01 수준평가 안내서(겉표지 앞)

Transcription

1 KISA 안내 해설제 호 정보보호수준평가방법론안내서 한국인터넷진흥원

2 KISA 안내 해설제 호 정보보호수준평가방법론안내서

3 제 개정이력 순번 제 개정일 변경내용 발간팀 연락처 제정 인터넷서비스보호팀 개정 인터넷서비스보호팀

4

5 목 차 제 1 장서론 1 제 1 절해설서의목적및구성 1 1. 해설서의목적 1 2. 해설서구성 2 제 2 절정보보호수준평가방법론에대한설명 3 1. 정보보호수준평가의평가단계 5 2. 정보보호수준평가결과산출방법 6 3. 국외정보보호수준평가관련사례 9 제 3 절정보보호수준평가해설서설명 정보보호수준평가해설서의평가분야설명 정보보호수준평가해설서의통제항목템플릿 정보보호수준평가해설서의세부통제항목템플릿 26 제 4 절정보보호수준평가시권고사항 평가자의자격요건 권고사항 29 제 2 장정보보호수준평가방법론해설서 30 제 3 장결론 266 [ 부록 1] 평가프레임워크 268 [ 부록 2] 용어정의 420 [ 참고문헌 ]

6 그림목차 ( 그림 1) 정보보호수준평가결과예시 7 ( 그림 2) 정보보호수준평가통제항목템플릿 24 ( 그림 3) 정보보호수준평가세부통제항목템플릿 26 표목차 [ 표 1] 정보보호수준평가통제분야및통제항목 3 [ 표 2] 정보보호수준평가착안사항 ( 성숙도단계 ) 5 [ 표 3] FIPS 200(NIST SP800-53) 의통제분야, 통제계열, 통제항목수 10 [ 표 4] 연방정부컴퓨터보안보고서 (2005~2006)

7 제 1 장서론 제 1 절해설서의목적및구성 1. 해설서의목적 정보화사회 선진화의역기능으로악성댓글, 스팸메일, 개인정보유출, 피싱이나파밍에따른침해사고와불건전정보유통, 사생활침해등부작용이심각한사회문제로대두되고있으며, 네트워크의확대보급에따라정보교환및공유로정보에대한불법접근등이문제가되고있다. 한편통신네트워크가국제적인글로벌체제로구축됨에따라국외로부터의침입및사이버공격에대한법적대응에한계를보이고있다. 또한주요기반시설이정보통신망에의존되어관리 통제되는환경에서는국가적안보차원에서의위협이되고있다. 이와같은위협으로부터주요정보통신기반시설에대한보호대책이매년수립되어운영되고있다. 그일환으로매년수립되는 주요정보통신기반시설보호대책 에서정보보호수준측정을 2006년부터시범적용하고있다. 여기에서사용되는정보보호수준평가방법론은 2005년한국정보보호진흥원에서개발되었다. 그동안시범적용에서나타난문제점으로는평가가기반시설자체적으로수행됨에따라평가항목에대한평가자의이해부족, 객관성부족등으로평가결과에대한신뢰성에의문이제기되었다. 따라서평가항목에대한평가자의이해를돕기위해해설서가필요하게되었다

8 이와관련하여본연구에서는주요정보통신기반시설에대한정보보호수준을평가하기위한평가방법론개발에따라좀더객관적인수준을측정하기위해전문가그룹과의협조를통해각평가항목별사례조사분석및타당성검토를위한정보보호수준평가방법론해설서를개발하였다. 2. 해설서구성 정보보호수준평가방법론에대한해설서의구성은다음과같다. 정보보호수준평가방법론해설서에대한목적및구성, 정보보호수준평가단계의정의, 결과산출방법, 해설서프레임워크구성형태및정보보호수준평가시권고사항으로구성되어있다. 2장에서는본연구의목표인정보보호수준평가방법론해설서를작성하고결론을맺는다

9 제 2 절정보보호수준평가방법론에대한설명 정보보호수준평가방법론은 12개통제분야, 54개통제항목, 89개세부통제항목으로구성되어있다. 다음 [ 표 1] 은정보보호수준평가방법론의평가통제분야및통제항목과통제항목에따른세부통제항목수를나타냈다. 세부통제 No 통제분야통제항목항목수 1 정보보호정책정보보호조직 1 정보보호계획 1 2 위험평가 3 구성관리 4 유지보수 [ 표 1] 정보보호수준평가통제분야및통제항목 자산분류 2 자원할당 3 보안요구사항검토 1 위험평가 4 취약성진단 1 구성변경통제 3 구성보안설정 2 유지보수도구 1 원격유지보수 1 매체출력물표시 1 매체접근관리 1 5 매체보호 매체운반방법 1 문서관리 3 매체및기록파기 1 6 보안인식과교육보안인식과교육및훈련 2 비상교육 1 7 비상계획 / 업무비상계획모의훈련및갱신 1 연속성계획통신서비스이중화 1 정보시스템백업과복구 3 8 물리적 / 환경적물리적접근통제 3-3 -

10 보호 9 인적보안 디스플레이매체접근통제 1 물리적접근모니터링 1 전력장비및전력선보호 2 비상전력 1 비상조명 1 환경통제 1 신원조사 1 인사관리 1 내부인력관리 1 제3자보안 1 사고대응모의훈련 1 10 사고대응 사고모니터링 1 보안사고보고 2 감사대상이벤트생성기능 2 11 감사및책임추감사정보관리 1 감사모니터링, 분석및보고 1 적성감사기록시간표시기능 1 부인방지 1 계정관리 1 패스워드관리 3 설정관리 1 접근통제 6 접근시도실패관리기능 1 시스템이용주의사항공지기능 2 이전로그인정보알림기능 1 12 시스템접근통제세션통제기능 2 시스템과응용프로그램의분리 2 및통신보호공유시스템자원보안관리 1 소프트웨어결함및악성코드로부터의보호 3 침입탐지및차단도구와기술 2 서비스거부보호 1 보안통신경로 1 암호키구축및관리 2 인터넷전화 1-4 -

11 1. 정보보호수준평가의평가단계 정보보호수준평가단계는정보보호수준의성숙도를측정하기위한단계로써 5단계로구성되어있다. 주요정보통신기반시설의정보보호수준을 5단계보안성숙도를기준으로분류하여평가한다. 정보보호수준평가 5 단계착안사항 ( 성숙도 ) 은다음 [ 표 2] 와같이정의 한다. [ 표 2] 정보보호수준평가착안사항 ( 성숙도단계 ) 단계 1단계 2단계 3단계 4단계 5단계 정의세부통제항목이수행되지않거나또는특별한계획없이수행되고있는단계부분적으로세부통제항목이시행계획 ( 구체적절차및일정, 예산등 ) 이수립되어문서화되어있는단계문서화된계획에따라전사적으로세부통제항목을시행하거나시행완료된단계세부통제항목에대한성과측정이수행되고일정기간동안지속적으로시행되고검토되고있는단계세부통제항목시행성과측정결과가검토되고결과에따라주기적으로개선을수행하는단계 - 5 -

12 2. 정보보호수준평가결과산출방법 1) 정보보호수준평가결과산출방법 국내정보보호수준평가결과를산출하는방법은 2가지가있다. 첫번째는정보보호수준평가성숙도결과를산출하는방법으로 54개통제항목에대한세부통제항목의평가값에대한합을구한다. 평가합 통제항목중최저세부평가단계 이때, 통제항목중최저세부평가단계는정보보호성숙도단계중 최저단계를기준으로채택하여산출하게된다. 세부통제항목평가값의 합을세부평가항목수로나눈 AL(Assessment Level) 이평가된기관의 정보보호수준이된다. 평가등급 평가합 통제분야수 두번째는정보보호수준평가백분율평가산출방법으로우선 54개의통제분야중각해당통제분야들의세부통제항목평가값의합을구한다. 통제항목별세부통제항목평가합 세부통제항목평가값 통제분야별적용항목수 각통제분야별세부통제항목평가합의평균값을구하고각통제분야별 값을백분율로나타낸다. 해당통제분야별적용항목수의합 - 6 -

13 각통제분야별백분율값 (LP) 의합을통제분야의값으로나는값이평가기관의정보보호수준평가백분율값이된다. 통제분야수 정보보호수준평가결과예시를살펴보면다음 ( 그림 1) 과같다. ( 그림 1) 정보보호수준평가결과예시 1 세부평가점수 선택항목 : 각통제분야별세부통제항목을적용하는항목에대해서만평가를한다. 결과 : 각통제분야별세부통제항목 5단계성숙도평가한값들의합을말한다. 총점 : 각통제분야별세부통제항목을모두적용한경우에해당하는총점수를값이다. 백분율 : 각통제분야별세부통제항목성숙도평가에대한값을백분율로계산한값이다

14 2 단계 ( 성숙도 ) 평가 각통제항목에대한세부통제항목들이평가된 5단계성숙도값들로측정되고그값들중에서최소단계인값이통제항목의평가값이된다. 각통제항목별로평가된값은통제분야의개수로나누어평균값으로계산하면단계별평가점수가측정된다. 2) 정보보호수준평가결과분석 정보보호수준평가결과는성숙도평가와백분율평가 2가지로나타난다. 성숙도평가는세부평가항목의최저수준들의평균값을구하는방법이고백분율은세부평가항목의값을산술평균을구하여백분율로나타낸값이다. 성숙도평가값과백분율값을비교했을때차이가나는경우는통제분야별통제항목들의세부평가항목에서성숙도평가의점수분포의최소점수와최대점수의격차가많다는것을알수있다. 또한평가기관의정보보호수준의통제항목별차이가있다는것을말한다

15 3. 국외정보보호수준평가관련사례 미국의정보보호수준평가사례를살펴보면 2002년제정된전자정부법 e-government Act) 중 3편에 FISMA(Federal Information Security Mangement Act) 을통하여연방정부기간들의정보및정보시스템을보호하기위한법을볼수있다. FISMA를바탕으로매년연방정부기관들의정보보안관리실태를평가하고있다. 연방정부기관의최고정보화담당과감사관은매년기관의정보보안프로그램을점검하여관리예산처에보고하고관리예산처에서는각기관들의보고서를평가하여매년의회에제출한다. 평가결과는정부감독조사위원회에서 FIPS 200(Federal Information Processing Standard) 을이용하여검토한다. FIPS 200은 NIST의 SP800-53A의지침의내용을전체적으로반영하여구성되었다. 매년상임위원회의검토결과연방정부컴퓨터보안보고서 (Federal Computer Security Report Card) 로발간된다. 이법은연방정부기간의운영및자산에대한정보보안통제항목의효율성을강화하기위한총괄적인프레임워크를제공하고정보의보안위협에대한효율적인관리및통제방안제공한다. 연방정보및정보시스템보호를위한최소한의통제및유지할수있는방안을개발하고연방정부기관의정보보안프로그램관리강화메커니즘제공한다. NIST의지침을통해정보와정보시스템의유형을권고하고관리, 운영기술적통제와같은최소의정보보안요구조건을수립하고있다. 다음 [ 표 3] 은 FISMA 의통제등급에따른계열과통제항목수를나타낸 표이다

16 [ 표 3] FIPS 200(NIST SP ) 의통제분야, 통제계열, 통제항목수 등급 관리 운영 기술 계열 통제항목수 위험평가 (Risk Assessment) 5 계획 (Planning) 5 시스템및서비스획득 (System and Services Acquisition) 11 보증, 인증, 보안평가 (Certification, Accreditation, and Security Assessments) 7 직원보안 (Personnel Security) 8 물리적및환경적보호 (Physical and Environmental Protection) 17 비상계획 (Contingency Planning) 10 구성관리 (Configuration Management) 7 유지보수 (Maintenance) 6 시스템및정보무결성 (System and Information Integrity) 12 매체보호 (Media Protection) 7 사고대응 (Incident Response) 7 인식및교육 (Awareness Training) 4 식별및인증 (Identification and Authentication) 7 접근통제 (Access Control) 20 감사및책임 (Audit and Accountability) 11 시스템및통신보호 (System and Communications Protection) 19 다음의 [ 표 4] 는 2005년과 2006년에미국의연방정부기관의정보보안실태평가결과를나타낸표이다. 평가는 0점 ~100점까지점수를부여하고 0점부터 60점미만까지는 F, 60점부터 64점미만까지는 D-, 64점부터 67미만까지는 D, 67점부터 70점미만까지는 D+ 와같이 A+~F까지측정된다

17 [ 표 4] 연방정부컴퓨터보안보고서 (2005~2006) FEDERAL COMPUTER SECURITY REPORT CARD AGENCY FOR INTERNATIONAL DEVELOPMENT A+ A+ HOUSING AND URBAN DEVELOPMENT A+ D+ NATIONAL SCIENCE FOUNDATION A+ A OFFICE OF PERSONNEL MANAGEMENT A+ A+ GENERAL SERVICES ADMINISTRATION A A- SOCIAL SECURITY ADMINISTRATION A A+ DEPARTMENT OF JUSTICE A- D ENVIRONMENTAL PROTECTION AGENCY A- A+ SMALL BUSINESS ADMINISTRATION B+ C+ DEPARTMENT OF HEALTH AND HUMAN SERVICES B F DEPARTMENT OF TRANSPORTATION B C- DEPARTMENT OF LABOR B- A+ DEPARTMENT OF ENERGY C- F DEPARTMENT OF HOMELAND SECURITY D F NATIONAL AERONAUTICS AND SPACE ADMINISTRATION D- B- DEPARTMENT OF AGRICULTURE F F DEPARTMENT OF COMMERCE F D+ DEPARTMENT OF DEFENSE F F DEPARTMENT OF EDUCATION F C- DEPARTMENT OF THE INTERIOR F F NUCLEAR REGULATORY COMMISSION F D- DEPARTMENT OF STATE F F DEPARTMENT OF TREASURY F D- DEPARTMENT OF VETERANS AFFAIRS - F

18 제 3 절정보보호수준평가해설서설명 1. 정보보호수준평가해설서의평가분야설명 (1) 정보보호정책및절차수립 목적정보보호정책및절차수립평가분야의목적은조직의정보보호업무를수행하기위한기본적인근거를제시하기위함으로명확하고객관적인정책및절차가수립되고문서화되어제시되어야한다. 내용정보보호정책및절차수립을위해정보보호업무를수행하기위한정보보호조직이구성되어야하며, 정보보호계획을수립하여조직의정보보호목표를수립하고구성인력의역할제시, 정보보호업무를수행할수있도록해야한다. 정보보호조직은조직의특성에적합한조직을구성하도록하며, 정보보호업무를수행하는데있어서필요한인력들로구성되어야한다. 정보보호계획은정보보호목표를달성하기위해매년수립되고시행되어구체적인결과검토를통해새로운보안위협및보안사고에대응할수있도록계획되어야한다. 이를위하여필요시각조직은정책및지침, 규정등을수립하여운영한다. 범위 - 정책의승인 / 공표 - 정보보호정책을구체적으로시행하기위한지침, 절차표준수립 - 정보보호계획및정책에대한주기적인검토 - 정보보호조직구성 ( 외부전문가활용방안검토 ) - 정보보호조직구성원의역할명시

19 (2) 위험평가 목적위험평가분야의목적은자산을식별하고자산에대한위험도를측정하여보안대책을선정하기위함이다. 정보및정보시스템등에대한자산을분류하고자산의중요도에따라자산의등급을부여하기위한계획및절차가수립되고문서화되어제시되어야한다. 내용정보및정보시스템등의위험을평가하기위해서는정보및정보시스템등의자산을식별하기위한계획및절차가수립되어그계획및절차에따라자산이분류되고분류된자산의중요도에따라서자산등급을부여한다. 정보시스템및서비스를도입할경우계획및절차에대한최소보안요구사항및취약성검토가이행되고취약성검토시취약성진단도구및기법을사용하여수행되어야한다. 위험평가및취약성진단결과에대한검토가이루어지고위험평가와관련된계획및절차개선되어져운영되어야한다. 범위 - 정보및정보시스템등의자산분류를위한계획및절차수립 - 자원에대한책임및할당, 역할등에대한규정또는관련문서 - 위험평가계획및절차 - 취약성진단도구및기법을이용한취약성진단

20 (3) 구성관리 목적구성관리분야의목적은 IT 구성요소 (S/W 릴리즈, 패치등에따라부여, H/W나기술문서에대해서는조직적으로적절한원칙에따름 ) 에대한관리가이루어져야하고변경사항이발생할경우효율적으로관리하기위한절차및규정이수립되어수행되어야한다. 내용조직의모든 IT 구성요소의변경이이루어지는경우에대한현황파악및이력관리가매우중요하다. 만약구성관리가이루어지지않아정보및정보시스템에예기치않은장애가발생하면원인과해결방안을찾는데많은어려움을겪을수있고시스템사용자에대한고품질서비스의제공을보장할수없게된다. 조직의모든 IT 구성요소에대한변경사항이발생될경우버전통제관리및승인절차가수립되어야한다. 정보및정보시스템등의변경사항에대한효과성분석이이루어진다. 조직의정보및정보시스템에대한보안설정상태가주기적으로검토되어새로운위협및상황에대한대응이개선되어야한다. 또한허용되는서비스및제한되는서비스등에대해주기적으로검토되어야한다. 범위 - 정보및정보시스템등의변경관리절차 - 구성변경관리목록및변경점검체크리스트 - 변경관리절차에따른승인지침 - 구성요소변경에대한효과성분석 - 정보및정보시스템등의보안요소설정절차및계획

21 (4) 유지보수 목적유지보수분야의목적은자연재해나불법적인접근으로인한장애, 물리적오류발생에대한유지보수가계획및절차에따라수행되어야한다. 장비는공급자가지시한서비스기간과명세에따라유지보수되고인가된장비유지직원만이장비의수리와서비스를수행해야한다. 내용주요시스템의유지보수계획및절차가문서화되어수행되며유지보수도구 ( 시스템유지보수, 기술지원등 ) 목록을작성하여주기적으로수행되고검토되어야한다. 주기적으로유지보수도구업그레이드및변경등의승인관리가수행되고결과에따라개선이이루어져야한다. 만약원격유지보수및진단활동을실시할경우에는원격작업에대한감시계획이문서화되어있고그절차에따라수행되어야한다. 원격작업이완료되면바로권한을취소하거나장비를수거해야한다. 자동감시추적기능을실시하여주요시스템에대한보안이이루어져야한다. 범위 - 정보및정보시스템에대한유지보수계획및절차 - 유지보수도구목록, 변경및관리 - 원격유지보수및진단활동 - 자동감사추적기능

22 (5) 매체보호 목적매체보호분야의목적은허가받지않은유출이나오용으로부터정보를보호하기위해매체의취급및보관에대한절차를수립하고운영해야한다. 정보를저장하는매체나정보시스템의출력물에대한접근관리및운반방법, 매체폐기지침등에대한관리가이루어져야한다. 내용정보를저장하는매체및정보시스템에대해중요도에따라분류하고분류된매체에대해내 외부에식별번호부여지침에따라매체라벨링을수행하고관리해야한다. 또한매체의중요도에따라보관장소및관리방법등을명시한매체접근통제절차가문서화되어있고운반할경우매체이동및구조변경절차에따라수행되고중요도별접근수행관리가이루어져야한다. 정보시스템및서비스에대한문서 ( 전자문서등 ) 에대한계획및관리절차가수립되어있어그절차에따라수행되며시스템도입, 변경, 복사, 관리, 보관, 폐기등에대한방법및절차가문서화되어있어야한다. 매체를폐기할경우에는폐기계획및절차에따라폐기이유, 일시, 내용등의문서를작성하고매체의중요도에딸폐기방법을결정하여폐기가이루어진다. 저장매체에중요데이터를삭제할경우저장매체에임의의데이터로저장을해서중요데이터의내역을확인할수없도록삭제되어야한다. 범위 - 정보매체및정보시스템의출력물을관리하는절차 / 지침 - 매체에대한중요도별라벨링 - 매체접근통제절차 - 매체폐기절차및폐기관련정보감사증적대상

23 (6) 보안인식과교육 목적보안인식과교육분야의목적은조직의최고경영자의보안의지를포함하여정보시스템 (H/W, S/W, 데이터관리등 ) 에대한올바른사용방법뿐만아니라보안요구사항, 법적책임, 업무통제와같은내용을인식및교육시키기위함이다. 내용정보보호정책, 정보보호인식, 보안요구사항, 법적인책임, 침해사고대응절차, 업무연속성관리, 정보시스템의정확한사용방법등이포함되어있고교육훈련은교육대상자의직위및담당하는업무의특성에따라구분하여실시하여야한다. 교육및훈련은정기적으로실시하여야하며, 정보보호정책이나절차및역할의변경이있는경우에는수시로실시되며실시된교육및훈련에대한기록을보관하여효과측정및분석이이루어지며개선되어야한다. 만약외부인력 ( 외부계약자, 아웃소싱인력등 ) 이있을경우외부인력에대한교육지침이마련되어있어교육및훈련절차및지침에따른교육이이루어져야한다. 범위 - 정보보호정책및규정에대한지침 - 교육목표, 내용등이지침 - 외부인력에대한보안인식및교육지침

24 (7) 비상계획 목적비상계획분야의목적은각종재해및비상시시재난의발생을대비하기위한핵심시스템의가용성과신뢰성을회복하고사업의연속성을유지하기위함이다. 비상계획 / 업무연속성계획은단수한데이터의복구나신뢰도를유지하며나아가기업의신뢰성유지및가치를최대화하는방법및절차로볼수있다. 내용비상시를대비하기위한비상계획 / 업무연속성계획및절차에업무의우선순위및직원의역할, 책임등의내용이문서화되어있고비상사태를대비하기위한비상교육및모의훈련이수행되어야한다. 비상시안전한통신서비스를제공하기위한이중화서비스정책을제공하여정보의가용성제공에대비하여야한다. 또한중요데이터에대한백업및복구서비스를실시하여비상시에정상시스템으로복구할수있어야한다. 환경의변화에따라주기적으로비상계획 / 업무연속성계획에대한시험및훈련을통해계획및시나리오등의개선이이루어져야한다. 범위 - 비상계획 / 업무연속성계획교육 - 비상계획 / 업무연속성계획모의훈련 - 비상시통신서비스이중화정책 - 정보시스템백업및복구

25 (8) 물리적환경적보호 목적물리적환경적보호분야의목적은업무에필요한제반시설과관련정보의비인가접근과손해를막고업무의방해물등을제거한다. 중요업무처리시설들은안전한지역에위치시키며, 이지역에대한접근경계를명확히하고, 적절한물리적장벽및출입통제시설을갖춘다. 정보보호는인지된위험에맞추어이루어져야하며책상정리및디스플레이관리정책을실시하여비인가자의접근의위험을줄여야한다. 내용중요시설에대해물리적보호구역을정하고접근통제절차에따라출입통제및출입기록을실시하여비인가자의출입을예방하고 CCTV설치등의물리적보안을강화해야한다. 일정시간동안자리를비울경우디스플레이매체에대한보호를위한화면보호기기능및잠금기능을설정해야하며직원들에게인지및교육시켜야한다. 화재및누수등의발생으로전원공급에이상시대비하기위한비상전력및조명에대한전압조절기및 UPS 등과같은장비가설치되어야하며환경통제정책및절차가수립되어있어야한다. 범위 - 정보시스템및시설에대한물리적접근통제 - 디스플레이매체에대한보호지침 - 비상전력및조명에대한보호지침 - 환경통제정책및절차

26 (9) 인적보안 목적인적보안분야의목적은조직구성원및정보시스템을취급하는제3 자에의한실수, 사기, 도난, 오용등으로부터초래되는위험을제거하거나최소화해야한다. 내용인적보안은어떠한사람을고용할것인지, 어느보직에고용할것인지등을결정하는것이므로직책이나업무분야에따른접근통제의기초가된다. 정보및정보시스템에접근하는사용자의신원을조회하고비밀유지서약서작성등의절차가수행되어야한다. 또한인사관리가이루어질경우에인사변동관리절차에따라문서화되어이행되어야한다. 인사를관리할경우에내부인력뿐만아니라제3 자의접근으로부터도보호하기위한정책및절차가수립되어야한다. 범위 - 정보및정보시스템접근신원관리 - 인사변동시의인사관리절차및지침 - 내 / 외부인력에대한보안요구사항지침

27 (10) 사고대응 목적사고대응분야의목적은침해사고에대한신속하고효율적인처리및피해복구를위하여침해사고대응범위, 구성체계, 역할및임무를정의한적절한대응체계를구축하고침해사고에신속하게대응할수있도록구축되어야하며문서화되어야한다. 내용침해사고가발생할경우를대비하여침해유형에대한정의및대응절차를마련하고주기적으로보안사고대응방법및절차에따라교육및모의훈련이실시되어야한다. 교육및모의훈련결과에대한효과성분석및재발방지를위한사항을통한개선이이루어져야한다. 정보시스템및서비스에대해침해사고발생여부를알수있도록보안사고모니터링을실시하며그내역은접근의심사례및사고조사시사용될수있다. 침해사고발생여부에대한판단기준부터보고하는방법까지의절차가문서화되어수행되고보고절차에따라수행되어야한다. 범위 - 침해사고대응방법및절차 - 침해사고대응교육및모의훈련 - 침해사고모니터링 - 침해사고보안사고보고절차

28 (11) 감사및책임추적성 목적감사및책임추적성분야의목적은누가무엇을, 어떤단말에서, 어떤시스템에서, 언제, 어떤객체를사용하였는지그리고그것이성공적인지실패인지에대한기록을통해사용자의행위를감시한다. 내용감사추적은어떤사건이발생하였고누가또는무엇이사건을발생시켰는지확정할수있는충분한정보를포함하여야한다. 일반적으로사건기록은언제사건이발생하였고그사건에연관된사용자 ID, 그사건을일으키는데사용된프로그램이나명령, 그리고결과를명기하여야한다. 날짜와시간은실제사용자에의한것인지사용자로가장한사람에의한것인지를결정하는데도움이된다. 보안모니터링은중요사건인지를돕기위해적합한메시지만을복사하여두번째로그기록을만드는것이나적절한시스템유틸리티나감사툴을이용하여파일검사를한다. 로그검토에대한책임을부여할때에는검토를하는사람과모니터링하는사람의역할분담이고려되어야한다. 공중망을통해전자거래수행시발생할수있는부인방지하는경우를대비하기위한계획및절차가수립되어있고방지를위한암호화및전자서명이수행되어야한다. 범위 - 감사추적지침및계획 - 감사로그관리계획및절차 - 감사기록관리 - 부인방지지침

29 (12) 시스템및통신보호 목적시스템및통신보호분야의목적은정보시스템의개발, 변경등전단계에서보안요구사항을반영하고데이터및프로그램의손실, 변경, 오용을방지함으로써업무의안전성을보장한다. 시스템이란기반구조, 업무어플리케이션, 사용자개발어플리케이션등이포함될수있다. 어플리케이션이나서비스를지원하는업무프로세스의구현과디자인은보안상중요하다. 보안요구사항들은정보시스템의개발에앞서확인하고동의한다. 내용정보시스템및응용프로그램에사용자계정과특수계정에대한계획및절차가수립되고패스워드관리절차에따라수행하여비인가자의접근을방지해야한다. 시스템의통신장비및정보보호제품에대한운영설정관리가수행되어야한다. 시스템의변경, 관리기록이문서화되어보관되어야하며비인가자의접근을통제하기위한물리적, 논리적, 네트워크및데이터베이스의정책및관리지침이수립되고관리되어야한다. 정보시스템을사용하는사용자에게해킹, 비밀번호유출등과같은위협에대해알림기능을제공하고무차별공격에대응및방지를위한대책을마련해야한다. 범위 - 사용자권한에따른계정및패스워드관리 - 정보시스템설정및운영관리 - 정보시스템의물리적, 논리적접근통제 - 침입으로부터의보호지침

30 2. 정보보호수준평가해설서의통제항목템플릿 다음 ( 그림 2) 는정보보호수준평가해설서의통제항목템플릿이고통 제항목은총 54 개로구성되어있다. ( 그림 2) 정보보호수준평가통제항목템플릿 1. 통제분야명기술 1. 통제항목명기술 목적 - 해당통제항목에서수행하고자하는목적기술 세부통제항목 - 해당통제항목에포함된세부통제항목목록 평가시주안점 - 평가자가해당통제항목에대한평가시중점을두어평가해야하는사항을제시 검토자료예시 - 검토자료에대한설명 ( 유사한증빙자료도인정 )

31 정보보호수준평가해설서의통제분야명은 12개분야에대한통제분야명을기술하고통제항목명은 54개해당통제항목명을기술한다. 통제항목별로목적, 해당세부통제항목, 평가시주안점과검토자료에대해기술한다. 89개세부통제항목에서해당통제항목에포함된목록을작성하였다. (1) 목적정보보호수준평가의 54개통제항목중해당하는통제항목들에대해평가하는목적을담고있다. 통제항목의세부항목들을공통적으로적용할수있는표준사항들을제시하고있다. (2) 평가시주안점수준평가를담당하는자에대한평가의이해를돕기위함으로매년수준평가를수행하는담당자의업무변경으로인해주관적일수있다. 점수의오차범위를줄이기위해평가자가중점으로두어야하는기준들을작성하였다. (3) 검토자료예시통제항목에대한세부통제항목들을평가할때검토자료예시목록을통해평가자의이해를돕고있다. 각조직에서사용되어지는검토자료목록이상이하므로유사한자료로대체하여검토할수있다

32 3. 정보보호수준평가해설서의세부통제항목템플릿 다음 ( 그림 3) 은정보보호수준평가해설서의세부통제항목템플릿으로 세부통제항목 89 개에대한해설서를담고있다. ( 그림 3) 정보보호수준평가세부통제항목템플릿 1.1 통제항목명기술 세부평가항목 - 세부평가항목질문기술 개요 - 세부평가항목에서평가하고자하는주요목적을설명함 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 착안사항설명 세부통제항목이수행되지않거나또는특별한계획없이수행되고있는단계 - 착안사항 1 단계에대한기술 - 1 단계에해당하는증빙자료 부분적으로세부통제항목이시행계획 ( 구체적절차및일정, 예산등 ) 이수립되어문서화되어있는단계 - 착안사항 2 단계에대한기술 - 2 단계에해당하는증빙자료 문서화된계획에따라전사적으로세부항목을시행하거나시행완료된단계 - 착안사항 3 단계에대한기술 - 3 단계에해당하는증빙자료 세부통제항목에대한성과측정이수행되고일정기간동안지속적으로시행되고검토되고있는단계 - 착안사항 4 단계에대한기술 - 4 단계에해당하는증빙자료 세부통제항목시행성과측정결과가검토되고결과에따라주기적으로개선을수행하는단계 - 착안사항 5 단계에대한기술 - 5 단계에해당하는증빙자료

33 정보보호수준평가해설서의세부통제항목템플릿은세부평가항목, 개 요, 각단계별착안사항과부가설명, 증빙자료예시로구성되어있다. (1) 세부평가항목정보보호수준평가의세부평가항목은 89개의질문으로이루어져있으며세부평가항목란에는통제항목에따른세부평가항목질문이기술되어있다. (2) 개요 세부통제항목의질문에대한이해를돕기위해설명을담고있으며세 부통제항목의수준을높이기위한사항이명시되어있다. (3) 1단계착안사항, 부가설명, 증빙자료평가단계는총 5단계로구성되어있으며 1단계에서는해당항목이수행되지않았거나특별한계획없이수행되고있는경우를말한다. 부가설명을통해 1단계에해당하는설명및사례등을바탕으로해당항목에대한설명을하고있다. (4) 2단계착안사항, 부가설명, 증빙자료 2단계는세부통제항목에대한시행계획 ( 구체적인절차, 일정, 예산등 ) 이수립되어문서화되어있는경우를말한다. 해당항목에대한계획및절차의마련을위해시행계획을수립하고문서가마련되어있거나시행계획에따라항목이부분적으로수행되는경우도 2단계에포함된다. 부가설명부분에서는해당항목이 2단계에해당할경우에대한설명및사례등을설명하고있다. (5) 3 단계착안사항, 부가설명, 증빙자료 3 단계는문서화된계획에따라전사적으로세부항목을시행하거나시 행완료된단계를말한다. 2 단계의내용을포함하고그내용에따라전

34 사적으로수행되고있는경우를말한다. 증빙자료예시부분은 2 단계의증빙자료를포함하고자료를통해수행내 역이확인될수있는자료가예시되어있다. (6) 4단계착안사항, 부가설명, 증빙자료 4단계의착안사항은세부통제항목에대한성과측정이수행되고일정기간동안지속적으로시행되고검토되고있는단계이다. 3단계까지수행된내역이일정기간 ( 최근 3년 ) 동안수행되고그내역이검토되고있는경우를말한다. 증빙자료예시는 3단계까지의증빙자료와해당항목이수행된내역에따라검토되고있는지를확인할수있는자료이다. (7) 5단계착안사항, 부가설명, 증빙자료 5단계의착안사항은세부통제항목시행성과측정결과검토되고결과에따라주기적으로개선을수행하는단계를말한다. 4단계까지검토된내역에따라주기적으로시행계획및계획에따른절차나정책의변경등의개선이이루어진다. 증빙자료예시는 4단계까지검토된내역과절차나정책이개선이확인되는내역을말한다

35 제 4 절정보보호수준평가시권고사항 1. 평가자의자격요건 주요정보통신기반시설의정보보호수준을평가할경우평가자의자격요 건을고려해야한다. 본평가를실시하는평가자의객관성과실무경력에 따라통제분야및통제항목에대한이해도가달라진다. 평가자의자격요건은다음과같다. - 학력은대졸또는동등학력이상 - 실무경력이 5년이상 - 해당분야실무경력 2년이상 - 해당분야의자격증 1개이상보유 - 정보보호수준평가방법론교육수료 2. 권고사항 정보보호수준평가를실시하는평가자가변경되는경우를대비한대책이마련되어있어야한다. 만약대책이없을경우에는평가자에따라평가기준이변동되어정보보호수준평가결과가달라진다. 이에따라평가자가변경이일어날경우평가에대한신뢰성을위한평가된기준및평가한이유에대한문서화등의대책이마련되어있어야한다

36 제 2 장정보보호수준평가방법론해설서 1. 정보보호정책 1.1 정보보호조직 목적 조직의보안목표를달성하기위해정보보호활동을계획, 관리하기위한정보보호조직이구성되어있는지를평가한다. 세부통제항목 정보보호조직구성에대한사항이정보보호정책에명시되어있는가? 정보보호조직은적합한정보보호정책을계획, 승인, 감독할수있는조직체계를갖추고있는가? 평가시주안점 정보보호조직내구성원들은정보보호에관한지식과경험이있는특정인으로구성되어있는가? 내부전문가가없을경우외부전문가를활용하고있는가? 정보보호관리활동을수행하고검증하는인력들에대한책임, 역할및상호관계를명확히규정하여모든직원이이를숙지하고있는가? 검토자료예시 정보보호조직도 정보보호관리자인사명령서 정보보호관리자직무기술서 정보보호조직 ( 위원회 ) 운영규정및회의록 정보보호사업계획서 정보보호사업추진보고서 감사보고서

37 1.1 정보보호조직 세부평가항목 개요 조직의보안목표를달성하기위해정책을수립하고계획하는정보보호조직이수립되어있는가? 정보보호조직이란정보화조직내부에편성할수도있고, 별도의조직으로구성할수도있다. 정보보호조직은직제에반영되고명시된역할이있어야하며, 상설조직으로운영되어야한다. 착안사항설명 1 단계정보보호조직구성계획및절차가수립되어있지않은단계 부가설명 - 인사부서에서관리하는조직도상에정보보호조직이별도로구성되어있지않다. - 다른업무와병행하여정보보호업무를비상시적으로수행되고있다. 증빙자료예시별도증빙자료없음 2 단계 부가설명 증빙자료예시 정보보호조직구성을위해부분적으로시행계획 ( 일정, 예산, 절차등 ) 이문서화되어있는단계 - 연단위또는중장기정보보호계획서를통해정보보호담당조직과지원조직에대한구분과역할및책임에대한정의가되어있다. - 정보보호조직의업무수행을위한과제, 일정, 예산등조직운영을위한계획이수립되어있다. - 정보보호전담조직이구성되어있지않으나필요시정보보호조직을구성하기위한내용이정보보호정책에포함되어있다. - 정보보호전담조직은없으나필요시외부전문가로구성된정보보호조직이있다. 전사조직도 ( 정보보호조직명기 ), 정보보호조직직무기술서, 정보보호전담조직운영계획서또는정보보호사업계획서

38 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 문서화된시행계획에의해전사적정보보호조직이세부적으로구성되어운영되는단계 - 경영층의승인및인사명령을통해정보보호담당조직이구성되고정보보호조직의목표, 과제및사업계획이수립되어있다. - 정보보호조직의업무수행을위한예산이확보되어있다. - 정보보호전담조직에대한정책이수립되어있다. 정보보호담당조직인사명령공문, 정보보호사업계획서 ( 경영층승인필 ), 정보보호예산편성안 ( 경영층승인필 ) 정보보호조직이문서화된시행계획에의거업무를수행하고있으며, 수행내역이체계적으로관리되어지고있는단계 - 정보보호사업계획에따라정보보호조직의연간 / 반기 / 분기 / 월별업무가수행되고정보보호조직의활동에대한주기적인보고와검토가이루어지고있다. - 정보보호위원회등경영층이주관하는회의를통해정보보호조직의업무추진결과에대한승인이이루어지고있다. 정보보호사업계획서 ( 경영층승인필, 목표측정지표명시 ), 정보보호업무추진실적보고서 ( 정기, 비정기 ), 정보보호위원회회의록정보보호조직이지속적으로운영되어지고있으며, 결과에대한분석이업무에반영되는단계 - 정보보호조직의업무성과에대한평가를위험수준등정량화된지표 (KPI 및 ROI) 로서관리하고감사또는평가를통해정보보호업무성과에대한검토가주기적으로이루지고있다. - 미흡한사항에대한지적및개선을실시하고정보보호조직의성과에대한검토결과를고려하여차기년도사업계획에정보보호조직발전방안을제시한다. 4단계까지의증빙자료포함, 2개년간의정보보호사업계획서, 정보보호위원회회의록 ( 정보보호조직성과검토부분 ), 감사보고서 ( 정보보호조직대상 )

39 1.2 정보보호계획 목적 정보보호정책이조직의목표와일관성있게수립되어야하고, 정보자산, 인력, 정보통신망의신뢰성을높이기위한목적으로수립되어이행되고있는지를평가한다. 세부통제항목 정보보호계획을수립하기위한시행계획이마련되어있는가? 시행계획에의거한정보보호계획이매년수립되고있는가? 평가시주안점 정보보호계획이이최고경영자의승인을받아수립되고있는가? 수립된정보보호계획에조직의정보보호목표, 적용범위, 요구사항, 역할및책임등의내용을포함하고있는가? 정보보호계획에명시된목표달성계획대비실행결과가주기적으로보고되고있는가? 매년정보보호계획이개선되고있는가? 검토자료예시 년간정보보호계획서 정보보호사업계획서 매년수행된과제보고서와예산편성내역

40 1.2 정보보호계획 세부평가항목 정보보호계획이매년수립되고이행되는가? 개요 조직의정보보호정책서에매년정보보호계획수립에대한내용이있고, 그에따른계획수립및중장기계획 ( 마스터플랜 ) 이수립되어당해연도세부계획이수립되는지를점검한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보보호계획이수립되어있지않거나구체적, 체계적인계획없이보호계획만을수립하고있는단계 - 정보보호를위한계획이수립되어있지않았거나정보침해사고발생, 경영층의지시등필요에따라비체계적으로정보보호활동이수행되고있다. 별도증빙자료없음정보보호계획수립을위한시행계획 ( 우선순위, 책임, 예산, 역할및일정등 ) 이부분적으로문서화되어있는단계 - 정보보호계획이수립을위한시행계획이구체화되어있다. 정보보호계획수립을위한시행계획예 정보보호계획에포함될사항 정보보호계획을위한예산편성 정보보호계획수립을위한담당조직구성원 정보보호계획수립을위한일정정보보호계획수립을위한시행계획서또는관련공문

41 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 전사적으로문서화된시행계획에의거하여정보시스템및조직전반에걸친위협을고려한정보보호계획이수립및이행되는단계 - 정보보호사업계획수립을위한전단계로서정보시스템및조직전반에대한취약점분석을실시하고현재의위험수준을평가하는위험평가를수행한다. - 위험평가의결과에따라정보시스템및조직전반의위험수준을낮추기위한중장기및연간정보보호사업계획을수립하고정보보호계획의우선순위와필요예산을고려한정보보호계획을매년수립하고있다. 정보보호사업계획서 ( 중장기, 연간 ), 위험평가보고서 ( 연간, 위험수준감소를위한과제제시 ) 매년수립된정보보호계획에대한산출물이검토되고계획대비실행달성도를검토하는단계 - 정보보호사업계획에는구체적으로명시된과제별성과측정지표가포함되어있다. - 명시된과제의실행결과를산출물로서관리한다. - 정보보호계획수립담당자또는과제별담당자가계획대비실행결과를주기적으로보고하고있다. 정보보호사업계획서 ( 중장기, 연간, 성과측정지표포함 ), 정보보호과제별산출물, 과제별실행결과보고서 ( 정보보호위원회보고 ) 정보보호계획에따른이행결과달성도를검토하고주기적으로보호대책개선을위한피드백이이루어지는단계 - 정보보호사업계획대비성과에대한정량적 / 정성적평가를실시하고평가결과가미흡한사항에대해서는차기년도정보보호계획수립에반영하고있다. 증빙자료예시 4 단계까지의증빙자료포함, 2 년간의정보보호사업계획서

42 2. 위험평가 2.1 자산분류 목적 정보및정보시스템, 보유자산에대한분류기준수립과동기준에의해분류된자산의취급정의및관리, 새로운자산확보를위한예산편성계획등이일정한절차에의해이루어지는지를평가한다. 세부통제항목 평가시주안점 정보보호관리체계범위에따라조직의주요정보자산현황을파악하고자산을분류하는기준이있는가? 분류된자산에따라중요도를부여하여중요도별적절한관리를수행하고있는가? 검토자료예시 자산목록 자산별담당자목록 자산취급절차 자산분류지침

43 2.1 자산분류 세부평가항목 개요 주요보유자산 ( 인력, 시설, 장비등 ) 이자산분류기준에의해분류되고있는가? 주요정보통신기반시설및이와관련된인력, 시설, 장비, 정보 ( 데이터, 문서등 ) 등에대해중요도등급분류기준이마련되고목록화되어관리되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 주요보유자산 ( 인력, 시설, 장비등 ) 의분류기준과자산분류절차가마련되어있지않아담당자가임의적으로분류하는단계 - 주요자산을식별하기위한분류기준및절차가마련되어있지않거나자산목록에대해담당자가임의적으로분류하고있다. 별도증빙자료없음주요보유자산 ( 인력, 시설, 장비등 ) 중부분적으로만자산분류기준과절차에대한시행계획이문서화되어있는단계 - 자산분류기준이수립되어있으나부분적인자산에대해서만분류되어있다. - 부분적으로분류된자산에대해담당자가명확하게구분되어있지않다. 정보자산분류지침및절차서, 자산분류계획서 ( 위험분석계증빙자료예시획서내의자산분류계획도유효함 ) 3 단계 부가설명 기업내모든보유자산 ( 인력, 시설, 장비등 ) 에대해자산분류기준에따라분류되어있으며담당자가지정되어있는단계 - 조직의모든자산이자산분류기준에따라분류되어있으며담당자가명시되어있다. 정보자산분류지침및절차서, 자산분류평가서 ( 위험분석보증빙자료예시고서내의자산분류결과도유효함 )

44 4 단계 부가설명 주요보유자산 ( 인력, 시설, 장비등 ) 의분류가정기적으로수행되어자산변동시일정기간동안의자산내역이확인되고검토되어지는단계 - 자산의중요도변동및폐기되어야하는자산에대해정기적 / 비정기적으로자산분류가수행된다. - 일정기간동안의자산내역이문서화되어확인할수있다. ( 자산별담당자와자산별중요등급등 ) 정보자산분류지침및절차서, 자산분류평가서 ( 위험분석보고증빙자료예시서내의자산분류결과도유효하며, 2회차이상의분류결과가확보되어자산변동내역을파악할수있어야함 ) 5 단계 부가설명 주요보유자산 ( 인력, 시설, 장비등 ) 의분류가정기적으로수행되어자산변동시주기적으로자산분류내역이검토결과에따라개선이이루어지는단계 - 자산변경 ( 자산폐기, 도입, 중요도변도 ), 자산에대한관리자변경이일어날경우에자산분류내역이변경되고있다. - 자산분류기준이주기적으로검토되어개선되고있다. 정보자산분류지침및절차서 ( 자산분류방안의주기적개선 항목포함 ), 자산분류평가서 ( 위험분석보고서내의자산분류증빙자료예시결과도유효하며, 2년차이상의분류결과가확보되어자산변동내역을파악할수있어야함 )

45 2.1 자산분류 세부평가항목 개요 분류된자산별취급절차에대해정의하고이에따라정보및정보시스템이관리 ( 생성, 저장, 이용, 보관, 파기 ) 되고있는가? 분류된자산에대한중요도등급이부여되고이에대한등급별취급절차가정의되어정보및정보시스템의보안관리가효율적으로수행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 자산분류와취급정의및관리등이수립되어있지않거나자산에대한취급절차없이관리되고있는단계 - 자산에대해자산분류, 취급정의, 관리가이루어지지않는다. - 별도의자산별취급절차없이자산이관리되고있다. 별도증빙자료없음 자산분류기준에따라분류된자산에대해자산별취급정의및관리를위한시행계획이문서화되어있는단계 - 일반적으로자산별취급정의및관리를위한별도의계획을수립하지는않으나, 정보보호계획안에자산별취급정의및관리를위한업무가포함되어반영되어있다. 정보보호계획서 인력, 시설, 장비별로자산이분류되고등급별취급절차가정의되어있으며, 절차에따라이행하고있는단계 - 자산분류기준에의해자산이분류되어등급별취급절차가정의되어있다. - 중요도별등급은비밀 / 기밀 / 개인 / 비분류등으로나눌수있고시스템에서산출된정보도보안등급이주어져야한다. 정보자산중요도별취급절차 ( 정보자산분류지침또는위험분석보고서내에포함가능 )

46 4 단계부가설명증빙자료예시 5 단계부가설명 분류기준과자산의취급절차에따라서자산이관리된일정기간 ( 최근 3년 ) 내역이검토되는단계 - 일정기간동안의자산분류내역, 취급내역등에대해문서화되어있다. - 자산별담당자의소유자, 관리자, 책임자에대한명시가되어있다. - 최근 3년동안전사적자산에대해분류기준과자산취급절차수행내역이검토된다. 3개년간정보자산분류평가서또는위험분석보고서 ( 정보자산소유자, 관리자, 책임자명시및취급내역정의 ) 분류된자산내역및취급절차에대한평가가수행되어지속적으로관리내역을검토하고주기적으로개선되는단계 - 자산취급시개선사항이있을경우절차및중요도분류가개선되고있다. - 자산내역이지속적으로검토되고개선된다. 3개년간정보자산분류평가서또는위험분석보고서 ( 정보자산증빙자료예시소유자, 관리자, 책임자명시및취급내역정의, 개정및개선사항명시 ), 정보자산분류지침 ( 자산취급절차의개선 항목포함 )

47 2.2 자원할당 목적 자원할당및예산확보가적절하게이루어지는지를평가한다. 세부통제항목 자원에대한책임및할당, 역할등에대해명시한규정또는관련문서가존재하는가? 평가시주안점 정보시스템자원에대한예산을확보하기위한지표가수립되고예산편성을위한위원회가존재하는가? 중장기계획에정보시스템투자계획이포함되고이를바탕으로한예산이집행되는가? 검토자료예시 자산분류지침 자산목록관리대장

48 2.2 자원할당 세부평가항목 자원에대한책임및할당, 역할등에대해명시한규정또는관련문서가존재하는가? 개요 자원에대한관리의주체, 책임과역할등을규정하고이에대한사항을관련문서에기록하여원활하며명확한관리가이루어질수있도록한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 자원에대한책임및할당, 역할등이규정또는관련문서에기록되지않거나계획및절차없이자원이관리되고있는단계 - 주요자원을관리하기위한담당자가지정이되어있지않다. - 주요자원에대한담당자가지정이되어있지만책임및할당, 역할등이규정또는관련문서에기록되지않거나계획및절차없이자원이관리되고있다. 별도증빙자료없음자원에대해서만책임및할당, 역할등을규정하기위한계획이문서화되어있는단계 - 부분적자원에대한책임있는관리를위해자산의책임소재를부여하는관련계획이수립되어문서화되어있다. - 자원관리에대한사항이정보보호계획수립안에포함될수도있으며자원관리규정이나지침과같은문서로존재할수있다. 정보보호계획서 ( 인력및예산등자원의할당에대한내용명증빙자료예시시 )

49 3 단계 전사적자원에대한목록의유지 ( 설정 ) 관리및책임권한등을명시한내역과규정이문서화되어있으며, 그규정에따라자원관리대장과같은문서가존재하는단계 - 전사적자원목록에대한유지 ( 설정 ) 관리및책임권한등이명시된내역과규정이문서화되어있다. 자원관리대장 ( 규정 / 지침 ) 의예 자원의특성 ( 자원을취급하는용도, 목적 ) 정의부가설명 자원별담당자 ( 정 / 부 ) 지정 자원별책임할당및역할명시 - 일반적으로별도의자원관리대장을구비하지는않으며정보보호활동을위한인적자원및예산의할당이명시된정보보호계획서를통해자원관리가이루어진다. 자원관리대장 ( 규정 / 지침 ) 또는정보보호계획서 ( 인력및예산등자원의할당에대한내용명시 ) 증빙자료예시정보보호담당인력자원에대한인사명령서정보보호담당인력자원에대한직무기술서 4 단계 부가설명 증빙자료예시 자원의변경사항발생시이에대한책임, 할당및역할등이최근 3년간주기적으로관련문서에반영되어검토되는단계 - 자원의변경사항 ( 교체, 제거, 투입 ) 이발생할경우책임, 할당및역할등에대한내역이최근 3년간주기적으로관련문서에반영되고있다. - 자원관리대장에변경사항이기록되어야하며, 변경된자원에대한관리자에대한역할도변경되어야한다. 최근 3년간자원관리대장또는정보보호계획서정보보호담당인력자원에대한인사명령서정보보호담당인력자원에대한직무기술서정보보호규정 / 지침 ( 정보보호자원의역할및책임명시 )

50 5 단계 자원에대한책임및할당, 역할등이적절한가에대해주기적으로검토하고개선하며이에대해문서에반영하는단계 부가설명 - 관리자에의해자원관리규정에따라자원관리가적합하게이루어지는지를주기적으로검토되고있는단계 - 자원관리시미흡한부분에대해검토및개선하고차기자원관리지침 / 규정개정시반영하는단계 최근 3년간자원관리대장 ( 자원관리검토결과포함 ) 또는정보보호계획서증빙자료예시정보보호담당인력자원에대한인사명령서정보보호담당인력자원에대한직무기술서정보보호규정 / 지침 ( 정보보호자원의역할및책임명시 )

51 2.2 자원할당 세부평가항목 개요 정보시스템자원에대한예산을확보하기위한투자재검토위원회 ( 가칭 ) 가존재하고투자를결정하기위한정량화된지표가수립되어있는가? 정보시스템자원에대한예산이효과적으로확보되기위해서는이에대한투자효과분석과이를측정할수있는지표가수립되어야하며이를평가하는위원회가존재해야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템의예산확보및투자결정을위한위원회가존재하지않거나필요시임시위원회가구성되는단계 - 년간정보보호계획수립시정보시스템자원에대한예산이계획되어있지않다. - 정보시스템의예산확보및투자결정을위한위원회가존재하지않고필요에따라임시위원회를구성하고있다. 별도증빙자료없음예산확보및투자결정을위한위원회가비상시적으로존재하고정량화된투자를결정하기위한지표가부분적으로문서화되어있는단계 - 년간정보보호계획또는중장기계획에예산확보및투자계획이포함되어있다. - 조직내비상시조직으로정보시스템자원에대한예산확보및투자결정을위한위원회가존재한다. - 위원회는예산확보및투자결정을위해효과분석등이사전조사를통해정량화된투자를결정하기위한지표를수립하고있다. - 일반적으로투자재검토위원회를구성하지는않으며정보보호위원회를통해투자에대한검토및계획의확정이이루어진다. 투자재검토위원회 ( 가칭 ) 회의록또는예산및투자계획협의결과가포함된정보보호위원회회의록중장기정보보호마스터플랜 ( 예산및투자계획포함 )

52 3 단계 부가설명 예산확보및투자결정을위한정량화된전사적지표가정보시스템의특성 ( 서버, 네트워크, 어플리케이션, PC 등각특성에맞는지표수립 ) 에따라세분화되어있는단계 - 예산확보및투자결정을위한정량화된지표가정보시스템별로세분화되어있다. - 정량화된지표는정보시스템이업무에미치는영향정도와투자대비효과분석을통해지표를결정하고있다. 투자재검토위원회 ( 가칭 ) 회의록또는예산및투자계획협의결과가포함된정보보호위원회회의록, 정보보호투자효과분증빙자료예시석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 4 단계 부가설명 예산확보및투자대비성과가관리되고일정기간 ( 최근 3년 ) 의내역이확인되고검토되어지는단계 - 최근 3년간의정보시스템자원에대한예산확보및투자현황이문서화되어예산확보및투자대비성과검토내역이확인된다. 최근 3년간예산및투자현황관련문서, 3개년간예산및투자계획협의결과가포함된정보보호위원회회의록, 3개년간증빙자료예시정보보호투자효과분석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 ) 5 단계 부가설명 예산확보및투자대비성과에따른검토가이루어지고업무에대한반영과개선이수행되는단계 - 정보시스템별투자대비성과정도를분석하는정기적인검토가수행되고있다. - 검토후에결과를반영하여다음예산확보및투자시반영하고있다. 최근 3년간예산및투자현황관련문서, 3개년간예산및투자계획협의결과가포함된정보보호위원회회의록, 3개년간증빙자료예시정보보호투자효과분석보고서 ( 위험수준등정량화된지표포함 ), 중장기정보보호마스터플랜 ( 예산및투자계획포함 )

53 2.2 자원할당 세부평가항목 개요 중장기계획에정보시스템투자계획이포함되고이를바탕으로한예산이집행되는가? 정보통신기반보호시설을안정적으로유지 / 운영하기위해서는조직의중장기계획에포함되어야하며이를통해집행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 중장기계획에정보시스템투자계획이수립되어있지않으나필요할경우에예산집행이수행되는단계 - 중장기계획에정보시스템에대한투자계획이없다. - 필요시에따라정보시스템예산을집행한다. 별도증빙자료없음정보시스템투자계획이구체적으로문서화 ( 예산집행절차및계획 ) 가되어있는단계 - 중장기계획에정보시스템투자를위한예산집행절차및계획이마련되어문서화되어있다. 예산집행절차및계획문서의예 정보시스템의내역 정보시스템도입, 업그레이드, 교체등의변경내역 정보시스템의도입시정량화된예산지표중장기계획서, 예산집행절차및계획에관한문서중장기계획에정보시스템투자계획이수립되어있고, 동지침에따라예산집행이이루어지는단계 - 정보시스템투자계획이중장기계획에포함되어있다. - 예산내용에는투자계획에따라정보시스템도입, 업그레이드, 교체에대한예산을집행한다. 정보시스템관련예산집행내역

54 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템투자계획에따라일정기간 ( 최근 3년 ) 의예산집행내역이확인되고지속적으로중장기계획에투자계획이포함되는단계 - 정보시스템투자계획에따라일정기간 ( 최근 3년 ) 동안예산집행내역이확인되고검토가이루어진다. - 정보통신기반시설의안정적운영을목표로한지속적인중장기계획에투자계획이포함되고있다. 일정기간 ( 최근 3년간 ) 중장기계획검토내역정보시스템자원에대한예산집행내역에대해검토한결과를근거로주기적으로예산집행에반영되는단계 - 정기적으로정보시스템투자계획에따라대한예산집행내역을검토하여투자대비효과성이많은지를검토한다. - 검토결과를근거로주기적으로예산집행절차에반영하여개선한다. 정보시스템예산집행절차개선내역

55 2.3 보안요구사항검토 목적 시스템및서비스도입시최소보안요구사항수준검토가수행되는지를평가한다. 세부통제항목 정보시스템및서비스도입시계획및절차가문서화되어수행되고있는가? 평가시주안점 정보시스템및서비스를도입할경우최소보안요구사항수준이검토되고있는가? 정보시스템및서비스에대한취약성검토가수행되고있는가? 검토자료예시 시스템및서비스도입절차관련문서 시스템및서비스도입시결제내역

56 2.3 보안요구사항검토 세부평가항목 시스템및서비스도입시보안요구사항및취약성검토를수행하고있는가? 개요 시스템및서비스도입시에보안성검토를수행함으로써사전에취약점을제거하고발생될문제점을개선할수있도록한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명 시스템및서비스도입시보안요구사항및취약성검토를수행하지않고계획또는절차없이수행되는단계 - 정보시스템및서비스를도입시보안요구사항및취약성을검토없이시스템및서비스를도입하고있다. 별도증빙자료없음 시스템및서비스도입시보안요구사항및취약성검토를위한절차등의계획 ( 문서화 ) 이마련되어있는단계 - 정보시스템및서비스를도입시보안요구사항검토및취약성점검계획이마련되어있다. - 보안요구사항및취약성점검계획은일정, 점검대상, 점검항목등의사항을포함하고있다. - 시스템및서비스의일부에대해서만보안요구사항및취약성검토를위한계획이마련되어있다. 정보보호규정 / 지침 ( 정보시스템도입시보안요구사항검토절증빙자료예시차포함 ), 보안요구사항및취약성점검계획서 ( 보안요구항목포함 )

57 3 단계 시스템및서비스도입시보안요구사항및취약성검토절차가수립되어수행하고있는단계 - 구체적인보안요구사항및취약성점검절차가수립되어정보보호조직에의해수행되고있다. 보안요구사항포함내용 시스템에대한법규, 정책, 합법적표준과지침, 기능적부가설명필요성, 비용이익의절충등을활용하여작성한다. - 전사적인시스템및서비스의특성에대해점검이수행되고있으며, 그결과가보고되고있다. - 일반적으로보안요구사항점검은보안성심의절차로서수립하여시행한다. 정보보호규정 / 지침 ( 정보시스템도입시보안요구사항검토절차포함 ) 증빙자료예시보안요구사항및취약성점검계획서 ( 보안요구항목포함 ) 보안요구사항점검결과보고서또는취약성점검결과보고서또는보안성심의결과보고서시스템및서비스도입시보안요구사항및취약성검토결과 4 단계가일정기간 ( 최근 3년 ) 확인가능한단계 - 일정기간 ( 최근 3년 ) 동안의보안요구사항및취약성검토결과가문서화되어있다. 부가설명 - 다른방법 ( 도입된정보시스템의시스템설명서또는도입된서비스로인해나타난업무의효율성을보여주는문서 ) 으로확인이가능하다. 3개년간보안요구사항점검결과보고서또는취약성점검결증빙자료예시과보고서 5 단계 시스템및서비스도입시보안요구사항및취약점검토결과를분석하고주기적으로반영하고있는단계 - 정보시스템및서비스도입후추가적으로필요한기능업그레이드시또한새로운위협에대응하기위해주기적으로취부가설명약점을검토한다. - 차후시스템도입시반영하여시스템및서비스보안요구사항및취약성검토절차가개선된다. 3개년간보안요구사항점검결과보고서또는취약성점검결과증빙자료예시보고서, 3개년간보안성심의결과보고서또는취약점조치결과보고서

58 2.4 위험평가 목적 조직의안정적인운영과자산을보호하기위해취약성, 위협및보안통제를고려한위험평가가수행되고있는가를평가한다. 세부통제항목 위험평가계획및절차가문서화되고이에따라수행되고있는가? 평가시주안점 정보시스템및시설등의변경사항발생시위험평가가재수행되고있는가? 위험평가를통해취약성들이완화되고있는가? 보호대책과잔류위험에대한최고책임자 (CSO) 의승인이이루어지는가? 검토자료예시 위험평가수행절차서 위험평가수행결과보고서 취약성분석보고서

59 2.4 위험평가 세부평가항목 개요 시스템및시설, 내 외부인력에대한위험평가계획이수립되고변경사항발생시위험평가정책을기반으로한위험평가가재수행되는가? 효과적인보안대책을적용하기위해서는시스템및시설, 내 외부인력에대한위험평가를기반으로보호수준을결정하고이에따라적절한보안이마련되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 위험평가계획수립및재수행이이루어지지않거나계획또는절차없이이행하고있는단계 - 정보시스템및시설, 내 외부인력에대한위험평가계획수립및재수행이이루어지지않거나계획또는절차없이이행되고있다. 별도증빙자료없음위험평가계획수립및재수행시행절차가부분적으로문서화되어있는단계 - 정보보호계획에위험평가계획이포함되어있거나, 위험평가재수행을위한시행절차가문서화되어있다. - 위험평가계획에는위험평가일정, 방법, 투입인력, 예산등이구체적으로포함되어있다. - 위험평가계획수림및재수행이특정부분에대해서이루어지고있다. 위험평가수행절차서, 위험평가수행계획서

60 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 위험평가계획이수립되어자산의변경사항발생시위험평가정책을기반으로한위험평가가전사적으로재수행되는단계 - 자산의변경사항 ( 이동, 폐기, 수정등 ) 발생시위험평가계획 ( 문서화된정책 ) 을기반으로한위험평가가정보보호조직에의해재수행되고있다. - 위험평가를위해자체전담조직이수행할수도있고제3자에의해위험평가가수행된다. 위험평가수행결과보고서 위험평가계획이수립되어최근 3년간자산의변경사항발생시위험평가정책을기반으로한위험평가가즉시재수행되고그내역이검토되는단계 - 최근 3년간의위험평가계획에따른위험평가결과가보관되고검토되고있다. 3 개년간위험평가수행결과보고서 위험평가계획및재수행내역에대해주기적으로검토 반영한후위험평가계획이개선되는단계 - 위험평가계획및절차에대한주기적인재검토가이루어지고있다. - 매년위험평가결과를분석하여차기위험평가계획시반영하고있다. 3개년간위험평가수행결과보고서위험평가수행절차서 ( 위험평가절차의개선 항목포함 )

61 2.4 위험평가 세부평가항목 개요 위험분석을통해나타난취약성들을완화시키고보호계획수립을위한보안요구사항들의평가와대책이마련되어있는가? 위험분석을통해나타난취약성들에대해서는적절한대책 ( 감수, 제거, 완화 ) 이수립되어야하며이러한대책이적용되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계 위험분석후보안요구사항평가및대책이마련되어있지않거나계획과절차없이이행되는단계 - 위험분석을통해나타난취약성들을완화시키고보호계획을수립하기위한보안요구사항평가및대책이마련되어있지않거나계획과절차없이이행된다. 별도증빙자료없음위험분석후보안요구사항평가및대책에대한시행계획이문서화되어있는단계 부가설명 - 보호계획수립을위한시행계획이문서화되어있다. - 위험분석을통해나타난취약성들중부분적으로만보호계획을수립하고있다. 증빙자료예시 위험분석보고서보안요구사항평가및대책시행계획서

62 3 단계부가설명증빙자료예시 4 단계부가설명 위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 전사적평가가이루어지고대책이마련되어있는단계 - 위험분석을통해나타난취약성을완화시키기위한보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어있다. - 보호계획안에잠재적손실을예상하고감수할위험에대한정의가이루어져야한다.( 잠재적손실은최고경영자 (CSO) 의승인이있어야함.) - 위험제거, 완화를위한대책이구체적으로마련되어있어야한다. 취약성목록, 정보보호대책운영기록최근 3년간위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어검토되는단계 - 최근 3년동안위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가되고대책이마련되어검토된다. - 대책에따른위험완화정도를파악할수있어야한다. 증빙자료예시정보보호대책운영기록 (3 년동안 ) 5 단계 부가설명 증빙자료예시 위험분석후보안요구사항평가및대책이세부자산별 ( 장비및서비스단위까지세부적 ) 로평가 반영 검토되고주기적으로갱신하는단계 - 위험분석후대책에따라정보보호가수행되고대책에대해결과검토및차후대책수립시반영되는단계이다. 보안요구사항평가및대책개선내역

63 2.4 위험평가 세부평가항목 개요 위험분석을통해보호대책과잔류위험이문서화되고이에대한최고책임자 (CSO) 의승인절차가이루어지는가? 위험분석을통해도출된위험에대한대책은최고책임자의승인을통해검토되고이행되어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 위험분석을통한보호대책수립과잔류위험에대한최고책임자 (CSO) 의승인이없는단계 - 정보시스템및시설, 내 외부인력등의위험분석이이루어지고있으나이를통한대책및잔류위험에대해문서화되어있지않다. - 보호대책과잔류위험에대한최고책임자 (CSO) 의승인절차없이보호대책을수립하고있다. 별도증빙자료없음보호대책과잔류위험을문서화하기위한계획이수립되어있으며, 최고책임자 (CSO) 의승인을위한절차가문서화되어있는단계 - 보호대책과잔류위험에대한문서화계획이수립되어있다. 문서의포함될내용 위험별보호대책내용 잔류위험내역 예상되는손실 - 최고책임자 (CSO) 의승인절차가문서화되어있다. 보호대책과잔류위험의승인절차및계획서

64 3 단계 부가설명 증빙자료예시 최고책임자 (CSO) 의전사적승인절차에따라승인이이루어지는단계 - 문서화된승인절차에따라최고책임자 (CSO) 의승인이이루어지고있다. - 최고책임자는승인절차에따라승인하고그결과에대해책임이부여된다. 승인절차수행이확인되는문서 4 단계 최근 3년간보호대책과잔류위험에대한최고책임자 (CSO) 의승인내역이절차에따라이행되었는지를검토하는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 위험분석을통한보호대책과잔류위험승인내역이최근 3년동안확인된다. - 최고책임자 (CSO) 의승인내역을주기적으로검토하고있어검토내역을확인할수있다. 최근 3년동안의승인내역, 승인검토내역승인내역에대한주기적인점검을통해절차가보완되고개선되는단계 - 정보보호대책과잔류위험에대한최고경영자 (CSO) 의승인내역에대해주기적으로점검이이루어지고그절차가보완및개선되고있다. 승인내역이개선된내역

65 2.4 위험평가 세부평가항목 정보자산및개인정보침해영향평가가이루어지는가? 개요 인력, 정보등에대한자산및개인정보를침해하는위험으로부터정보자산및개인정보를보호하기위한침해영향평가가이루어져야한다.( 개인정보보호차원 ) 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 정보자산및개인정보에대한침해영향평가가이행되지않거나계획및절차없이이행되는단계 - 정보자산및개인정보에대한분류및책임할당등이수행되고있으나침해에대한영향평가는이루어지고있지않다. - 조직의정보자산및개인정보에대해계획및절차없이침해영향평가가이행된다. 별도증빙자료없음 정보자산및개인정보에대한침해영향평가시행계획이문서화되어있는단계 - 개인정보보호차원에대한침해시영향평가시행계획및절차가문서화되어있다. 침해영향평가문서의예 침해시에대한영향평가절차 영향평가지표 - 부분적으로침해영향평가시행계획이문서화되어있다. 침해영향평가문서, 영향평가지표 정보자산및개인정보에대한잠재적손실에따른영향평가가수행되는단계 - 조직의정보자산및개인정보에대한잠재적손실 ( 개인정보도용, 정보자산유출등 ) 에따른영향평가가수행된다. 영향평가수행내역

66 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 최근 3년간조직의모든정보자산의영향평가결과물이검토되는단계 - 침해영향평가를통해개인정보의손실정도, 정보자산의유출정도를파악한결과물이문서화된다. - 최근 3년간침해영향평가내역이확인되고검토된내역을볼수있다. 최근 3년간침해영향평가내역, 침해영향평가검토내역조직의모든정보자산의영향분석결과에대해검토후영향분석방법및내용이주기적으로개선되고있는단계 - 조직의모든정보자산및개인정보에대한영향분석결과에대해검토후영향분석계획및절차가주기적으로개선되고있다. 침해영향평가계획및절차개선내역

67 2.5 취약성진단 목적 적절한취약성진단도구및기법을사용하여시스템에영향을미치는취약성을식별하고주기적으로진단한후위험분석에반영하고있는지를평가한다. 세부통제항목 위험분석결과를반영하여취약성진단도구및기법을적용하고있는가? 취약성진단에대한결과가문서화되어있는가? 평가시주안점 주요시스템에대한취약성진단이주기적으로이행되고있는가? 취약성진단결과가위험분석에반영되고적절한보호대책을수립하고있는가? 검토자료예시 취약점분석및평가결과보고서 모의해킹결과보고서

68 2.5 취약성진단 세부평가항목 모든시스템및업무서비스들 ( 기술적, 관리적, 물리적측면 ) 에대한모의해킹및취약성진단이수행되는가? 개요 모든시스템및업무서비스들 ( 기술적, 관리적, 물리적측면 ) 을대상으로모의해킹및취약성진단을실시하여보안성과안전성을확보하기위한위험분석에반영되어야함. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 모의해킹및취약성진단이수행되지않거나계획및절차없이수행되고있는단계 - 모든시스템및업무서비스들에대해모의해킹및취약성진단을하지않는다. - 모든시스템및업무서비스들 ( 기술적, 관리적, 물리적측면 ) 에대한계획및절차없이모의해킹및취약성진단이수행되고있다. - 모의해킹및취약성진단은실시되지만계획및절차가마련되어있지않다. 별도증빙자료없음모의해킹및취약성진단방법, 일정, 대상등의구체적인시행계획이부분적으로문서화되어있는단계 - 모든시스템및업무서비스들을대상으로한모의해킹및취약성진단계획이수립되어문서화되어있다. 모의해킹및취약성진단계획문서의예 모의해킹및취약성진단절차 시행방법, 일정, 대상모의해킹및취약성평가에대한계획서

69 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 모든시스템및업무서비스에대한모의해킹및취약성진단을전사적으로수행하고있는단계 - 모든시스템및업무서비스을대상으로자사의특성을고려하여모의해킹및취약성진단을전사적으로수행하고있다. - 모의해킹방법과결과가문서화되어보고되고있다. - 취약성진단방법및진단대상등에대한세부내역이문서화되어있다. 모의해킹및취약점진단평가결과보고서 최근 3년간모든시스템및업무서비스에대한모의해킹및취약성진단수행내역을검토하고취약점을제거하고있는단계 - 최근 3년간의모의해킹및취약성진단수행내역이담당자에의해주기적으로점검되고있다. - 모의해킹및취약성진단결과를반영하여취약점을제거하기위한계획을수립하고제거하고있다. 3개년간취약점진단결과보고서취약점제거및완화를위한조치계획서및조치결과보고서 모든시스템및업무서비스에대한모의해킹및취약성진단수행내역을검토하고취약점을제거하며주기적으로위험분석에반영하여개선되고있는단계 - 주기적으로모의해킹및취약성진단수행내역이검토되고있다. - 주기적인점검을통해새로운취약점이발견되었을경우즉시위험분석에반영하고있다. 3개년간위험평가결과보고서 ( 취약성진단결과반영및조치증빙자료예시결과에따른위험수준변화반영 ), 3개년간취약점진단결과보고서

70 3. 구성관리 3.1 구성변경통제 목적 정보시스템의변경시변경통제및승인이이루어지는지를평가한다. 세부통제항목 허가된구성요소에대한변경및승인이이루어지고있는가? 정보시스템의변경을수행하기전에상세한변경내역을문서로승인하는가? 평가시주안점 구성변경에대한모든사항들의이력이관리되고추적이용이하도록변경통제절차가이루어지고있는가? 조직의모든 IT 구성요소에대한버전통제계획이문서화되어관리가이루어지고있는가? 조직의모든 IT 구성요소를대상으로한효과성분석이이루어지고있는가? 검토자료예시 변경관리절차문서 변경승인계획서 변경효과분석서

71 3.1 구성변경통제 조직의모든 IT 구성요소 (S/W 는릴리즈, 패치등에따 세부평가항목 개요 라부여, H/W나기술문서에대해서는조직적으로적절한원칙에따름 ) 에대한버전통제에대한관리가수행되는가? 응용 SW 버전관리 ( 예 : 웹서버, WAS 서버, DB서버등등 ), 시스템패치관리, HW 업그레이드관리상황에대하여점검이이루어진다. 착안사항설명 1 단계 IT 구성요소에대한버전통제관리가수행되지않거나계획및절차없이이행되는단계 - 조직의 IT 구성요소에대해허가되지않은변경이이루어지 부가설명 증빙자료예시 2 단계 고있다. - 공식적인변경관리절차가수립되지않아서시스템관리자에의해버전통제가이루어지고있다. 별도증빙자료없음 IT 구성요소에대한버전통제관리계획 ( 목록, 담당자, 활동계획등 ) 이부분적으로문서화되어있는단계 - IT 구성요소에대한변경관리계획이수립되어문서화되어있다. 변경관리계획문서의예 변경통제유형에따른변경절차 ( 비상시 / 계획된 / 기능향상을위한변경 ) 부가설명 IT 구성요소변경시역할과책임 - 변경에대한부적절한통제에대한피해를줄이기위해 IT 구성요소에대한변경관리계획이문서화되어있다. 버전통제관리를위한문서의예 구성변경관리목록대장 구성변경점검체크리스트 변경관리절차문서, 구성변경관리목록대장, 구성변경점검체크증빙자료예시리스트

72 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 문서화된계획에의해조직의모든 IT 구성요소에대한버전통제가관리및수행이전사적으로이행되고실적자료가관리되고있는단계 - 구성변경관리대장, 구성변경점검체크리스트등의문서를작성하는등 IT 구성요소에대한버전통제관리가수립되어절차에따라수행되고있다. - 변경및릴리즈작업이발생되면구성요소의변경사항을구성관리데이터베이스에기록하고문서화한다. 구성관리버전통제수행내역조직의모든 IT 구성요소에대한버전통제가문서화된계획에의해관리및수행되고실적자료가일정기간 ( 최근 3년 ) 내역으로관리되고있는단계 - 모든 IT 구성요소를대상으로한버전통제가절차에따라수행되고수행내역이검토된다. - 최근 3년동안의 IT 구성요소에대한버전통제관리내역이확인된다. 최근 3년동안의구성관리버전통제내역조직의모든 IT 구성요소에대한버전통제가문서화된계획에의해관리및수행되고실적자료가일정기간동안의내역으로관리및검토되어갱신되는단계 - 조직의 IT 구성요소에대한변경관리핵심성과지표를작성하여변경으로인한장애를최소화하고서비스품질을향상시킨다. - 일정기간동안의내역을통해변경관리절차의문제점을파악하여절차를개선한다. 변경관리절차개선내역

73 3.1 구성변경통제 세부평가항목 정보시스템의일시적변경 ( 장비교체, 업그레이드, 이동등 ) 시승인절차에의해승인후변경이이루어지는가? 개요 정보시스템관련자산들을조사하고, 모든변경사항들을반영할수있는공식적인관리책임및절차를수립하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템의일시적변경을위한승인절차또는계획없이이행되는단계 - 정보시스템및서비스를일시적으로변경하는경우에대한계획및절차가수립되어있지않다. 별도증빙자료없음 정보시스템의일시적변경시승인절차계획 ( 정책서 / 지침서등 ) 이부분적으로수립되어있는단계 - 변경사항이발생하면변경시의영향력, 비용, 인력수, 시간, 긴급성등을고려한변경승인절차가계획되어문서화되어있다. 변경승인계획서 ( 정책서 / 지침서등 ) 의예 변경요청자이름, 부서, 연락처 변경요청내용 변경요청일시 변경수행자 작업계획및일정등 변경승인계획서

74 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템의일시적변경시승인절차계획 ( 정책서 / 지침서등 ) 에따라전사적으로수행되는단계 - 시스템관리자는승인된변경승인절차계획에따라문제점을사전에점검하여변경을수행한다. 변경작업에따른사전문제점검토시다음사항을고려할수있다. 필요자원 (H/W, S/W, 지원인력등 ) 이계획된시한내에준비될수있는가? 변경과관련된당사자들이참여하여변경후작업을할수있는가? 철회계획, 변경후테스트절차가모두준비되고점검되었는가? 시스템변경작업내역정보시스템의일시적변경시승인절차계획에따라수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 - 정보시스템및서비스의변경이완료된후모든변경과관련된정보를수집하여변경에대한검토가이루어진다. - 일정기간 ( 최근 3년 ) 동안정보시스템및서비스의변경승인절차계획내역을확인할수있다. 최근 3년동안변경승인절차내역정보시스템의일시적변경시승인절차계획에따라수행되고이행내역을분석하여승인절차에반영되는단계 - 변경이완료된후일시적변경승인절차내역을분석하여성공적으로수행했는가실패했는가의여부에따라변경승인절차계획을개선하고있다. 일정기간동안변경승인절차계획이개선된내역

75 3.1 구성변경통제 세부평가항목 개요 정보시스템구성변경 ( 장비교체, 제거, 추가도입확정등 ) 에따른효과분석이수행되고있는가? 정보보호계획에따라정보시스템의추가, 제거등의관리에따른효과분석의수행에대하여점검한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 과계획없이수행되는단계 - 정보시스템구성변경 ( 장비교체, 제거, 추가도입확정등 ) 에따른효과분석 ( 일정, 예산, 인력등 ) 이수행되지않거나계획없이수행되고있다. 별도증빙자료없음정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어있는단계 - 새로운취약점및위협발생에따른정보시스템의추가도입및장비교체에대한효과분석계획및절차가문서화되어있다. - 정보시스템및서비스에대한변경이일어날경우변경절차에따라변경일정, 예산, 인력등이효율적으로적용하도록효과분석지표를작성하고있다. 효과분석계획및절차문서, 효과분석지표정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어수행되는단계 - 정보시스템구성변경에따른효과분석이수행된다. - 조직의 IT 구성요소의변경에따른효과분석지표를통해장애를최소화하고서비스등의품질을향상시키고있다. 효과분석수행내역

76 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 에대한세부계획이문서화되어수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 - 정보시스템변경에따른효과분석계획이수행되고그내역이검토되어진다. - 최근 3년동안정보시스템및서비스의변경에따른효과분석내역이확인된다. 최근 3 년간효과분석내역, 효과분석계획및절차검토내역 정보시스템변경에따른효과분석 ( 일정, 예산, 인력등 ) 결과가문서로확인되어개선되는단계 - 정보시스템변경에따른효과분석결과에대한내역을확인하고결과를분석하여효과분석계획이개선되어진다. 효과분석계획및절차개선내역

77 3.2 구성보안설정 목적 정보시스템구성보안을위해보안요소설정이재검토되고정기적으로서비스및기능에대해검토하는과정을평가한다. 세부통제항목 구성요소 ( 시스템, 장비등 ) 에대한보안설정상태를주기적으로검토하여개선되고있는가? 평가시주안점 새로운보안사고에따른보안설정이주기적으로갱신되고있는가? 정보시스템구성을변경할경우보안요소설정에대한절차가문서화되어이행되고있는가? 정보시스템및정보보호제품에대한검토계획이수립되고주기적으로보안설정상태가검토되는가? 검토자료예시 정보시스템구성보안요소설정절차및계획서 허용서비스에대한계획및절차

78 3.2 구성보안설정 세부평가항목 개요 시스템 ( 정보시스템, 정보보호제품, 통신장비등 ) 의모든보안설정상태를주기적으로검토하는절차가수립되어있는가? 시스템에대한보안설정상태는문서화되고책임자로하여금관리되어야하며새로운위협에대응하기위해주기적인검토가필요하다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템구성변경후보안요소설정상태의검토절차와계획의수립없이수행되는단계 - 정보시스템 ( 정보보호제품, 통신장비등 ) 및서비스등의구성요소를변경할경우보안설정에대한절차가수립되지않은상태에서관리가이루어지고있다. - 구성시스템에대한보안설정상태가시스템관리자에의해임의적으로이루어지고있다. 별도증빙자료없음정보시스템구성변경후보안요소설정상태의검토절차와계획이부분적으로문서화되어있는단계 - 정보시스템및서비스의구성변경후보안요소설정에대한검토계획이문서화되어있다. 보안요소설정절차및계획문서의예 보안요소설정및승인절차 보안요소변경시스템및서비스내역 모든정보시스템및서비스등에대한보안설정상태목록보안요소설정절차및계획서

79 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명 정보시스템구성변경후보안요소설정상태의검토절차와계획이문서화되어전사적으로수행되는단계 - 정보시스템및서비스에대한변경이일어난경우문서화된보안요소설정절차를따라전사적으로수행된다. - 보안요소설정상태는책임자의승인이있어야한다. 보안요소설정수행내역 정보시스템구성변경후보안요소설정상태의검토절차와계획이문서화되어수행되고일정기간 ( 최근 3년 ) 의이행내역이확인되는단계 - 일정기간 ( 최근 3년 ) 동안정보시스템및서비스에대한보안설정절차및내역이확인되고검토되어진다. 보안설정절차검토내역 정보시스템보안설정상태의검토결과를근거로주기적으로절차가갱신되는단계 - 정보시스템및서비스보안설정상태내역에따라주기적으로보안설정절차및계획이검토되고그결과를바탕으로보안설정절차및계획이개선된다. 증빙자료예시 보안설정절차개선내역

80 3.2 구성보안설정 세부평가항목 개요 시스템에서허용하는서비스에대해주기적으로검토하는과정이이행되고있는가? 조직이제공하는서비스에대해안정적인서비스제공및새로운서비스적용시주기적인검토가수행되어허용하는서비스에대한계획및절차가개선된다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템구성변경후허용하는서비스에대한재검토와계획의수립없이수행되는단계 - 정보시스템이나정보보호제품등에대해구성변경후허용하는서비스에대한재검토및계획수립이수립되어있지않다. - 정보시스템구성변경후허용하는서비스가절차없이이루어지고있다. 별도증빙자료없음정보시스템구성변경후허용되는서비스에대한검토와계획이문서화되어있는단계 - 정보시스템및정보보호제품에서허용되는서비스에대한검토계획이문서화되어있다. 허용서비스에대한문서의예 정보시스템및정보보호제품에대한허용절차 허용된시스템내역 시스템에대한서비스를허용할수있는기간 허용만료시서비스접근권한부여에대한내역등 - 부분적인시스템에대한검토계획이이루어지고있다. 허용서비스에대한문서

81 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 정보시스템구성변경후허용하는서비스에대한재검토와계획이문서화되어재검토가전사적으로수행되는단계 - 정보시스템이나정보보호제품등의구성을변경한후허용하는서비스에대해문서화된절차에따라수행된다. 허용서비스에대한시스템등의내역 최근 3년간정보시스템구성변경후허용하는서비스에대한절차와계획이문서화되어수행되고주기적인이행내역이확인되는단계 - 최근 3년동안정보시스템, 정보보호제품등의구성을변경한후, 허용하는서비스에대해문서화된절차와계획에따라수행된내역이확인된다. - 수행내역을바탕으로허용된서비스계획및절차가검토된다. 최근 3 년동안의허용된시스템등의내역 정보시스템구성변경후허용하는서비스에대한재검토결과를분석하여주기적으로재검토하고개선사항을반영하는단계 - 정보시스템, 정보보호제품등의구성을변경한후허용하는서비스에대한재검토결과를분석한다. - 분석된결과를주기적으로재검토하여허용서비스절차에개선사항으로반영한다. 허용서비스의재검토및절차개선내역

82 4. 유지보수 4.1 유지보수도구 목적 자연재해나불법적인접근으로인한장애, 물리적오류발생에대한유지보수를위한유지보수도구도입시일정한절차에의해승인, 통제, 감독이이루어지는지를평가한다. 세부통제항목 유지보수도구에대한사용방법및활용정도가높은가? 평가시주안점 적절한절차에의해유지보수도구를사용하고, 그결과에대한검토가이루어지는가? 유지보수도구에의한사용내역이주기적으로검토되고개선되는가? 검토자료예시 연간유지보수계획서 유지보수절차서 유지보수도구목록 유지보수내역서

83 4.1 유지보수도구 세부평가항목 유지보수도구를사용하기위한사용승인및통제, 감독이이루어지는가? 개요 주요시스템을정상가동상태로작동시키는데필요한모든예방정비, 조정, 수리, 부품교환및시스템테스트등을위해유지보수도구를도입하고일정한절차에의해유지보수도구를사용한내역이기록및검토되어관리되어야한다. 착안사항설명 1 단계 유지보수시사용하기위한도구의사용승인및통제, 감독이절차없이수행되는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 - 유지보수도구를사용하고있으나책임자의사용승인및통제, 관리감독이이루어지지않는다. - 유지보수도구사용에대한절차가수립되어있지않다. 별도증빙자료없음유지보수시사용하기위한도구의사용승인및통제, 감독에대한절차가부분적으로문서화되어있는단계 - 유지보수도구 ( 시스템유지보수, 기술지원등 ) 목록을작성하여관리하고있으나부분적으로만관리되고있다. - 연단위유지보수계획이수립되어있고계획서를통해담당자및팀에대한구분과역할및책임에대한정의가되어있으나도구승인및절차가문서화되어있지않다. 연간유지보수계획서, 유지보수도구목록

84 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 유지보수도구를사용하기위한도구의사용승인및통제, 감독이문서화에따라전사적으로수행되는단계 - 유지보수절차에따라유지보수를수행하고있다. 유지보수절차에포함될수있는사항 일정시간내유지보수를수행해야함을명시하고초과시대체공급할수있는도구및방법을제시하여정상상태에지장을주지않아야함을명시함 유지보수도구및기자재의보관사항에대해명시 월 1회이상의정기적인예방점검을실시함을명시 유지보수일지를기록유지사항을명시 - 유지보수절차에따라유지보수수행내역이문서화되어있어야한다. - 유지보수업무를수행하는팀또는유사업무를수행하는팀이나담당자가구성되어있다. - 유지보수수행내역에대해담당자의승인이있어야한다. - 유지보수팀의최고관리자는유지보수도구승인시도구사용목적및그대상에대해명확히인지하고있어야한다. 유지보수사용내역, 유지보수도구사용에대한승인관련서류최근 3년간유지보수를사용하기위한도구의사용승인및통제, 감독이문서화되어수행되고주기적인이행내역이확인되는단계 - 최근 3년간의유지보수도구사용내역이문서화되어있다. - 유지보수수행활동에대한주기적인보고와검토가이루어지고있다. 최근 3년간의유지보수내역, 유지보수실행결과보고서유지보수를사용하기위한도구의사용승인및통제, 감독이수행되고주기적으로사용내역이검토되어개선되는단계 - 유지보수도구사용시도구의업그레이드또는도입, 변경시유지보수담당자에의해승인및관리되고있다. - 담당자는유지보수내역에대한주기적인검토를통해미흡한사항에대한지적및개선을실시한다. - 차기유지보수계획수립시검토결과를고려하여개선사항을반영한다. 유지보수도구변경 - 및 78 관리 - 내역서, 유지보수결과보고서

85 4.2 원격유지보수 목적 원격유지보수및진단활동에대한보안승인이이루어지고통제및감시가이루어지는지를평가한다. 세부통제항목 원격작업을통해내부시스템접근시관련식별, 인증, 접근통제대책이수립되어있는가? 평가시주안점 원격유지보수및진단활동이물리적, 논리적으로안전하게수행되고있는가? 원격작업이완료되면접근권한, 장비등이회수되고있는가? 검토자료예시 원격유지보수및진단활동에대한감시내역서

86 4.2 원격유지보수 세부평가항목 원격유지보수및진단활동에대한감시가이루어지는가? 개요 원격유지보수및진단활동시원격작업장소검토, 허용된작업, 작업시간등을고려하여수행되어야한다. 원격작업이완료되면접근권한, 장비등의회수가일어나야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 원격유지보수및진단활동에대한감시가이루어지지않거나계획없이수행되는단계 - 원격유지보수및진단활동감시를위한계획이존재하지않는다. - 원격유지보수및진단활동시에시스템접근관련식별, 인증등의절차가수립되어있지않다. 별도증빙자료없음원격유지보수및진단활동에대한감시계획이수립되어있고부분적으로감시가이루어지는단계 - 원격유지보수및진단활동시감시계획이문서화되어있다. 문서화된내용은아래와같은내용을포함할수있다. 허가된원격작업내용 작업시간 접근허가된시스템및서비스 인증, 식별, 접근통제대책 - 원격유지보수및진단활동에대한통제가목록화되어보관되어지고있다. - 부분적으로원격유지보수및진단활동에대한감시를수행하고있다. 원격유지보수및진단활동감시계획서

87 3 단계부가설명증빙자료예시 4 단계 원격유지보수및진단활동에대한감시가자동감사추적기능등을이용하여전사적으로수행되는단계 - 원격유지보수및진단활동에대해다음과같은사항을감시하고있다. 원격작업장소의물리적보안검토 허용된작업, 작업시간, 접근할수있는데이터및시스템이정의되고관리되고있는지를검토 원격작업허가취소시바로접근권한이취소되고장비를수거되는지를검토 - 원격유지보수및진단활동에대한감시를감시계획에따라전사적으로수행하고있다. 감사활동은자동감시추적기능등을이용할수있으며자동감사추적기능을아래와같은내용을문서화한다. 원격유지보수시작업내용 감사추적이가능하도록보안승인내역감시내역, 원격유지보수내역최근 3년간원격유지보수및진단활동에대한감시내역이문서화되어지속적으로수행되고감사추적실적이확인되는단계 부가설명증빙자료예시 5 단계부가설명증빙자료예시 - 원격유지보수및진단활동의감시내역이확인된다. - 최근 3년동안의자동감사추적기능에대한내역이문서화되어검토되고있다. 감사추적실적이확인되는문서원격유지보수및진단활동에대한감시내역분석이원격유지보수활동에주기적으로반영되어개선되는단계 - 담당자에의해일정기간동안감시내역이검토되고승인이이루어지고있다. - 검토된내역을바탕으로주기적으로원격유지보수및진단활동의보안승인내역이개선되고있다. 일정기간동안감시검토내역및개선내역

88 5. 매체보호 5.1. 매체출력물표시 목적 정보저장매체및정보시스템출력물내외부에라벨링하여정보의취급경고및배포제한을표시하고있는지를평가한다. 세부통제항목 평가시주안점 정보저장매체에대한중요도별레벨링표시절차및규정이수립되어있는가? 정기적으로매체출력물표시에대한절차및규정을검토하고개선하고있는가? 검토자료예시 매체관리지침 / 절차서 매체별라벨링분류목록

89 5.1 매체출력물표시 세부평가항목 저장매체가정보중요도에따라내 / 외부에라벨링이이루어지고있는가? 개요 정보저장매체및정보시스템출력물등에대해내 / 외부에서레이블링하여매체를보호하고있어야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보저장매체에대해라벨링표시를하지않거나절차나규정없이라벨링표시를하고있는단계 - 정보저장매체 ( 디스크, 프린트된문서등 ) 에대한라벨링표시가되어있지않다. - 정보저장매체에대한중요도별분류가이루어지고있지않다. - 정보저장매체에대한레벨링표시절차및규정이없다. 별도증빙자료없음중요도에따라저장매체가구분되어있으며라벨링규칙수립계획이문서화되어있는단계 - 정보저장매체에대한중요도별분류가이루어지고있다. - 정보저장매체별라벨링표시절차및규정이문서화되어있다. 라별링표시규정의예 데이터중요도별식별번호부여규칙 데이터중요도기준에대한정의 데이터분류목록 매체별레벨링표시방법 - 부분적으로매체에라벨링이되어있다. 매체관리지침 / 절차서

90 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체별중요도에따라구분되어있으며문서화된라벨링규칙에따라라벨링을전사적으로수행하는단계 - 정보저장매체에대해라벨링규칙및절차에의해중요도별라벨링이전사적으로수행된다. - 매체별라벨링규칙수행내역이확인된다. 매체별라벨링분류목록, 매체별라벨링수행내역매체별중요도에따라구분되어있으며문서화된라벨링규clr 에따라일정기간 ( 최근 3년 ) 수행하고있는단계 - 정보저장매체변경시 ( 중요도, 매체변경 ) 라벨링이재수행되고있다. - 최근 3년간매체중요도별레벨링규정및절차검토내역이확인된다. 최근 3년간라벨링규정및절차검토내역매체별중요도에따라구분되어있으며문서화된라벨링규칙수립계획에따라지속적으로수행하고주기적으로사용내역을검토하여개선하는단계 - 매체출력물에대한중요도별라벨링이지속적으로수행된다. - 주기적으로정보저장매체라벨링절차및계획이개선된다. 매체라벨링절차개선내역

91 5.2 매체접근관리 목적 정보시스템매체를물리적으로통제하고안전하게저장및접근관리하는지를평가한다. 세부통제항목 정보시스템및매체에대해물리적통제가이루어지고있는가? 평가시주안점 매체에대한물리적접근관리절차및규정이문서화되어있는가? 주기적으로매체의접근통제정책에대한검토가이루어지고있는가? 검토자료예시 매체접근통제절차서 매체출입관리대장

92 5.2 매체접근관리 세부평가항목 개요 매체보관장소에출입하기위한키또는다른접근장치가되어있는가? 매체보관장소및정보시스템에대해물리적접근을위한접근관리 ( 키, 잠금장치, 출입관리대장등을이용 ) 가이루어진다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 매체보관장소에대한출입통제장치또는규제및접근규칙이마련되지않고이행되는단계 - 매체보관장소출입에대한접근관리가이루어지고있지않다. - 매체보관장소의접근통제에대한절차및규정이마련되어있지않다. 별도증빙자료없음매체보관장소출입을위한출입통제장치설치계획이문서화되어접근통제장치가부분적으로설치되어있는단계 - 매체보관장소에대한물리적접근통제규정및절차가문서화되어있다. 규정및절차에대한문서의예 매체접근관리에대한규정및절차 잠금장치에대한규정 출입관리대장에대한내용및절차 매체접근허용에대한규정및절차 - 부분적인시설에대해서만접근관리를하고있다. - 구분된매체보관장소는없으나매체담당자에의해매체사용에대한접근통제를수행하고있다.( 매체사용내역작성등 ) 매체접근통제절차관련문서

93 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체보관장소출입을위한출입통제장치설치계획이문서화되어접근통제장치가전사적으로설치되어있는단계 - 매체보관장소에대한물리적접근통제규정및절차에따라접근통제장치가설치되어있다. - 매체보관장소출입에대한내역이확인된다. 매체접근통제수행내역매체보관장소의출입통제장치설치계획에따라접근통제장치가설치되어있으며일정기간 ( 최근 3년 ) 접근통제내역이확인되는단계 - 매체보관장소출입에대한접근통제규정및절차가검토되고있다. - 일정기간 ( 최근 3년동안 ) 접근통제내역이확인되고검토된절차내역이확인된다. 매체접근통제검토내역매체보관장소에대한출입통제장치설치가정기적으로점검되고주기적검토를통하여출입통제문제점을개선보완하는단계 - 주기적으로매체의물리적접근통제관리가이루어지며매체규정및절차에대한검토가이루어진다. - 검토내역에따라규정및절차가개선되어개선된내역이문서화되어확인가능하다. 매체접근통제개선내역

94 5.3 매체운반방법 목적 매체운반시허가된직원에의해매체가전달되도록하는절차및접근통제가이루어지는지를평가한다. 세부통제항목 매체도입시이동이나구조변경으로인한매체를운반을할경우매체운반규정및절차에따라이루어지고있는가? 평가시주안점 중요매체운반시허가된직원에의해전달되고있는가? 중요매체운반에대한방법에대한결정이이루어질때규정및절차가문서화되어있는가? 검토자료예시 매체관리지침 / 절차서

95 5.3 매체운반방법 세부평가항목 개요 안전을요하는매체가운반될때접근통제가이루어지고있는가? 중요매체가운반될경우접근통제규정및절차에따라매체가전달되고있다. 매체운반에대한정책및절차에따라수행 검토된내역에따라개선이이루어져야한다. 착안사항설명 1 단계매체운반절차및접근통제가계획및절차없이수행되는단계 부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 - 정보저장매체및정보시스템운반에대한절차가수립되어있지않다. 별도증빙자료없음 매체운반절차및접근통제계획이부분적으로문서화되어있는단계 - 매체및정보시스템등의매체이동및구조변경시이를통제하기위한절차가문서화되어있다. 매체운반절차에관한문서의예 매체도입시이동및구조변경에대한담당자의승인여부 매체운반목적 매체운반시기및장소명시 매체운반담당자의정보 매체운반방법 매체관리지침 / 절차서 매체운반절차및접근통제가문서화된절차에의해서전사적으로수행되는단계 - 정보저장매체및정보시스템등의매체를운반할경우문서화된매체규정및절차에따라수행된다. - 매체운반및구조변경은담당자의승인하에수행되고있다. 매체운반수행내역서

96 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체운반절차및접근통제가문서화된정책에의해서수행되며일정기간 ( 최근 3년 ) 의그내역이확인되는단계 - 일정기간매체운반절차및규정에따라수행되고검토된내역이확인된다. - 내역내에운반된매체종류, 운반목적, 담당자등세부내역이포함되어있다. - 수행내역을통해정상적인운반여부를수행하고있다. 매체운반검토내역서문서화된정책에의해서수행되며주기적검토를통하여매체운반절차및접근통제문제점을개선보완하는단계 - 주기적으로매체운반정책절차및규정에대한검토가이루어진다. - 검토된내역을바탕으로주기적으로매체운반구조변경절차에대한문제점을개선한다. 매체운반절차및규정개선내역

97 5.4 문서관리 목적 세부통제항목 정보시스템및구성요소에대한문서의구비및관리에대하여평가한다 허가되지않은정보유출이나오용으로부터정보를보호하기위해, 매체의취급및문서보관에대한절차를수립하고운영하고있는가? 보안절차, 운영메뉴얼, 운영기록등중요시스템문서에대한관리지침이수립되어있는가? 평가시주안점 기술적관리문서가중요도에따라분류되어관리되는가? 관리되어야할문서가명시되고있는가? 시스템및서비스도입과개발, 변경사항에대한관련문서가작성되어있는가? 검토자료예시 테이프, 디스크, 프린트된레포트등매체에대한분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침과절차 매체에대한관리책임대장 매체폐기절차서및매체의폐기시관련정보 ( 일자, 내용등 ) 의감사증적대장 문서의분류등급에따른전달, 복사, 폐기, 보관지침서 정보시스템변경절차서 정보시스템매뉴얼 문서관리대장

98 5.4 문서관리 세부평가항목 개요 시스템및서비스도입과개발, 변경에따라통제사항에대한분석이수행되고관련문서가수정되는가? 정보시스템및서비스도입과개발, 변경시통제사항에대한계획및절차에따라분석이수행된다. 수행된내역이주기적으로검토되고검토된내역의개선이이루어진다. 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 3 단계부가설명증빙자료예시 착안사항설명 시스템및서비스도입과개발, 변경에따라통제사항에대한분석이계획및절차없이수행되는단계 - 정보시스템및서비스의도입, 개발, 변경등에대한절차가없다. 별도증빙자료없음 시스템및서비스도입과개발, 변경시통제사항에대한분석계획및절차가부분적으로문서화되어있는단계 - 정보시스템및서비스의도입, 개발변경시통제사항을분석하기위한계획및절차가문서화되어있다. 통제사항분석계획및절차문서 분석대상이되는시스템및서비스종류 분석방법 통제사항에대한승인절차기술 시스템및서비스도입, 개발, 목적 매체통제사항분석서 문서화된계획에따라시스템및서비스도입시부터추가, 개발, 변경에이르기까지통제사항에대한분석이전사적으로수행되는단계 - 문서화된통제사항분석계획및절차에따라분석이전사적으로수행되고수행된내역이확인된다. - 시스템및서비스항목을식별하여그기능적 / 물리적특성을문서화한다. 매체의통제사항분석이확인되는문서

99 4 단계부가설명증빙자료예시 5 단계부가설명 시스템및서비스의도입 / 개발 / 변경시이에대한통제사항이문서화되어일정기간 ( 최근 3년이상 ) 적용되고문서화되는단계 - 시스템및서비스에대한관련문서가확인되고검토되어지고있다. 문서관리대장검토사항 정보시스템문서의분류등급절차 시스템도입, 개발, 변경에대한절차 매체의통제사항분석문서검토 문서의보관상태점검 중요도에따른문서보관내역점검 - 최근 3년간명시된요구사항이확인되면기술적 / 행정적지침과사후관리가이루어지고있다. 최근3년간의매체통제사항분석서시스템및서비스도입 / 개발 / 변경과관련된문서를포함한형상관리가주기적으로검토되어개선되는단계 - 일정기간동안정보시스템및서비스에대한형상관리가수행되고있다. - 수행된내역을통해정보시스템및서비스의문서관리및형상관리절차가검토되고개선된다. 일정기간동안정보시스템및서비스의문서관리및형상관리증빙자료예시내역

100 5.4 문서관리 세부평가항목 조직내모든문서에대한전달, 복사, 폐기, 보관지침이존재하며이에따라관리가이루어지는가? 개요 허가되지않은유출이나오용으로부터정보를보호하기위해, 매체의취급및보관에대한절차를수립하고운영하여야한다. 조직내시스템설계서및각종매뉴얼, 시스템도입및관련문서등주요문서에대한전달, 복사, 폐기, 보관에관한지침을수립하고주기적인검토및개선이이루어져야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 정보시스템문서에대한관리지침또는계획및절차없이수행되는단계 - 조직내문서의분류등급체계가없다. - 문서보호및관리를위한지침이수립되어있지않다. - 문서관리대장을통한관리가이루어지지않고문서관리담당자없이문서가전달, 복사, 폐기. 보관되고있다. 별도증빙자료없음정보시스템문서에대한관리지침이부분적으로문서화되어있는단계 - 승인된문서관리지침이마련되어있지않다. - 부서별문서관리가일정한규정없이수행되고있다. - 부분적인문서 ( 중요한문서 ) 에대해서만관리지침을두어관리하고있다. 문서관리지침, 문서관리대장

101 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 정보시스템문서의관리지침이문서화되어문서분류지침에따라전사적으로관리되는단계 - 테이프, 디스크, 프린트된레포트등매체에대한분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침과절차가작성되어있다. - 문서관리지침내에매체에대한관리책임이명확하게정의되어있다. 관리되어야할문서목록예 정보시스템매뉴얼 자체개발시스템관련문서 도입된시스템구성도 ( 설계도 ) 사용자매뉴얼 - 문서관리지침에명시한대로중요도에따라문서별분류등급이되어있다. - 문서의중요도에따른보관방법별로문서가보관및관리되고있다. - 문서관리대장내에중요문서의전달, 복사, 폐기, 보관시담당자의승인이있어야하며, 문서를사용하는사용자의이름이명시되어야있어야한다. 분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침서및절차서문서관리지침, 문서관리대장 정보시스템문서의분류등급이계획절차를포함한관리지침으로문서화되어문서분류지침이 3년이상적용되고문서관리대장이검토되는단계 - 문서관리지침이수립되고동지침에따라 3년이상적용되고있다. - 문서관리대장이정기적 / 비정기적으로관리자에의해재검토되고있다. 문서관리대장검토사항 폐기된문서검토 ( 폐기절차에합당한지여부 ) 문서의보관상태점검 중요문서의전달, 복사시승인여부 중요도에따른문서보관내역점검 최근 3 년간의문서관리대장

102 5 단계 부가설명 정보시스템문서관리지침및관련지침을주기적으로개선보완하는단계 - 정보시스템문서에대한관리지침이주기적으로검토및개선되어진다. - 문서관리절차에따른관리시미흡한사항에대한지적및개선을실시한다. 분류 / 취급 / 사용 / 보관 / 배포 / 폐기에관한지침서및절차서의변경이력관리서증빙자료예시문서관리지침문서관리대장

103 5.4 문서관리 세부평가항목 개요 시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 가관리되고있는가? 시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 가관리지침및절차에따라문서화되어수행된다. 수행된내역에따라관리지침및절차가검토되고개선이이루어지고있다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 시스템도입및개발시스템관련문서에대한관리지침또는계획없이관리되는단계 - 조직의시스템도입및개발시스템관련문서 ( 자체적인시스템개발시의문서, 도입된시스템구성도, 사용자매뉴얼 ) 의관리가이루어지고있지않다. - 계획없이시스템관련문서가관리되고있다. 별도증빙자료없음시스템도입및개발시스템관련문서에대한관리계획이문서화되어있거나부분적으로만관리되고있는단계 - 시스템도입및개발시스템관련문서에대한관리계획이문서화되어있다. - 부서별일정한지침없이관리되고있다. 시스템관련문서관리지침의예 시스템관련문서관리규정 문서보관, 관리, 폐기절차 문서의중요도시스템관련문서관리지침서

104 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 관리자가문서화된관리지침에따라전사적관리유지 ( 변경이력, 접근내역등 ) 하는단계 - 문서화된조직의관리지침에따라전사적으로수행되고있다. - 문서별등급표시 ( 워터마킹및이미지파일로저장, 복사 / 폐기불가 ) 를하고문서접근내역및보과점검을수행하고있다. 시스템관련문서관리지침수행내역관리자가조직전체의시스템설계명세서를문서화된관리지침에따라관리유지 ( 변경이력, 접근내역등 ) 하고관리내역이 3년이상확인되는단계 - 조직의관리지침및절차에따라관리수행내역이확인되고검토된다. - 최근 3년간의관리및절차지침내역이확인된다. 최근 3년간시스템관련관리지침검토내역서관리자가조직전체의시스템설계명세서를문서화된관리지침에따라관리유지 ( 변경이력, 접근내역등 ) 하고관리내역을검토하여주기적으로개선되는단계 - 주기적으로조직전체의시스템관련지침및절차에대한검토가이루어지며검토된내역에따라개선이이루어지고있다. 시스템관련관리지침개선내역

105 5.5 매체및기록파기 목적 매체의물리적파기방법과저장된기록의삭제방법을평가한다. 세부통제항목 정보시스템및서비스등의매체에대한파기방법이나기록삭제방법에대한정책및절차가수립되어있는가? 평가시주안점 매체폐기및기록삭제시중요도에따라폐기방법및절차가다르게수행되고있는가? 매체폐기시외부자에게주요정보가누출되지않도록폐기지침을수립하는가? 검토자료예시 매체폐기절차서및매체의폐기시관련정보 ( 일자, 내용등 ) 의감사증적대장

106 5.5 매체및기록파기 세부평가항목 개요 정보나매체가용도폐기되기위한폐기방법이수립되고적절하게이행되는가? 정보시스템및서비스등의정보나매체에대한폐기가일어날경우폐기절차및규정에의해폐기방법을적절하게선택하여수행한다. 수행된내역을주기적으로검토하고개선해야한다. 착안사항설명 1 단계매체폐기방법관리계획수립또는계획없이수행되는단계 부가설명 - 매체폐기시관리절차및계획이없다. - 관리자없이비공식적매체폐기가이루어지고있다. 증빙자료예시 별도증빙자료없음 2 단계매체폐기방법관리계획이문서화되어있는단계 부가설명 증빙자료예시 - 정보시스템및서비스등의매체를폐기하기위한절차및계획이문서화되어있다. 폐기절차및계획문서의예 데이터보존연한 데이터매체에따른폐기방식 폐기확인방법 폐기이유 폐기일시 폐기내용폐기절차및계획문서

107 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 매체폐기방법관리계획이문서화된관리지침에따라전사적으로수행되는단계 - 매체에대한폐기가일어날경우폐기절차및계획문서에따라전사적으로수행된다. - 폐기된매체나폐기하기위해사용된보고절차문서등의폐기관리대장이문서화되어있다. 폐기관리대장최근 3년간매체폐기방법관리계획이문서화된관리지침에따라수행되어폐기내역이확인되는단계 - 매체에대한폐기가일어날경우폐기절차및계획문서에따라수행내역이검토되어진다. - 최근 3년간정보시스템및서비스등의매체에대한정책및절차검토내역이확인된다. 매체폐기정책및절차검토내역매체폐기방법관리계획이문서화된관리지침에따라수행된폐기내역이검토되어주기적으로개선되는단계 - 문서화된매체폐기방법관리정책및절차에따라수행된내역이정기적으로검토되어진다. - 매체폐기정책및절차에대한개선이이루어지고있다. 매체폐기정책및절차개선내역

108 6. 보안인식과교육 6.1. 보안인식교육및훈련 목적 모든사용자에대해기본정보시스템보안인식정도와적절한정보시스템보안교육수준을평가한다. 세부통제항목 모든조직구성원이정보보호관련일반규정및보안교육을받고있는가? 평가시주안점 교육및훈련대상자의직위및담당업무에따라적절히분리되어필요한별도의교육을받고있는가? 교육훈련의대상은관련된모든내 / 외부임직원및외부인력을포함하고있는가? 보안인식교육및훈련을한후효과측정및분석이이루어지며다음계획에반영되는가? 검토자료예시 보안교육지침서 보안교육자료 외부인력교육지침

109 6.1 보안인식교육및훈련 세부평가항목 개요 모든구성원이조직의정보보호정책과관련된일반규정및자신의직무와관련한보안교육을이수하였는가? 교육및훈련을정보보호정책, 정보보호인식, 보안요구사항, 법적인책임, 보안사고대응절차, 업무연속성관리등을포함하고모든조직구성원의직위및담당하는업무의특성에따라구분하여실시하여야한다. 착안사항설명 1 단계부가설명증빙자료예시 2 단계부가설명증빙자료예시 조직의정보보호정책과규정및직무와관련한교육지침이없거나계획과일정없이교육을수행하고있는단계 - 조직의정보보호에관련된교육지침이마련되어있지않다. - 조직의구성원들에대한정보보호교육이계획없이수행된다. 별도증빙자료없음조직의정보보호정책과규정및직무와관련한교육에대한세부적인 ( 일정, 내용, 비용, 대상자등 ) 계획이부분적으로문서화되어있는단계 - 조직의정보보호교육관련규정및지침이수립되어문서화되어있다. - 조직의정보보호및정보시스템보안에대한보안교육지침이문서화되어있다. 교육지침문서의예 정보보호정책및규정에대한지침자료 교육목표, 내용, 일정등의지침 교육대상자직위및업무에따른교육기준 교육단계별교육자료 직원의직위변경시에대한교육지침보안교육지침서

110 3 단계부가설명증빙자료예시 4 단계부가설명증빙자료예시 5 단계부가설명증빙자료예시 조직의정보보호정책과규정및직무와관련한전사적교육지침에따라조직구성원이보안교육을이수한단계 - 모든조직의구성원들에게교육자업무및직위에따라정보보호교육을전사적으로수행한다. - 정보보호교육은회사의교육지침서의절차에따라이루어진다. - 조직구성원의보안교육자료및수행내역이문서화되어보관되어있다. 보안교육수행내역최근 3년간조직의정보보호정책과규정및직무와관련한교육지침에따라조직구성원이보안교육을이수한실적이확인되는단계 - 모든직원의업무및직위에따른정보보안교육지침절차에따라수행된다. - 최근 3년간조직의정보보호교육및훈련수행내역이확인되고그내역이검토된다. - 교육및훈련후효과측정및분석이이루어지고있다. 최근 3년동안정보보호교육검토내역모든구성원에대한교육이지속적으로수행되고교육의내용검토후상황에적합하게주기적으로개선되는단계 - 조직의구성원들에게정보보호관련교육및훈련이수행되고교육후의효과측정및분석이다음계획에반영된다. - 주기적으로정보보호교육지침및절차등교육자료가검토되며그내역에따라교육지침및절차가개선된다. 정보보호교육지침및교육자료등개선내역

111 6.1 보안인식교육및훈련 세부평가항목 외부계약자와아웃소싱인력에대한보안교육지침및내용이준비되어실시되고있는가? 개요 조직의외부인력 ( 외부계약자, 아웃소싱인력등 ) 에대해정보보호관련교육지침및절차에따른교육이이루어져야한다. 착안사항설명 1 단계 외부계약자와아웃소싱인력에대한보안교육을수행치않거나보안교육지침없이교육을수행하거나보안인식교육이이루어지지않는단계 부가설명 증빙자료예시 2 단계 - 외부인력 ( 외부계약자, 아웃소싱인력등 ) 에대한정보보호교육이수행되지않는다. - 조직의외부인력에대한정보보호교육지침및계획이없으나보안교육이이행된다. 별도증빙자료없음외부계약자와아웃소싱인력에대한보안교육지침이부분적으로문서화되어있는단계 부가설명 - 조직의외부인력에대한보안교육지침및계획이수립되어문서화되어있다. 외부인력보안교육지침서의예 교육목적, 내용, 범위등의지침 외부인력직무에따른교육기준 외부인력교육자료 증빙자료예시 외부인력보안교육지침서