Similar documents
2018년 10월 12일식품의약품안전처장

120330(00)(1~4).indd





Regulation on Approval of Consumer Chemical Products subject to Safety Check without promulgated Safety Standard.hwp


암호내지

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

2015

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

목차 정보보호공시가이드라인 공시개요 공시내용 공시방법 첨부 정보보호공시서식 첨부 정보보호현황검증보고서 첨부 정보보호제품 서비스분류표

파워포인트배경(블랙과 레드의 체크패턴)

- 1 -

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

공학교육인증제운영규정

. ( ). 4. ( ) ( ) ( ). 7..( ) (, ). 12.,.( ) 13..( ) 14.

개인정보처리방침_성동청소년수련관.hwp

품질보증계획기준에따른품질보증계획서및절차서보유등의인증 요건을갖추어야합니다 인증유효기간 인증의유효기간은 년입니다 점검 재단은성능검증관리기관으로성능검증기관에대한정기점검과수시점검을현장점검으로수행합니다 정기점검은성능검증기관의인증후 년주기로 수시점검은특별한사안이있을경우실시되며점검

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

PowerPoint 프레젠테이션

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

untitled

국제항해선박및항만시설의보안에관한법령집 법 시행령 시행규칙 부산항보안공사

벤처연구사업(전동휠체어) 평가


Microsoft PowerPoint - 6.pptx

안전확인대상생활화학제품지정및안전 표시기준 제1조 ( 목적 ) 제2조 ( 정의 )

농업정책보험금융원임직원행동강령 제정 개정 개정 개정 개정 개정 개정 제1장총칙

[ 목차 ]

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

Windows 8에서 BioStar 1 설치하기

포함한다 ) 를말한다. 9 침해사고 라함은해킹, 컴퓨터바이러스, 악성코드, 메일폭탄, 서비스거부또는고출력전자기파등에의하여정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태를말한다. 제 2 장정보보안조직 제4조 ( 정보보안조직구성 ) 1 학교내정보보호활동을관리하


m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

1. 주요시설의출입구에신원확인이가능한출입통제장치를설치할것 2. 집적정보통신시설을출입하는자의신원등출입기록을유지 보관할것 3. 주요시설출입구와전산실및통신장비실내부에 CCTV를설치할것 4. 고객의정보시스템장비를잠금장치가있는구조물에설치할것 2 사업자는제1항에따른보호조치를효율적

제 KI011호사업장 : 서울특별시구로구디지털로26길 87 ( 구로동 ) 02. 공산품및소비제품 생활용품검사검사종류검사품목검사방법 안전확인대상생활용품 생활 휴대용레이저용품 안전확인대상생활용품의안전기준부속서 46 ( 국가기술표준원고시제 호 (

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 (



최종보고서-2011년_태양광등_FIT_개선연구_최종.hwp

목차 요양보호사자격개요 요양보호사교육기관설치 운영 붙임서식및참고목록 2 힘이되는평생친구보건복지부


< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Cloud Friendly System Architecture

사방사업의타당성평가및위탁업무처리규정 - 1 -

<C1A6C1D6C6AFBAB020C0DAC4A1B5B5BAB82820C1A C8A3292D2D2E687770>


¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-


untitled

좀비PC

Korea Communications Standard 방송통신표준 KCS.KO 제정일 : 2011 년 12 월 30 일 개인정보보호관리체계 (PIMS) Personal Information Management System(PIMS) 방송통신위원회국립전파연

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10


<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>


< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>


SBR-100S User Manual

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

보수규정 제 1 장총 칙

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

정보보호컨설팅 제안서

감사회보 5월

Microsoft Word - src.doc

1-표지 및 목차 & 1-서론 (최종보고서안).hwp

PowerPoint 프레젠테이션

슬라이드 1

2016년도 본예산 일반회계 총무과 세 출 예 산 사 업 명 세 서 부서: 총무과 단위: 지방행정역량 강화 읍면 명칭변경에 따른 공인 제작 350,000원 * 25개 8, 공공운영비 47,477 29,477 18,000 문서자료관 유지보수비 2,000,000

제4장

RHEV 2.2 인증서 만료 확인 및 갱신

내부정보관리규정

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

Microsoft PowerPoint - 권장 사양

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정

USC HIPAA AUTHORIZATION FOR

8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

2019 학년도교육대학원 신입생모집요강 부산대학교교육대학원

저장할수있는것으로 PC 등의정보시스템과분리할수있는기억장치를말한다. 8. 저장매체 라함은자기저장장치 광저장장치 반도체저장장치등자료기록이가능한전자장치를말한다. 9. 소자 ( 消磁 ) 라함은저장매체에역자기장을이용해매체의자화값을 0 으로만들어저장자료의복원이불가능하게만드는것을말

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

*2008년1월호진짜

- 2 -

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

5,678,689 5,462, , ,679,338 5,462, , 증 )649 5,222,334 5,006, ,

2._인재육성형_중소기업_지정제도_운영요령.hwp

2015 년 SW 개발보안교육과정안내

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

Transcription:

2013 10 29

[ 별표 1]

[ 별표 2] 구분우수최우수 구축범위 정보보호관리체계범위를전사로구축하여야하며, 이때전사라함은법인단위 또는독립적의사결정이가능한사업조직단위를말함 운영기간 전사의범위로 1년이상정보보호관리체계운영하여야하며 1년은회계년도를 포함한기간을말함 구분우수최우수 전담조직 정보보호를위한전담조직은 IT조직, 운영조직등이해당사자로부터독립된조직 으로구성하고공식적으로직제를규정화 전담인력 정보보호전담인력은최근 1 년기준 정보기술부문의인력대비최소한평균 5% 이상유지하고 3 명이상으로구성 정보보호전담인력은최근 1 년기준 정보기술부문의인력대비최소한평균 7% 이상유지 예산 정보보호예산은최근 3년평균정보기술부문예산대비전년도정보보호예산집행실적및당해년도정보보호예산의비율을각각최소 7% 이상유지 정보보호예산은최근 3년평균정보기술부문예산대비전년도정보보호예산집행실적및당해년도정보보호예산의비율을각각최소 10% 이상유지 정보보호 현황공개 다음을포함한정보보호활동내용을매사업연도종료후 1개월이내에홈페이지공시하며변경사항발생시상시업데이트 - 이용자정보보호를위한활동 - 정보보호최고책임자의역할및책임 - 정보보호관련인증현황

분야항목우수최우수 1. 정보보호정책수립및범위설정 1.1 정보보호 정책의수립 임직원의정보보호실행력을높이기위하여정보보호선언문등최고 경영자의지를표명한활동수행 2. 경영진 책임및 조직구성 2.1 경영진 참여 최고경영자에게보고가필요한정보보호관련의사결정사항을정의하고분기별 1회이상정기적인보고를수행 최고경영자에게보고가필요한정보보호관련의사결정사항을정의하고월 1회이상정기적인보고를수행 3.1 위험관리 다음의주기로위험관리수행 방법및 - 반기별 1 회이상수행 실시간위험분석을위한체계 계획수립 - 조직환경 ( 신규서비스출시등 ) 의 수립 변화발생시 3. 위험관리 3.2 위험식별 및평가 위험관리방법, 위험관리이력등을전담인력이지속적으로수행, 관리할수있는절차를수립하여운영 - 기업환경에적합한관리적 / 기술적 / 법적위험분석방법론적용 - 시나리오기반위험분석수행 - 식별된위험은위험평가회의를거쳐조직적대응 4. 정보보호 대책구현 4.1 정보보호대책의효과적구현 정보보호최고책임자에게다음을포함하는정보보호대책이행의시행결과를분기별 1회이상정기적으로보고 - 계획대비진척도 - 정보보호수준향상정도 - 잔존위험여부 - 이행목표관리방안등 분기별 1 회이상정기적으로정보 월 1 회이상정기적으로정보보호 보호관련법령, 보안동향이포함된 관련법령, 보안동향이포함된 5. 사후관리 5.1 법적요구 사항준수검토 보고서를발간하고정보보호전담부서, 정보시스템관련부서와정보 보고서를발간하고정보보호전담부서, 정보시스템관련부서와 보호최고책임자를포함하는경 정보보호최고책임자를포함하는 영진과공유 경영진과공유

법적요구사항준수여부검토시법률적지식이있는전문인력 ( 변호사, 법무팀담당자등 ) 을포함 5.2 정보보호관리체계운영현황관리 반기별 1회이상정보보호관리체계의제반운영현황을주기적으로검토하고발견된문제점과개선안등의효과성검토결과를정보보호최고책임자에게보고및개선 분기별 1회이상정보보호관리체계의제반운영현황을주기적으로검토하고발견된문제점과개선안등의효과성검토결과를정보보호최고책임자에게보고및개선 5.3 내부감사 정보보호관리체계내부감사를독립적으로수행할수있는특별팀 (TFT) 을구성하여수행하고그결과에따른보안조치계획수립및이행 정보보호전담조직과독립된감사조직 ( 감사팀등 ) 이정보보호관리체계감사를수행하고그결과에따른보안조치계획수립및이행 분야항목우수최우수 1.1 정책의 승인및공표 다음을포함한정보보호정책의검토및승인을위한공식적인절차를수립하고전자결재방식등의승인이력유지 - 정보보호정책및그시행문서의제 개정시관련부서장이정보보호정책내용에동의 ( 서명 ) - 정보보호정책및그시행문서의제 개정시에법적준거성검토를수행 1. 정보보호 정책 정보보호정책의제 개정내용은최고책임자 (CEO) 가전직원을대상으로 공표 1.2 정책의 유지관리 정보보보정책및정책시행문서검토계획을수립및이행 - 정책검토계획은매년최소 1회이상모든지침이검토될수있는수준으로수립하여야함 - 위험평가, 내부감사시에정책및시행문서에대한제 개정검토 2. 정보보호 조직 2.1 조직체계 정보보호최고책임자는회사의업무 ( 예산, 인력등 ) 를집행할권한이 있는이사또는임원급으로정보보호관련경력및자격을갖추도록 인사정책에규정하고공식적으로임명

정보보호전담조직의구성원중 80% 이상정보보호관련자격증을보유 (1인 1자격증기준, 개인정보보호자격증포함 ) 정보보호전담조직의실무부서장에대한경력및자격기준을인사정책에규정하여시행 - 정보보호경력 5년이상또는정보보호관련자격증보유 정보보호최고책임자를포함하여구성된정보보호위원회를분기 1회이상개최하고그업무를다음을포함하여구체적으로명문화 - 정보보호지표현황 - 최신정보보호이슈검토 - 내부진단 / 감사결과 - 정보보호계획추진실적 - 정보보호투자사항 - 정보보호정책 / 지침변경 정보보호위원회를월 1 회이상개최 정보보호활동을수행하는담당자로구성된실무협의회를월 1 회이상 운영하여정보보호관련주요현안에대해부서간합의를도출하고 의사결정이필요한사항은정보보호위원회로상정 2.2 역할과 책임 정보보호관련담당자의성과평가항목에정보보호관련항목포함 3.1 보안 요구사항 정의 외부자계약시다음을포함하는외부자보안준수요구사항을정의한별도의절차를지침등의정책으로수립 - 외부자계약시외부자보안요구사항의적정성과충분성에대해보안담당자가검토하는절차 - 외부자계약시보안요구사항위반에따른벌칙사항 3. 외부자 보안 3.2 외부자 보안이행 외부자에대한보안점검을위해정기적으로또는계약만료전에보안이행점검을수행하고이의결과를기록유지및보고 - 1년이상기간의계약의경우 : 외부자자체보안점검월 1회, 외부자보안이행감사및보고연 1회 - 1년이하기간의계약의경우 : 외부자자체보안점검월 1회, 외부자보안이행감사및보고계약만료전 1회 - 1개월이하의계약의경우 : 외부자자체보안점검, 외부자보안이행감사및보고계약만료전각 1회

4. 정보자산분류 4.1 정보자산 식별및책임 정보자산의식별, 구성변경등을지속적으로현행화하여관리할수있도록자동화된자산관리시스템을통하여관리 - 정보자산목록실시간현황유지, 구성정보, 위치, 보안등급등을관리 - RFID 또는바코드시스템등을활용 - 법률상보호조치가의무화되는정보자산을별도식별 소프트웨어자산 ( 응용프로그램, 패키지등 ), 데이터자산관리할수있는체계수립 - 소프트웨어자산 : 저작권, 변경관리등 - 데이터자산 : 데이터흐름중심관리등 정보자산의최신성유지및보안등급재검토를위해정보자산실사를 반기별 1 회수행 4.2 정보자산 의분류및 취급 문서자산 ( 전자문서포함 ) 유출방지를위한보안조치적용 - 암호화, 워터마킹 - 네트워크를통한문서유출방지를위한자동화된시스템운영 정보유출통제시스템우회경로를 식별하고대응방안수립 1 년동안의정보보호종합교육계획 ( 대상, 교과등을구분 ) 을별도수립 하여정보보호최고책임자에게보고 5.1 교육 프로그램 수립 정보보호직무자 ( 개인정보포함 ) 에대하여일반교육과차별화된직무별정보보호전문교육을수행 - 정보보호직무자 : 연 40시간이상 - 정보기술 (IT) 직무자 : 연 8시간이상 5. 정보보호 교육 정보보호인식제고를위하여소책자, 캠페인, 포스터, 보안의날지정, 뉴스레터제작등다양한인식제고방안수행 5.2 교육시행 및평가 전직원대상의정보보호인식교육을반기1회이상시행 정보보호교육시행결과를정보보호최고책임자에보고 온라인교육시스템을통해상시교육체계를운영 정보보호교육참여에대하여팀또는개인의성과평가에반영 6. 인적보안 6.1 정보보호 책임 반기 1 회이상주요직무자현황 ( 변경추이포함 ) 을파악하여정보보호 최고책임자에게보고

6.2 인사규정 퇴직및직무변경정보가인사, 정보시스템, 정보보호부서와공유되어지체없이정보시스템접근권한을회수할수있는체계마련 퇴직및직무변경정보가인사, 정보시스템, 정보보호부서와공유되어지체없이정보시스템접근권한을회수할수있는자동화된시스템마련 전임직원이준수하여야하는정보보호책임과의무를인사평가항목에 반영하여평가시행 7.1 물리적 보호구역 정보시스템이위치하는통제구역 출입통로는우회경로가없도록설정 주출입구외부에접견구역, 물품 입 / 출하구역을설치하여내부진입이 불필요한인원, 자산을통제 무정전전원장치 (UPS), 비상발전기등의용량이 3개월간평균순간사용전력의 130% 에해당하는전력을최소 20분이상공급 자동화시스템을통해보호구역 내온습도, 화재, 수해, 전압등을 모니터링하고대응 보호설비에대한상태를주기적으로점검하고점검결과를월 1 회책임자 에게보고 정전에대비하여반기 1 회이상의 비상발전기무부하테스트를수행 정전에대비하여연 1 회이상의 비상발전기부하테스트, 월 1 회 이상의무부하테스트를수행 7. 물리적 보안 7.2 시스템 보호 주요설비, 시스템이위치한보호구역내출입자, 주요자산이동상황을모니터링할수있도록 CCTV를설치하고, 영상을저장관리 CCTV 영상기록의식별가능한수준 - 실내 : 30만화소이상 - 실외 : 저조도환경대응기능및 100 만화소이상으로주 / 야간영상을모두보관 비정상행위발생시자동경보할수있는시스템을구축하여, 관리자가즉각적인인지및대응이가능 - 발생위치, 로그, 사용자정보, 영상정보등 모든보호구역에는단순잠금장치 ( 자물쇠 ) 가아닌시스템적으로출입 로그를남길수있는잠금장치 ( 지문인식, 카드리더기등 ) 를설치 출입자현황과권한적정성을월 1회이상검토 - 출입통제시스템출입자권한 - 출입통제시스템출입이력 - 임시방문자현황 - CCTV 이상징후 출입자현황과권한적정성을주 1 회이상검토

개인 PC의설정을시스템적으로관리 - 주기적인패스워드변경관리 - 자동화면보호기설정 - 백신설치등 7.3 사무실 보안 업무환경에대한정보보호준수사항매월 1 회점검 공용 PC, 파일서버사용시사용자별사용이력을확인할수있도록 자동로그기록등을통한책임추적성확보 프린터사용에따른출력물통제 - 워터마크, 출력기록관리등 프린터사용에따른출력물통제 - 워터마크, 출력기록관리, 출력물 본인외수령금지등 8.1 분석및 설계보안관 리 시스템개발 / 변경시사전영향 평가를통해보안요구사항을도출 하고설계에반영 시스템개발 / 변경시보안요구사항을 검토, 승인하는절차를업무프 로세스에시스템화하여반영 자동화된소스점검도구를통해코딩표준및안전한코딩방법준수 여부를구현단계에서점검 시험단계에서개발조직이외의조직이취약점점검도구또는모의진 단을통해기술적보안취약점을점검 8. 시스템 개발보안 8.2 구현및 이관보안 개발, 시험, 운영을위한정보시스템은상호네트워크분리 정보시스템개발관련문서 ( 계획서, 요구사항, 설계서, 각종도식자료등 ) 및소스프로그램의현황 ( 상태 ), 변경이력을통제 관리하는형상관리시스템을구축및운용 운영데이터의복제와사용에대한모니터링을매일수행하고결과를 정보보호책임자에게보고 8.3 외주개발 보안 외주개발업체가정보시스템개발시준수해야할보안요구사항을 SLA(Service Level Agreement) 의형태로협의 외주개발업체가정보시스템개발시준수해야할보안요구사항을 SLA(Service Level Agreement) 의형태로협의하고준수기준을계량화하여개발완료된정보시스템의인수시에활용 9. 암호통제 9.1 암호정책 법적요구사항이외에도비밀정보등의중요정보를명확히정의하고 저장, 전송시에암호화방법을별도의절차로수립하여시행

9.2 암호키 관리 암호화함수와키를분리하여보관 키관리시스템을통하여암호키 생성, 이용, 폐기관리를수행 10.1 접근권한 관리 자동화된계정 / 접근권한관리시 인사시스템에등록되어있지않은스템의구현을통해정보시스템의협력회사, 임시직등외부사용자에접근권한을통합적으로등록 변대해서도자동화된계정 / 권한등경 삭제하고실시간으로정보시록 변경 삭제가가능하도록시스스템사용현황을모니터링템구현 주기적으로정보시스템권한 ( 메뉴별혹은개인별 ) 에대한적정성검토수행 - 일반권한 : 분기별 1회 - 관리자및특수권한 : 매월 1회 10.2 사용자 인증및식별 정보시스템의사용자인증을위해접근제어시스템을구축하고패스 워드인증이외에추가적인인증방식을적용 중요정보 ( 개인정보포함 ) 를취급하는 DB 서버의경우일반서버와네 트워크분리 10. 접근통제 개인정보를포함한중요한정보가저장되어있는데이터베이스의경우, 테이블단위로접근권한을부여 10.3 접근통제 영역관리 데이터베이스관리자의권한범위를정의하고그활동에대해월 1회이상검토 업무용도의모바일기기 ( 스마트폰, 태블릿PC 등 ) 에대하여사전에등록하고관리할수있는절차를마련하고시행 데이터베이스관리자의권한범위를정의하고그활동에대해주 1회이상검토 업무용도의모바일기기통제프로그램을이용하여모바일기기 ( 스마트폰, 태블릿PC 등 ) 에대한통제 모든임직원에대하여유해사이트로의인터넷접속을차단하고접속 현황을로깅 개인정보취급자및주요권한자 ( 서버및데이터베이스운영자 / 관리자, 개발자등 ) 의 PC에대한인터넷접속을차단 인터넷차단PC와인터넷 PC와의직접적인자료전송은원칙적으로금지하고자료연계를위한시스템을이용하는경우임계치를설정하고주기적모니터링수행 정보시스템자산의계획 ( 자산공 11. 운영보안 11.1 운영절차 및변경관리 정보시스템운영절차 ( 또는매뉴얼 ) 내용을반기별최소 1회이상점검하고필요시업데이트 급 / 변경계획 ), 도입 ( 구매요청, 오더, 수령, 설치 ), 운영 ( 자산추적, 보고, 실사 ), 폐기 ( 매각, 분실, 폐기, 기부 ) 의전과정을자동화된 시스템을통해관리

정보시스템인수시, 인수기준적합여부테스트 ( 보안성검토를포함 ) 의 책임자를지정하고테스트결과에대해정보보호최고책임자의승인 방화벽정책의등록 변경 삭제는공식적인보안절차에따라시스템을통해이루어지고상시이력조회가능 접근제어목록을기반으로하는모든시스템의정책의등록 변경 삭제는공식적인보안절차에따라시스템을통해이루어지고상시이력조회가능 보안시스템정책의타당성및적정성여부, 정책변경이력에대한검토를 매월최소 1 회이상수행하고검토결과를책임자에게보고 자주발생하는장애에대한이력을관리하는시스템을활용하여유사한장애의재발방지를위해활용 심각도가최고등급인장애의경우정보보호최고책임자및최고경영자가실시간으로확인할수있는방법 (SMS, e-mail 등 ) 을마련하고대쉬보드등을통해상세한장애현황을제공 11.2 시스템및서비스운영보안 내부네트워크접근을위해가상사설망 (VPN) 사용시, 사용자인증방 법으로패스워드인증방식이외에추가적인인증방식 ( 공인인증서, OTP 등 ) 을사용 가상사설망 (VPN) 을통한정보시스템접근시접속단말 (PC, 노트북등 ) 의 보안수준설정 - 개인방화벽사용, 인터넷차단, 다운로드제한등 통제구역에서내 외부무선 AP 를 통한비인가된무선네트워크접근을 통제 통제구역내에서승인되지않은 모든무선접속 ( 테더링, Wibro, 핫 스팟등 ) 을통제 공개서버내개인정보등중요정보노출여부를월 1회이상점검하고정보보호책임자에보고 공개서버내개인정보등중요 정보노출여부를상시점검할 수있는시스템을운영 백업대상별백업복구목표시간 (RTO, Recovery Time Objective) 과복구목표시점 (RPO, Recovery Point Objective) 을정의하고백업복구목표시간이적정한지여부를확인하기위해주요시스템등을대상으로연 1회이상복구테스트를수행

주기적으로취약점점검과모의침투테스트를수행하고그결과를정보보호최고책임자에게보고 - 취약점점검 ( 분기 1회이상, 전수점검은반기 1회이상 ) - 취약점점검결과조치율 98% 이상 - 모의침투테스트 ( 반기 1회이상 ) - 웹취약점점검시 OWASP TOP 10 항목모두포함 주기적으로취약점점검과모의침투테스트를수행하고그결과를정보보호최고책임자에게보고 - 취약점점검 ( 격월수행, 전수점검은반기 1회이상 ) - 취약점점검결과조치율 98% 이상 - 모의침투테스트 ( 분기 1회이상 ) 11.3 전자거래 및정보전송 보안 타기관또는기업과의정보전송시보안요구사항을정의하고그준수 여부를분기별 1 회이상점검하고발견된문제점에대해서는즉시보안 대책을마련하여적용 11.4 매체 보안 저장매체통제시스템을통해주요직무자 PC의저장매체사용을통제하고그사용내역을기록및모니터링 - 주요직무자 PC에서외장형하드디스크, CD 및 DVD 사용을금지 하드디스크암호화, 가상장치인터페이스 (VDI) 등을통해하드웨어분리와같은매체통제우회시도를원천적으로차단할수있는체계적용 저장매체사용로그를월 1 회이상점검하고결과를정보보호책임자 에게보고 11.5 악성코드 관리 업무용 PC, 중요정보시스템및정보보호시스템에대하여악성코드탐지를실시간으로확인할수있는시스템을구축 - 백신프로그램임의삭제및설정변경금지 - 백신미설치자의업무용네트워크접근을차단 신종악성코드에대한신속한탐지및대응체계구축 - APT(Advanced Persistent Threats) 공격대응체계 - 좀비PC 탐지 - 이상트래픽분석등 중앙백신서버를통해자동백신엔진업데이트 ( 무결성확인포함 ) 및 악성코드존재여부를월 1 회이상점검하고정보보호최고책임자에게 보고 11.6 로그관리 및모니터링 시각동기화서버구축을통해모든정보시스템및정보보호시스템의 시각을표준시각으로동기화

중앙집중식로그수집시스템을통해정보보호관리체계범위내주요정보시스템및정보보호시스템에대한로그를수집및관리 통합모니터링시스템을구축하고 24시간모니터링을운영하여주요정보시스템및정보보호시스템에대한비정상적인접근등의이상징후를탐지하고보고체계를유지하여신속히대응 수집된로그를상시분석할수있는시스템을운영하고로그의무결성을보장하는기능포함 - 타임스템프, 로그위변조방지기능 (WORM 디스크 ) 등 사용자부터네트워크관문까지의모든로그 ( 빅데이터 ) 의분석능력확보하여 IT 시스템에대한실시간보안위협모니터링을통해위협을탐지하고차단 - 네트워크기반보안장비로그, 서버와개인 PC내설치된각종보안 S/W 로그등을실시간수집및분석 - 다양한시나리오에따른외부침해및내부정보유출행위등을탐지 정보시스템침해시도관련이상징후탐지시담당자및책임자에게즉시알릴수있는체계 ( 알람, SMS등 ) 를갖추고즉시대응 전담인력을활용하여침해시도 이상징후를 24 시간모니터링 침해시도모니터링을위한전담 조직구성 전담조직내침해시도모니터링 인력과침해분석및대응인력 으로구성 12.1 절차 및체계 조직내침해사고대응조직 (CERT, Computer Emergency Response Team) 을구축 12. 침해사고 관리 12.2 대응 및복구 침해사고대응훈련은반기 1회이상실시하여야하며훈련결과를정보보호최고책임자및최고경영자에게보고 - 침해사고훈련시침해사고유형별 ( 예 : APT, 해킹, 개인정보유출등 ) 로시나리오를작성하고훈련을수행 - 침해사고대응과관련된모든조직 ( 정보보호, IT운영및개발부서, 홍보, 법무, 총무등 ) 이참여 침해사고의분석및법적증거능력 확보를위한포렌식절차와방법을 수립

13.1 체계구축 업무영향분석 (BIA) 을통해정보자산범위를명확히하고그결과에따른복구목표시간과대책을구체적으로정의 IT 재해발생시대응을위한재해복구시설확보 - 하드웨어, 전력, 네트워크등의시설을갖추고복구목표시점에따른복구수행 13. IT 재해 복구 13.2 대책구현 핵심 IT 서비스및시스템의복구목표시간을만족하는지여부를확인하는시험을주기적으로수행 - 모의훈련수준으로반기 1회이상 현장조치대응능력을평가하기위한실수준의 IT재해복구훈련을연 1회이상수행

[ 별표 3] < 최우수 > < 우수 >

[ 별지제 1 호서식 ] [ ] 에는해당되는곳에 표를하고, 어두운부분은신청인이작성하지않습니다. 접수번호접수일자발급일처리기간 신청인 업체명 주소 대표자 사업자등록번호 전화번호 심사구분 [ ] 등급심사 [ ]1 년이내재심사 [ ] 변경심사 정보보호관리등급의범위 정보보호관리체계인증 정보보호관리체계전사운영 정보보호관리등급심사이력 정보보호관리체계인증부여동의 범위 : 범위에포함된정보시스템수 ( 보안장비, 네트워크장비포함 ) : 범위에포함된인원수 ( 외주인력포함 ) : 인증유지기간 :.. ~.. 인증기관 : 인증범위 : 전사운영기간 :.. ~.. 인증기관 : 전사범위 : 기간 :.. ~.. 등급 : 기간 :.. ~.. 등급 : 한국인터넷진흥원은신청인에대한정보보호관리등급심사결과가 정보통신망이용촉진및정보보호등에관한법률 제 47 조에따른정보보호관리체계인증기준에부합하다고인정되는경우에는정보보호관리체계인증을부여할수있습니다. 이에동의한경우에는정보보호관리체계인증에따른법적준수사항을이행하여야합니다. [ ] 동의합니다. [ ] 동의하지않습니다. 정보통신망이용촉진및정보보호등에관한법률 제 47 조의 5 및같은법시행령제 55 조의 3 에 따라위와같이정보보호관리등급심사를신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 한국인터넷진흥원귀중 제출서류 1. 정보보호관리체계인증서사본 1 부 2. 정보보호관리체계인증유지확인서 1 부 3. 정보보호관리등급내역서 1 부 210mm 297mm[ 백상지 (80g/ m2 )]

[ 별지제 2 호서식 ] 제 호 성명 : 생년월일 :.. 유효기간 : 귀하를 정보통신망이용촉진및정보보호등에관한법률 제 47 조의 5, 같은법시행령 제 55 조의 3 에따라위와같이정보보호관리등급심사원자격을부여합니다. 년월일 한국인터넷진흥원장 직인 정보보호관리체계인증심사원자격취소시자동으로정보보호관리등급심사원자격이취소됩니다. 210mm 297mm[ 백상지 (120g/ m2 )]

[ 별지제 3 호서식 ] ( 제 1 쪽 ) 발급번호 : 업체명 : 대표자 : 주소 : 범위 : 유효기간 : 등급 : 정보통신망이용촉진및정보보호등에관한법률 제 47 조의 5 에의하여위와같이정보보호관리등 급을증명합니다. 년월일 한국인터넷진흥원장 직인 정보통신망이용촉진및정보보호등에관한법률 제47조제4항에따라정보보호관리등급을받은경우그유효기간동안정보보호관리체계인증을받은것으로인정합니다. 정보보호관리등급심사결과에영향을미칠만한변경이발생하고도 30일이내에정보보호관리등급변경내역서를제출하지않으면 30일이경과한날부터정보보호관리등급을취소한것으로간주합니다. 210mm 297mm[ 백상지 (120g/ m2 )]

( 제 2 쪽 ) Certificate Number : Name of Organization : Name of Representative : Address : Scope of Certification : Period of Validity : Grade : This is to certify that the abovementioned organization is Information Security Management Grade with the above stated grade in accordance with Article 47-5 of Act on Information Network Utilization and Data Protection, etc.. Date of Issuance : Signed by the President of Korea Internet & Security Agency 210mm 297mm[ 백상지 (120g/ m2 )]

[ 별지제 4 호서식 ] 색상이어두운곳은신청인이적지않습니다. 접수번호접수일자발급일처리기간 업체명 사업자등록번호 주소 전화번호 신청기관 범위 등급 대표자 변경내역 위와같이정보보호관리등급변경내역을제출합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 한국인터넷진흥원 귀중 제출서류정보보호관리등급내역서 1 부 210mm 297mm[ 백상지 (80g/ m2 )]

[ 별지제 5 호서식 ] 색상이어두운곳은신청인이적지않습니다. 접수번호접수일자발급일처리기간 업체명 사업자등록번호 주소 전화번호 신청인 범위 등급 대표자 추가발급사유 / 변경내역 위와같이정보보호관리등급증명서의추가 / 변경발급을신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 한국인터넷진흥원 귀중 제출서류해당없음 210mm 297mm[ 백상지 (80g/ m2 )]

2024 © docsplayer.org 개인정보보호 | 약관 | 지원