자에게공지하는기능이있는 1. 사용자에대한시스템이용주의사항공지기능이없거나, 계획없이필요에따라공지하는단계 별도증빙자료없음 2. 사용자에대해사용자주의사항

399 기능가? 시스템이용주의사항공지에대한계획이부분적으로문서화되어있는단계 3. 지침이나절차서에맞게시스템이용시주의사항에대해전사적으로공지하고있는단계 4. 시스템환경변화에따라적합하게변경하여공지하고있는지일정기간동안의내역이확인되고검토되는단계 5. 시스템환경변화에따라적합하게시스템이용주 공지계획주의사항공지수행내역최근 3년동안주의사항공지수행검토내역주의사항공지계획개선내역

400 2. 개인정보보호정책을웹사이트에공지하는기능이있는가? 의사항이공지되었는지분석되고, 주기적으로개선되는단계 1. 개인정보보호정책을홈페이지에공지하는기능이없거나계획없이수행되고있는단계 2. 개인정보보호정책을공지하기위한절차에대한사항이부분적으로문서화되어있는단계 3. 지침또는절차에맞게홈페이지에개인정보보호정책을전사적으로공지하고내부 별도증빙자료없음개인정보보호정책및계획개인정보보호정책수행내역

401 직원에게개인정보보호에대해인식시키고있는단계 4. 일정기간동안의홈페이지의개인정보보호정책이지침또는절차에맞게공지되고, 내부직원들에게개인정보보호를인식하도록지향하는것이확인되고검토되는단계 5. 홈페이지의개인정보보호정책이지침또는절차에맞게공지되었는지를분석하고, 주기적으로개선되는단계 최근 3년간개인정보보호수행검토내역개인정보보호정책개선내역

402 1. 최근로그인정 보를확인할수없 거나, 이에대한구 별도증빙자료 체적인 계획없이 없음 기능이 수행되는 단계 2. 최근로그인에 12.7 이전로그인정보알림기능 로그인성공시마지막로그인정보통지에대해평가한다. 1. 로그인시최근의로그인정보를확인할수있는기능이있는가? 대한정보를확인할수있는기능에대해부분적으로문서화하고있는단계 3. 최근로그인에대한정보를확인할수있는기능이전사적으로존재 사용자계정관리절차최근로그인정보수행내역 하는단계 4. 최근로그인에대한정보가관리자에의해지속적으로관리되는단계 최근 3년간최근로그인정보수행검토내역

403 5. 최근로그인에 대한정보를검토, 분석하여, 주기적으로접근정책에 사용자계정관리절차개선내역 반영되는단계 1. 네트워크에접 근하는 사용자에 대한세션수를정 12.8 세션통제기능 사용자의사용기능세션수및세션잠금, 세션종료기능을평가한다. 1. 사용자의사용가능세션수를정의하고있는가? 의되어있지않고불특정다수가접속하도록잠금설정이되어있지않은단계 2. 업무별, 직급별, 중요도별필요한세션수에대해정 별도증빙자료없음세션통제절차 해진지침이부분 지침 적으로문서화되 어있는단계

404 3. 정해진지침에따라세션수를전사적으로통제하고중요정보에대한접근을엄격히차단하여적용하는단계 4. 세션에대한통제가적절하고이행되고있는지의여부가일정기간확인되고검토되는단계 세션통제수행내역최근 3년간세션통제수행검토내역 5. 세션에대한문제점이분석, 파악되어주기적으로가능한세션수정의가갱신되는단계 세션통제지침개선내역

405 2. 사용하지않는동안에화면보호기잠금설정이되어있거나워크스테이션접속을끊는기능이유지되고있는가? 1. 별도의지침없이사용하지않는동안화면보호기잠금이설정되어있거나, 접속을계획유지되고있는단계 2. 정해진지침및절차에따라사용자가일정시간사용하지않을시화면보호기에잠금을설정하고접속을차단할수있도록부분적으로문서화되어있는단계 3. 사용자가일정기간사용하지않을시외부자가접근할수없도록화 별도증빙자료없음세션통제지침및절차세션통제수행내역

406 면보호기의 잠금 이설정되어접속 차단이 전사적으 로이행되는단계 4. 일정기간동안 화면보호기능및 최근 3 년간세션 잠금기능이이행 통제수행검토 된사항이확인되 내역 고검토되는단계 5. 검토된분석결 과를반영하여외 부자로부터접근을차단하고안전하게유지될수있도록주기적으로 세션통제지침및절차개선내역 관리하고 갱신하 는단계 12.9 사용자인 1. 개발및 1. 개발및테스트 시스 터페이스 테스트시 시스템이 운영시 별도증빙자료 템과 서비스와 스템이운 스템과 분리되어 없음 응용 정보시스 영시스템 있지않거나구체

407 적인계획없이분 리되어 운영되는 단계 2. 각시스템에대 해업무특성에맞 게분류하기위한 시스템개발및 절차가 부분적으 운영절차 프로그램의분리 템관리서 비스와의 기능이분 리되어있 는지를평 가한다. 과분리되어있는가? 로문서화되어있는단계 3. 개발및테스트시스템과운영시스템이분리되어전사적으로수행되는단계 시스템개발및운영절차수행내역 4. 개발및테스트 시스템과운영시스템이분리되어운영되고있는지일정기간동안의운영내역이확인되고 최근 3년간시스템개발및운영절차수행검토내역 검토되는단계

408 2. 중요데이터와일반데이터가다른서버에분리되어보관되는가? 5. 개발및테스트시스템과운영시스템이분리운영되어있는지검토하고문제점을분석하여주기적으로개선되는단계 1. 중요데이터와일반데이터구분이없거나, 계획없이데이터를보관하고있는단계 2. 중요데이터와일반데이터가분리되어보관하도록부분적으로문서화는되어있는단계 3. 중요데이터와일반데이터를정 시스템개발및운영절차개선내역별도증빙자료없음시스템개발및운영절차시스템개발및운영절차수행

409 해진절차와지침 문서를통해서로 다른서버에분리 내역 되어 전사적으로 보관되는단계 4. 중요데이터및 일반데이터가 정 해진지침에따라 최근 3 년간 구분하여 보관하 시스템개발및 고있는지일정기 운영절차수행 간동안의관리내 검토내역 역이확인되고검 토되는단계 5. 데이터의분리 보관에대한문제 시스템개발및 점이분석되어주 운영절차개선 기적개선되는단 내역 계 공유시스 시스템자원공유를통한비허 1. 데이터공유 ( 데이터베이스 1. 데이터공유에대한보안관리지침이수립되어있 별도증빙자료없음

410 지않거나, 임의적 으로데이터를공 유하여 이행되는 단계 2. 데이터공유에 대한보안관리지 템자원보안관리 가된정보이동에대해방지하는자원보안관리기능에대해평가한다. 등 ) 에대한보안관리지침 ( 책임과권한포함 ) 이수립되어이행되고있는가? 침수립등의이행계획이부분적으로문서화되어있는단계 3. 데이터공유보안지침에따라전사적으로수행되고있는단계데이터공유보안수행 데이터공유보안지침 내역 4. 지침에따라일 최근 3 년간 정기간수행된내 데이터공유 역이확인되고검 보안수행검토 토되는단계 내역 5. 지침에따라지데이터공유

411 속적으로 이행된 내역을 분석하여 보안지침개선 주기적으로 개선 내역 되는단계 1. 바이러스정보 에대해별도의관 리가되지않고자 동검사가 이루어 별도증빙자료 소프트웨어결함및악성코드로부터의보호 소프트웨어결함및악성코드로부터정보시스템이보호되는지를평가한다. 1. 바이러스정보에대한주기적자동검사가개인사용자용 PC까지자동업데이트되는가? 지지않거나, 일부시스템에대해서만자동업데이트되는단계 2. 바이러스자동검사실행에대한계획이부분적으로문서화되어있는단계 3. 바이러스정보에대한주기적자 없음정보시스템보호계획및절차정보시스템보호 동업데이트가지 수행내역 침등으로정해져,

412 2. 악성코드유입방 이를통해 end-pc 단까지주기적으로자동업데이트가전사적으로시행되고있는단계 4. 일정기간동안바이러스정보에대한자동검사및업데이트가절차에맞게적절히수행되었는지기록이확인되고검토되는단계 5. 절차에따른수행여부의분석을통해문제점을개선하기위한방안이주기적으로반영되는단계 1. 악성코드유입예방정책과 S/W 최근 3년간정보시스템보호수행검토내역정보시스템보호계획개선내역별도증빙자료없음

413 지정책과허가되지않는 S/W 라이센스관리등에대한규정에따라이행되는가? 사용규정이없거나계획없이이행되고있는단계 2. 악성코드유입예방정책과 S/W 사용규정수립의계획이부분적으로문서화되어있는단계 3. 악성코드유입예방과 S/W라이센스관리규정이마련되어전사적으로시행되는단계 4. 악성코드및 S/W라이센스관리규정에따라일정기간동안의관리내역이확인되고검토되는단계 악성소프트웨어통제지침악성소프트웨어통제수행내역

414 3. 시스템및네트워크성능을분석하기위한관리방안이수립되어이행되는가? 최근 3년간악성소프트웨어통제수행검토내역 5. 관리규정에따른결과가분석되고주기적으로문제점이개선되는단계 1. 시스템및네트워크성능을감시하지않거나계획없이시스템성능분석을수행하고있는단계 2. 시스템및네트워크성능분석을위한관리방안수립계획이부분적으로문서화되어있는단계 악성소프트웨어통제지침개선내역별도증빙자료없음시스템및네트워크성능분석계획및절차

415 3. 시스템및네트 워크 성능분석에 시스템및 대한지침과절차 네트워크 가수립되어전사 성능분석수행 적으로 적용하고 내역 있는단계 4. 시스템및네트 워크 성능분석을 최근 3 년간 적정하게 이루어 시스템및 지고있는지일정 네트워크 기간동안의 내용 성능분석수행 이확인되고검토 검토내역 되는단계 5. 성능분석결과 시스템및 를분석하여주기 네트워크 적으로성능분석 성능분석계획 을위한관리방안 및절차개선 이개선되는단계 내역 정보시스 1. 침입탐 1. 침입탐지보고 별도증빙자료 침입 템의이벤 지보고가 및사건처리가수 없음

416 행되지않거나계 획없이 수행되는 단계 2. 침입탐지보고 트감시와공격탐지, 탐지시스템의및비허가사차단용을식별도구하는도구와및기술수기술준을평가한다. 정기적으로검토되고의심되는사건에대해적절하게처리되고있는가? 절차및처리계획에대해부분적으로문서화되어있는단계 3. 침입탐지에대한이벤트상황별로단계별보고및처리가정해지절차에맞게전사적으로적용하고이행되는단계 침입탐지처리및보고절차침입탐지처리및보고수행내역 4. 일정기간동안의 최근 3 년간 처리내용과 보고 침입탐지처리 내용이 확인되고 및보고수행 검토되는단계 검토내역 5. 보고내역분석침입탐지처리

417 2. 침입차단및탐지도구는조직의보안정책과규칙에적합하게설치되어있는가? 후침입탐지정책설정에주기적으로반영되는단계 1. 침입차단및탐지도구의정책설정이조직의보안정책과연관성이없거나계획없이운영되는단계 2. 침입차단및탐지도구의정책설정을위한계획이부분적으로수립되어문서화되어있는단계 3. 조직의보안정책과규칙에맞게침입차단및탐지도구가설치되고전사적으로적용되고있는단계 및보고절차개선내역별도증빙자료없음침입차단및탐지정책침입차단및탐지수행내역

418 4. 침입차단및탐 지도구에대해일 정기간 정책설정 에대한사항이확 인되고 검토되는 단계최근 3 년간침 입차단및탐지수 행검토내역 5. 침입차단및탐 지도구의정책설 침입차단및 정사항이 분석되 탐지정책개선 고주기적으로개 내역 서비스거부보호 서비스거부공격유형효과제한및보호능력을평가한다. 1. 서비스거부공격에대해공격정도에따른대응방안이수립되어있는가? 선되는단계 1. 서비스거부공격에대한대응방안이수립되어있지않거나계획없이대응하고있는단계 2. 서비스거부공격에대한대응계 별도증빙자료없음서비스거부공격대응절차

419 획이부분적으로문서화되어있는단계 3. 서비스거부공격에대한대응방안이전사적으로수립되어이행되는단계 4. 일정기간동안서비스거부공격에대한대응이대응방안에따라이행됨이확인되고검토되는단계 5. 서비스거부공격에대한대응결과를분석하여주기적으로서비스거부공격에대한대응책이개선되는단계 서비스거부공격대응수행내역최근 3년간서비스거부공격대응수행검토내역서비스거부공격대응절차개선내역

420 1. 공중망및사설 망통신경로에대 한신뢰성이평가 별도증빙자료 되지않거나계획 없음 없이통신이이루 어지는단계 사용자와 시스템보보안안기능성통신간신뢰통경로신경로를평가한다. 1. 공중망및사설망통신경로에대한신뢰성을평가하고있는가? 2. 공중망및사설망의신뢰성평가계획이부분적으로문서화되어있는단계 3. 공중망및사설망통신경로에대한신뢰성이전사적으로평가되고 통신경로신뢰성평가계획및절차통신경로신뢰성평가수행내역 있는단계 4. 통신망에대한 최근 3 년간통신 신뢰성평가내역 경로신뢰성 이지속적으로이 평가수행검토 루어지고 있는지 내역

421 확인되고 검토되 는단계 5. 통신망의신뢰 성평가내역이분 석되어, 문제점이 통신경로신뢰성 개선될수있도록 평가계획및 통신망 보호기술 절차개선내역 이주기적으로개 선되는단계 암호키구축및관리 자동메커니즘을도입하여암호키확립및키관리를위한과정을지원하는지를평가한다. 1. 암호키산출, 분배, 저장, 사용, 파기와파일보관등을포함한암호관리가이루어지고있는가? 1. 암호키관리를하지않거나, 정해진지침이나절차없이임의적으로적용 ( 산출, 분배, 저장, 파기 ) 하고있는단계 2. 암호키관리를위한계획이부분적으로문서화되어있는단계 별도증빙자료없음암호키관리지침, 암호정책

422 2. 암호키를복구하기위한복구절차가 3. 키관리계획에따라키생성분배, 저장, 사용에대한절차가있고전사적으로이행되는단계 4. 일정기간동안의키관리내역이확인되고검토되는단계 5. 키관리절차에따라암호키관리가이행되는것이분석되고, 주기적으로갱신되는단계 1. 암호키복구방안이수립되어있지않거나계획없이암호키복구를 암호키관리수행내역최근 3년동안암호키관리수행검토내역암호키관리지침개선내역별도증빙자료없음

423 수립되고복구내역이확인되는가? 수행하고있는단계 2. 암호키정책에따라복구방안 ( 방법, 기간, 암호화알고리즘 ) 계획이문서화되어있는단계 3. 암호키복구방안이마련되고, 이에따라암호키가복구되는단계 4. 암호키복구방안에따라지속적으로이행되고일정기간동안의복구내역이확인되고검토되는단계 5. 암호키복구결과로문제점을분 암호키관리지침암호키복구수행내역최근 3년간암호키복구수행검토내역암호키복구절차개선내역

424 석하여, 주기적으 로개선되는단계 1. 인터넷전화사 인터넷전화에대한 1. 인터넷전화에대한사용금 용이지침에따라수행되지않거나계획없이수행하고있는단계 별도증빙자료없음 사용제한 지혹은사 인터 및실행지 용제한및 넷전화 침이확립되어있는지를평가한다. 실행지침이수립되어있고이에따라이행되는가? 2. 인터넷전화사용을위한계획이부분적으로문서화되어있는단계 3. 인터넷전화사 인터넷전화지침및계획 용에대한실행지침이확립되어전사적으로이행되 인터넷전화지침수행내역 는단계

425 4. 일정기간동안인터넷전화사용이실행지침에따라지속적으로이행되고있는지확인되고검토되는단계 5. 인터넷전화사용이실행지침에따라이행됨을분석, 개선방향을주기적으로반영하는단계 최근 3년간인터넷전화지침수행검토내역인터넷전화지침및계획개선내역

426 [ 부록 2] 용어정의 1. 가용성 (Availability) 정당한사용자가정보시스템의데이터또는자원을필요로할때부당 한지체없이원하는객체또는자원을접근및사용할수있는성질 2. 감사 (Audit) 정보시스템이수립된사용정책및보안정책에준하여안전하게운용되고있는지확인하기위하여정보시스템내에기록 저장되어있는각종사용자행위에대한상세내용을조사 분석하는방법 3. 감시기록 (Logging) 정보시스템사용자의행위에대한증거가되는데이터를시간순으로 기록 저장하는방법 4. 감사추적 (Audit trail) 정보시스템내에저장된감사기록데이터를이용하여사용자의비인가된행위, 사용자행위의처리과정, 정보시스템활용현황등에대한정보를조사하는방법 5. 네트워크계층침입차단시스템 (Network-Level firewall system) 통신이네트워크프로토콜패킷레벨에서검사하여접근의허가및제 어를하는침입차단시스템 6. 데이터무결성 (Data integrity) 데이터를인가되지않은방법으로변경할수없도록보호하는성질 7. 데이터베이스보안 (Database security) 데이터베이스및데이터베이스내에저장된데이터를비인가된변경,

427 파괴, 노출및비일관성을발생시키는사건으로부터보호하는방법 8. 데이터보안 (Data security) 하드웨어나소프트웨어의잘못으로인한자료의손실을방지하고, 나아가천재지변이나도난또는고의적인자료의유출로부터자료를보호하는것 9. 도청 (Eavesdropping) 정보의불법적인가로채기로정보의변경을포함하지않는정보의수 신만을의미 10. 메시지인증 (Message authentication) 네트워크상에서송신한메시지와수신된메시지의동일성을확인하기 위한검사방법 11. 무결성 (Integrity) 정보및자원을불법적인변경으로부터보호하는성질 12. 물리적보안 (Physical security) 정보시스템자산을절도, 파괴, 화재등과같은각종의물리적인위협 으로부터보호하는방법 13. 부인방지 (Non-Repudiation) 메시지의송수신자가송수신사실을부인하지못하도록하는방법 14. 비상계획 (Contigency plan) 시스템이비상사태에처했을때대처하기위한계획으로백업, 비상사태에서운영이유지되도록하는중요한기능의준비, 복구등이포함됨

428 홍수나지진같은자연재해또는전산시스템장애등의재난으로부터 조직의주요업무기능에대한일의연속성을보장하고또그피해를최 소화하기위한사전계획및준비를말함 15. 서비스거부 (Denial of Service) 정보시스템의데이터나자원을정당한사용자가적절한대기시간내에사용하는것을방해하는행위. 주로시스템에과도한부하를일으켜정보시스템의사용을방해하는공격의방식 16. 서비스거부공격 (Denial of service attack) 시스템의정상적인동작을방해하는공격수법으로서대량의데이터 패킷을네트워크로보낸다던가전자우편으로보내는식의공격 17. 스마트카드 (Smart card) 종래의기억기능을가진자기카드에마이크로프로세서, 메모리를내 장하여자체연산기능을추가하고저장기능을강화시킨카드 18. 식별 (Identification) 시스템에게주체의식별자를알리는작업으로대부분이름을입력함 19. 암호알고리즘 (Cryptographic algorithm) 하나이상의비밀매개변수를사용하여데이터의정보내용을해독할수없도록변환하거나, 그렇게변환된내용을다시원문으로환원시키기위해데이터를변형시키는알고리즘 20. 암호화 (Encryption) 비밀성을보장하기위하여암호알고리즘에의하여평문을암호문으로 바꾸는과정

429 21. 스니핑 (Sniffing) 네트워크상에전송되는패키정보를읽어보는것 22. 위험 (Risk) 예상되는위협에의하여자산에발생할가능성이있는손실의기대치. 이러한위험은자산의가치및취약성과위협요소의능력, 보호대책의효과등에의해영향을받음 23. 위험관리 (Risk management) 정보시스템자산에피해를끼칠수있는위협의영향을확인, 통제, 제거, 최소화하는전체과정. 위험관리는위험분석, 위험의처리에대한결정, 보호대책의선정및구현, 잔여위험분석등을포함하는순환적과정으로이루어짐 24. 위험분석 (Risk analysis) 보안위험을확인하고위험들의중요도를결정하며보호수단을요하는 부분을확인하는과정. 위험분석은위험관리의일부분 25. 위험지표 (Risk index) 시스템사용자의최소신원인가또는승인권과시스템에서처리되는 데이터의최대민감성사이의불균형성 26. 위험평가 (Risk assessment) 위험평가는적절하고정당한보안대책을선정하고식별하기위하여 시스템및그자산이노출된위험을평가하고식별 27. 위협 (Threat) 자산에손실을발생시키는원인이나행위. 보안에해를끼치는행동이 나사건

430 28. 인가된사용자 (Authorized user) 보안정책에기술된어떤일을하기위해특정한권리나허가권을가진 사용자 29. 인적보안 (Personnel security) 민감한정보에접근하는모든개개인은적당한신원인가같은요구된 권한을가지는가에대한보증을만드는과정 30. 인증 (Authentication) 임의정보에접근할수있는주체의능력이나주체의자격을검증하는데사용되는수단이다. 이는시스템의부당한사용이나정보의부당한전송등을방어할수있음. 전송, 메시지, 혹은발신자를증명하기위한보안대책혹은특정범주를가진정보를수신할자격이있는지를검증하는수단 31. 접근권한 (Access right) 정보시스템의자원에대해권한을가진사용자나프로그램, 프로세스, 시스템또는다른정보시스템등의제한적인접근처리. 다른주체와통신하거나컴퓨터시스템이나네트워크상에서의기능이나서비스를이용하는주체의권한과성능의제한. 객체에대한주체의접근을통제하는제약 32. 접근통제 (Access control) 사용자, 프로그램, 프로세스, 시스템등의인가된주체만이정보시스템 의자원에접근할수있도록제한하는것 33. 정보보호 (Information security) 정보의수집 가공 저장 검색 송신 수신중에정보의훼손 변 조 유출등을방지하기위한관리적 기술적수단또는그러한수단으

431 로이루어지는행위 34. 책임추적성 (Accountability) 시스템내의각개인은유일하게식별되어야한다는정보보호원칙으로이원칙에의해서정보처리시스템은정보보호규칙을위반한개인을추적할수있고, 각개인은그의행위에대해서책임을짐 35. 취약성 (Vulnerability) 위협에의하여손실이발생하게되는자산의약점. 기능명세, 설계또는구현단계의오류나시동, 설치또는운용상의문제점으로인하여정보시스템이지니게되는보안취약점 36. 취약성분석 (Vulnerability analysis) 정보시스템내의보안을손상시키는취약성이존재하는지의여부를확 인하는것 37. 취약성평가 (Vulnerability assessment) 평가목표의효율성에대한평가관점, 즉평가목표안에있는알려진취약성들이보안목표에명세된대로평가목표의보안과실제타협하여해결할수있는평가 38. 침입차단시스템 (Firewall system) 내부망과외부망사이의상호접속이나데이터전송을안전하게통제하 기위한보안기능을제공하는정보시스템 39. 침입탐지 (Intrusion detection) 정보시스템의보안을위협하는침입행위가발생할경우이를탐지하는 기능

432 40. 프라이버시 (Privacy) 관련된개인이나조직을피해로부터보호하기위하여개인이나조직에대한정보를저장, 수집, 유포하는과정및그러한정보와정보가저장된시스템에대하여적절한보안을요구할권리. EH는보안을유지해야한다는정보보호원칙 41. 구성관리 (Configuration management) 시스템의운영과개발과정에서발생하는하드웨어, 소프트웨어, 펌웨어, 문서, 테스트계획, 테스트결과등에대한모든변경사항을감사, 제어확인하는과정. 정보시스템의개발, 생산및유지보수동안에생산되는형상항목의변화를통제및관리하기위한방법

433 참고문헌 [1] FISMA FRAMEWORK, September [2] NIST SP800-53(Recommended Security Controls for Federal Information System) [3] NIST SP800-53A(Guide for Assessing the Security Controls in Federal Information Systems) [4] NIST SP800-80(Guide for Developing Performance Metrics for Information Security) [5] 정보보호관리기준해설서, 한국정보보호진흥원, [6] 주요정보통신기반시설의정보보호수준평가방법론개발, [7] 정보보호안전진단기준해설서, 한국정보보호진흥원, [8] 정보보호안전진단방법 절차 수수료에관한해설서, [9] 국가사이버안전메뉴얼, 국가정보안전센터, 2005 [10] [11] [12]

434 분류안내서 해설서해당팀명발간년월대상수준 인터넷진흥 인터넷이용활성화 정보보호시스템관리 DNS 설정안내서 시스템관리팀 09. IT시스템관리자 중급 인터넷주소분쟁해결안내서 도메인팀 연간지 일반 초급 모바일 RFID코드및 OID기반 RFID코드적용안내서 무선인터넷팀 '09.8 IT기업개발자 중급 13.56MHz 대역의 OID적용을위한미들웨어개발안내서 무선인터넷팀 IT기업개발자 중급 공공기관 IPv6 적용안내서 IP팀 IT시스템관리자 중급 본인확인제안내서인터넷윤리팀 09.2 일반, 업무관계자중급 본인확인제만화안내서인터넷윤리팀 09. 일반초급 BcN 정보보호안내서 인터넷서비스보호팀 / IT시스템관리자 중급 침해사고분석절차안내서 해킹대응팀 10.1 IT시스템관리자 고급 웹서버구축보안점검안내서 웹어플리케이션보안안내서홈페이지개발보안안내서무선랜보안안내서 웹보안지원팀해킹대응팀 IT시스템관리자일반 고급중급 침해사고대응팀 (CERT) 구축 / 운영안내서 침해사고대응기획팀 07.9 업무관계자 중급 WebKnight를활용한 IIS 웹서버보안강화안내서 WebKnight 로그분석안내서 ModSecurity를활용한아파치웹서버보안강화안내서보안서버구축안내서 웹보안지원팀개인정보보호기술팀 IT시스템관리자 IT시스템관리자 중급중급 정보보호인증 IT 보안성평가 인증안내서공공서비스보호팀 일반 업무관계자 정보보호안전진단해설서기업정보보호 신규서비스정보보호 한국인터넷진흥원 (KISA) 안내서 해설서 시리즈 기업보안관리팀 '08.4/ '10.1 업무관계자 정보보호안전진단업무안내서 기업보안관리팀 '10.1 업무관계자 초급 정보보호관리체계안내서 기업보안관리팀 일반 초급 패스워드선택및이용안내서융합보호 R&D 팀 '10.1 일반초급 암호이용안내서 융합보호R&D팀 '07./ '10.1 일반 중급 IPv6운영보안안내서 융합보호R&D팀 IT시스템관리자 중급 IPv6보안기술안내서 융합보호R&D팀 05. 일반 초급 와이브로보안기술안내서 융합보호 R&D팀 '06.8 IT시스템관리자 중급 암호알고리즘및키길이이용안내서 융합보호 R&D팀 07 IT시스템관리자 중급 ( 기업및기관의 IT 정보자산보호를위한 ) 암호정책수립기준안내서 융합보호 R&D팀 07 IT기업개발자 중급 ( 정보의안전한저장과관리를위한 ) 보조기억매체이용안내서 융합보호 R&D팀 09 일반 초급 웹사이트회원탈퇴기능구현안내서 융합보호 R&D팀 06 IT시스템관리자 중급 개인정보의기술적 관리적보호조치기준해설서 개인정보보호기획팀 09.9 업무관계자 중급 위치정보의보호및이용등에관한법률해설서 개인정보보호기획팀 업무관계자 중급 위치정보보호를위한관리적 기술적보호조치권고해설서 개인정보보호기획팀 08./ 10.1 개인정보웹사이트개발 운영을위한개인정보안내서개인정보보호기술팀 업무관계자 IT 기업개발자, 관리자 I-PIN 2.0 도입안내서 개인정보보호기술팀 09.7 업무관계자 중급 김대리, 개인정보보호달인되기 이용자권익보호팀 09.8 업무관계자 중급 기업의개인정보영향평가수행을위한안내서 이용자권익보호팀 09.1 업무관계자 중급 일반, 스팸사업자를위한불법스팸방지안내서스팸대응팀 08.9 초급업무관계자인력양성지식정보보안신규일자리창출사업세부시행안내서 KISA아카데미팀 09. 업무관계자초급 본안내서 해설서는한국인터넷홈페이지 ( 자료실에서내려받으실수있습니다. 초급 초급 중급 중급

435 정보보호수준평가방법론안내서 2010 년 3 월인쇄 2010 년 3 월발행 발행처 : 한국인터넷진흥원 서울특별시송파구가락동 79-3 번지대동빌딩한국인터넷진흥원 Tel: (02) 인쇄처 : 한올 Tel: (02) < 비매품 > 본안내서내용의무단전재를금하며, 가공 인용할때에는반드시한국인터넷진흥원 정보보호수준평가방법론안내서 라고출처를밝혀야합니다.

436