중소기업의 기술보호를 위한 세부 보안통제 실행 지침서 보안경영관리체제의 국제표준인 ISO/IEC 27001 부록A의 39개 통제영역과 133개의 통제 항목에 대한 세부 보안통제 실행 지침서
제 출 문 지식경제부 장관 귀하 2010. 12. 14. 본 보고서를 중소기업의 기술보호를 위한 세부 보안통제 실행 가이드라인 개발 에 관한 정책연구의 최종보고서로 제출합니다. 연구수행기관:주식회사이오컨설팅 참여연구진: 총괄책임자:박주석(이오컨설팅) 연구원성낙범(이오컨설팅) 연구원성기창(이오컨설팅)
목차제1장서론 제1절연구배경...10 제2절연구목적및내용...16 1. 2. 3. 중소기업기술보호사고현황...10 1. 중소기업기술보호실태와장벽...12 2. 국내 외기술보호지침현황...16 중소기업기술보호전략...15 제2장보안통제관련국내 외표준및지침 제3절국내표준및지침...20 보안통제실행지침개발방안...17 1. 2. 정보보호관리체계인증제도(K-ISMS) 산업기술보호지침...22 전자정부정보보호관리체계(G-ISMS)...20 제4절국외표준및지침...32 3. 4. 중소기업기술유출대응매뉴얼...27 중소기업을위한ISMS 가이드라인...30...25 2. 1. IT서비스관리국제표준(ISO/IEC ISMS국제표준(ISO/IEC 27000 패밀리) 20000)...32 제5절보안국제표준발전동향...37 3. 4. 국제정보시스템감사통제협회표준(CoBIT) 시스템보안공학성숙도모델(SSE-CMM)...34...36...35 제3장보안통제실행지침개요 제6절보안통제실행지침개요...40 제7절보안통제실행지침의실무활용...46 1. 2. 1. 국제표준과보안통제항목...40 보안통제실행지침구조...44 3. 2. 4. 보안통제수준진단 시활용방안...46 보안관리체계수립 시활용방안...48 보안위험관리 시활용방안...47 제4장관리적보안통제실행지침 제8절보안정책...52 보안관리교육및훈련 시활용방안...49 제10절자산관리...68 제9절보안조직...55 1. 2. 1. 내부조직...55 외부조직...64 제11절인적자원보안...75 1. 2. 자산에대한책임...68 2. 고용이전...75 고용중...79 정보분류...72 3. 고용종료및변경...83 제12절보안사고관리...87 중소기업의기술보호를위한 1. 보안사건과취약점보고...87 세부보안통제실행지침서 제13절사업연속성관리...95 제14절준거성...101 2. 1. 2. 보안사고및개선관리...90 법적요구사항과의준거성...101 제5장물리적보안통제실행지침 3. 보안정책과표준준거성, 정보시스템감사고려사항...111 기술적준거성...108 제15절물리적 환경적보안...116 제6장기술적보안통제실행지침 1. 2. 보안지역...116 제16절통신및운영관리...132 장비보안...123 1. 2. 운영절차와책임...133 6. 3. 4. 제3자서비스인도관리...137 7. 5. 시스템계획및인수...141 8. 네트워크보안관리...149 매체취급...152 악성코드와이동코드로부터보호...144 9. 정보의교환...157 전자상거래서비스...163 백업...147 제17절접근통제...174 10. 1. 2. 3. 접근통제를위한사업요구사항...174 사용자접근관리...176 사용자책임...181 감시...167 제18절정보시스템획득, 4. 5. 6. 7. 네트워크접근통제...185 1. 운영시스템접근통제...193 2. 어플리케이션정보접근통제...200 3. 이동컴퓨팅및원격근무...203 4. 정보시스템의보안요구사항...206 어플리케이션의정확한처리...208 암호통제...214 시스템파일의보안...217 개발및유지보수...206 부록1. 부록2. 5. 6. 보안통제용어해설...232 개발및지원프로세스에서의보안...221 부록3. 보안통제관련국내법규현황...242 [사례] 기술적취약점관리...227 보안관리매뉴얼...247 3
통제영역 통제항목 세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 A.5 보안정책 A.5.1 정보보안정책 A.5.1.2 A.5.1.1 정보보안정책문서 페이지 A.6.1.1 정보보안정책의검토 53 54 A.6 보안조직 A.6.1 A.6.1.2 정보보안경영자실행의지 정보보안조정 57 56 내부조직 A.6.1.3 A.6.1.4 A.6.1.5 정보보안책임배정 정보처리설비인가프로세스 58 A.6.1.6 기밀성협정 59 A.6.1.7 관련기관접촉 전문기관접촉 61 62 60 A.6.2 외부조직 A.6.1.8 A.6.2.1 A.6.2.2 정보보안의독립적검토 외부조직과관련된위험식별 63 A.6.2.3 고객과거래시보안 제3자보안협정 65 66 A.7 67 자산관리 A.7.1 자산에대한책임 A.7.1.2 A.7.1.1 자산의소유권 자산의목록 69 A.7.1.3 자산의수용가능한사용 70 71 A.8.1 A.7.2 정보분류 A.7.2.1 A.7.2.2 정보표시및취급 분류지침 74 73 A.8 고용이전 A.8.1.1 A.8.1.2 역할과책임 76 인적자원 A.8.1.3 선발 고용약정및조건 77 78 보안 A.8.2 고용중 A.8.2.1 A.8.2.2 A.8.2.3 경영자책임 정보보안인식, 징계프로세스교육, 훈련 81 82 80 A.8.3 고용종료및변경 A.8.3.1 A.8.3.2 A.8.3.3 책임종료 자산반환 접근권한의제거 84 85 86 A.9 물리적, 환경적 보안 A.9.1 A.9.1.1물리적보안경계 117 보안지역 A.9.1.2물리적출입통제 A.9.1.3 A.9.1.4 사무실, 방, 설비보호 118 A.9.1.5 외부와환경적위협보호 보안지역에서의업무 119 120 A.9.2 A.9.1.6 공개적접근, 인도및선적지역 122 121 장비보안 A.9.2.1장비장소와보호 A.9.2.2지원유틸리티 124 125 목차 (ISO/IEC 27001 부록 A 통제항목 기준) 4
통제영역 통제항목 세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 A.9 물리적, 페이지 환경적 보안 A.9.2 장비보안 A.9.2.3케이블링보안 A.9.2.4장비유지보수 A.9.2.5건물외부의장비보안 126 A.9.2.6장비의안전한처분또는재사용 127 A.9.2.7자산의반출 128 129 A.10.1 운영상절차와책임 A.10.1.2 A.10.1.1 문서화된운영절차 130 A.10.1.3 변경관리 직무분리 134 135 133 A.10.2 제3의서비스인도 관리 A.10.1.4 A.10.2.1 A.10.2.2 개발, 서비스인도 제3자서비스감시및검토 시험, 운영설비의분리 136 138 A.10.3 시스템계획및인수 A.10.2.3 A.10.3.1 제3자서비스변경관리 용량관리 139 140 A.10.4 코드로부터의보호 악성및이동 A.10.3.2 A.10.4.1 시스템인수 악성코드에대한통제 142 143 A.10.5 A.10.4.2 이동코드에대한통제 145 백업 A.10.6.1 A.10.5.1 네트워크통제 정보백업 150 146 148 A.10 A.10.6 통신및운영 네트워크보안관리 A.10.6.2 네트워크서비스의보안 151 관리 A.10.7 매체취급 A.10.7.1 A.10.7.2 A.10.7.3 삭제가능한매체의관리 매체폐기 153 A.10.7.4 정보취급절차 시스템문서의보안 154 155 A.10.8 156 정보의교환 A.10.8.1 A.10.8.2 A.10.8.3 정보교환정책과절차 교환협정 158 A.10.8.4 전송중물리적매체 전자메시징 159 160 A.10.9 A.10.8.5 업무정보시스템 161 전자상거래서비스 A.10.9.1 A.10.9.2 전자상거래 162 A.10.9.3 온라인거래 공개가용정보 164 165 166 A.10.10 감시 A.10.10.1 A.10.10.2 A.10.10.3 감사로깅 시스템사용감시 168 A.10.10.4 로그정보의보호 169 A.10.10.5 관리자와운영자로그 170 A.10.10.6 결점로깅 시각동기화 172 173 171 목차 (ISO/IEC 27001 부록 A 통제항목 기준) 5
통제영역 통제항목 세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 A.11.1 페이지 A.11.2 접근통제사업요구사항 A.11.1.1 접근통제정책 175 사용자접근관리 A.11.2.3 A.11.2.2 A.11.2.1 사용자패스워드관리 권한관리 사용자등록 178 179 177 A.11.3 사용자책임 A.11.2.4 A.11.3.1 사용자접근권한검토 패스워드사용 180 182 A.11.4.1 A.11.3.2 A.11.3.3 네트워크서비스사용정책 보호되지않은사용자장비 책상및화면정리정책 186 184 183 A.11 접근통제 A.11.4 네트워크접근통제 A.11.4.4 A.11.4.2 A.11.4.3 원격진단과구성포트보호 외부접속에대한사용자인증 네트워크에서의장비식별 188 189 187 A.11.4.7 A.11.4.5 A.11.4.6 네트워크라우팅통제 네트워크에서의분리 네트워크접속통제 191 192 190 A.11.5 A.11.5.1 안전한로그온절차 194 운영시스템접근통제 A.11.5.4 A.11.5.2 A.11.5.3 시스템유틸리티의사용 사용자식별및인증 패스워드관리시스템 197 196 195 A.11.6 A.11.5.6 A.11.5.5 접속시간의제한 세션시간종료 198 정보접근통제 어플리케이션과 A.11.6.1 정보접근제한 199 A.11.7 A.11.6.2 민감한시스템분리 201 이동컴퓨팅및원격근무 A.11.7.1 A.11.7.2 이동컴퓨팅및통신 원격근무 202 204 205 A.12 정보시스템획득, A.12.1 정보시스템 개발및유지 A.12.2 보안요구사항 A.12.1.1 보안요구사항분석및명세화 207 어플리케이션의정확한처리 A.12.2.1 A.12.2.2 A.12.2.3 입력데이터유효성확인 내부처리의통제 209 A.12.2.4 메시지무결성 출력데이터유효성확인 210 212 213 목차 (ISO/IEC 27001 부록 A 통제항목 기준) 6
통제영역 통제항목 세부통제항목중소기업의기술보호를위한 세부보안통제실행지침서 A.12.3 암호통제 A.12.3.1 암호통제사용에대한정책 페이지 215 A.12 정보시스템 A.12.4 A.12.3.2 키관리 216 획득, 유지개발및 시스템파일의보안 A.12.4.1 A.12.4.2 A.12.4.3 운영소프트웨어의통제 시스템시험데이터보호 프로그램소스코드접근통제 218 219 220 A.12.5 개발및지원프로세스에서의 A.12.5.1 변경통제절차 222 보안 어플리케이션기술적검토 A.12.5.2 A.12.5.3 운영시스템변경후 A.12.5.4 소프트웨어패키지변경제한 정보유출 223 224 A.12.6 기술적취약성관리 A.12.5.5 A.12.6.1 외주소프트웨어개발 기술적취약성의통제 225 226 A.13 228 정보보안 사고관리 A.13.2 A.13.1 취약점보고 정보보안사건과 A.13.1.1 A.13.1.2 정보보안사건보고 보안취약점보고 88 정보보안사고와 89 개선의관리 A.13.2.1 A.13.2.2 A.13.2.3 책임과절차 정보보안사고로부터의학습 증거수집 91 92 93 A.14 사업 연속성 관리 A.14.1 A.14.1.1 사업연속성 정보보안을포함 사업연속성프로세스에 96 관리의정보보안관점 A.14.1.2 A.14.1.3 및이행사업연속성과위험평가 정보보안을포함한연속성계획개발 97 A.14.1.4 A.14.1.5 사업연속성계획수립프레임워크 사업연속성계획시험, 유지및재평가 100 98 99 A.15 A.15.1 A.15.1.1 적용가능한법률의식별 102 준거성 법적요구사항과의 준거성 A.15.1.2 A.15.1.3 A.15.1.4 지적재산권 조직의기록보호 103 A.15.1.5 개인정보프라이버시&데이터보호 104 A.15.1.6 정보처리설비오용의차단 암호통제의규제 105 106 준거성, A.15.2 보안정책과표준 기술적준거성 A.15.2.1 보안정책및표준과의준거성 107 A.15.3 A.15.2.2 기술적준거성점검 109 감사고려사항 정보시스템 A.15.3.1 A.15.3.2 정보시스템감사통제 정보보안감사도구보호 110 113 112 목차 (ISO/IEC 27001 부록 A 통제항목 기준) 7
제1장 서론 제1절 연구 배경 1. 중소기업 기술보호 사고 현황 2. 중소기업 기술보호 실태와 장벽 3. 중소기업 기술보호 전략 제2절 연구 목적 및 내용 1. 국내 외 기술보호 지침 현황 2. 보안통제실행지침 개발 방안
액이지속적으로증가 한국기업의기술수준이고도화됨에따라우리첨단기술에대한불법적인산업기술해외유출시도및예상피해 체계적이지못한기술보호에따른무분별한기술유출로매년엄청난국부손실발생 국가핵심기술등첨단산업기술은국가성장동력의핵심으로국제경쟁력제고에매우큰영향을끼치고있으나, 총203건임. 시도가41건으로전년(32건) 국가정보원산업기밀보호센터에서발간한자료에따르면, < 산업기술해외유출(적발기준) 특히, 08년미국 대비31% 發 금융위기로전세계가불황기로접어든 08년의경우산업기술유출 증가 건수> 04~ 08년간적발된산업기술유출시도는 제1절 연구 배경 1. 중소기업 기술보호 사고 현황 국내 산업 기술 유출 사고가 지속적으로 증가하고 있어 보안통제 강화 절실 [자료:국가정보원산업기밀보호센타] 화학,5)생명공학,6)기타순으로첨단산업과기술분야에집중되는것으로분석. 기술유출적발건수203건을유출주체별로분류한결과1)전직직원,2)현직직원,3)협력업체직원, 기술유출적발건수203건을산업별로분류한결과1)전기 전자,2)정보통신,3)정밀기계,4)정밀 4)유치과학자,5)투자업체,6)기타순으로전현직직원과협력업체직원에의한기술유출이92% 으며,전체약90%가매수와무단보관에따른것으로개인의보안의식에좌우되는것으로나타남. 기술유출유형별분석결과1)매수,2)무단보관,3)내부공모,4)공동연구,5)위장합작,6)기타순 에달해인적보안관리체제의허술함을보여주고있음. 타순이며,전체약80%가개인의이득을취할목적으로보안사고발생 기술유출동기별분석결과1)개인영리,2)금전유혹,3)처우불만,4)인사불만,5)비리연루,6)기 10
제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 중소기업의기술력이향상되는데반해, 산업기술보호를위한관리체계가대기업에비해상대적으로 1. 미흡한중소기업의기술유출심화 기술보호 사고 현황 - 04~ 09년산업기술유출시도는대기업이47건(29%)인반면, 중소기업에대한기술유출시도는103건(63%)으로2배가넘음 대비 기술보호 미흡으로 기술유출 2배 이상 발생 적발건수 구분< '04~'09년분야별산업기술해외유출사건적발건수(국정원산업기밀보호센터) 대기업 47 중소기업 103 기타 10 160 계> < 이전체기업의14.7%로업종별규모별로아래와같이분석됨. 중소기업청이2009년1,500개기업을대상으로조사한결과산업기밀을유출경험이있는중소기업 업종별산업기밀유출현황(중기청2009) > < 규모별산업기밀유출현황(중기청2009) > 적으로발생된기업이전체20.4%로분석됨. (우측그래프참조) 산업기술이유출된중소기업중3회이상반복 < 산업기밀유출횟수(중기청2009) > 산업기술유출1건당피해금액은10.2억으로 분석됨. 백비율임 (아래그래프참조) 막대그래프의%는매출액대비피해금 < 업종별산업기밀유출1건피해금액(중기청2009) > < 규모별산업기밀유출1건피해금액(중기청2009) > 11
제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 단위: 개, %) 고 부가가치 창출 혁신형 중소기업 의 기술보호 체계 강화 시급 2. 중소기업 기술보호 실태와 장벽 사업구분 2002 2003 2004 2005 2006(2008년말기준, 체수 전체 2,861,830 2,856,913 2,939,661 2,934,897 2,927,436 2,922,533 2,867,749 2,863,583 2,940,345 2,936,114 3,049,345 3,046,839 2007 3,046,958 3,044,169 2008 *자료:중소기업청,연도별사업체기초통계조사보고서가공및재편 비중 (99.8) (99.8) (99.8) (99.9) (99.9) (99.9) (99.9) [ 년도별 현황 ] 활동을통해일반기업보다높은부가가치를창출하는중소기업을말하는 혁신형중소기업 이있다. 이러한혁신형중소기업으로지정받은중소기업의경우,보호할가치가있는산업기술을보유하고있는것 으로보여지며,2008년말기준32,363개의중소기업이혁신형중소기업으로지정받았고전체중소기업의 그리고중소기업중에는이른바벤처기업,이노비즈기업,경영혁신기업을포괄하는개념으로기술 경영혁신 약1%를차지하고있는것으로나타났다. 1벤처기업 구분 2002 2003 2004 2005 2006 (2008년말기준, 2007 단위: 2008 개) 2Inno-biz 3경영혁신형 8,778 7,702 7,967 9,732 12,218 14,015 15,401 [ 계 1,8560 2,3750 2,7620 3,4540 7,183 2,619 11,526 6,510 14,626 11,324 중소기업 현황 10,634 ] 중복업체 1,134 10,077 1,519 10,729 1,890 13,186 2,455 22,020 5,006 32,051 7,650 41,351 합계(중복제외) 이노비즈기업: 벤처기업: 벤처금융기관이자기책임하에평가하여투자 보증 융자하는기업을지칭( 98년도입) 기술성위주의평가를통해기술경쟁력을검증받은기업( 01년도입) 9,500 8,558 8,839 10,731 17,014 24,401 32,363 8,988 * 경영혁신형기업: 자료: 중소기업청, 마케팅, 혁신형중소기업현황 인적자원관리등경영혁신분야에서탁월한기업( 06년도입) 대한조사결과에서는1독창적인기술이라는응답이 36.3%,2원가절감이나성능또는품질을현저하게 중소기업의중요산업기술(2008년지경부조사) 개선하는기술이라는응답이27.1%,3기술력향상과 중소기업의보유기술중가장중요한기술이무엇인가에 경쟁력강화에이바지할수있는기술이라는응답이 12.7%,41~3의산업기술을응용하거나활용하는 0.3% 기술이23.6%로나타났다. 기술력/ 12.7% 원가절감/품질개선 응용/활용기술 경쟁력 모름/무응답 강화 23.6% 27.1% 36.3% 독창적인 기술0.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0%40.0% 12
제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 구분(사례수) 중소기업의보안투자비용(2008년기준, (매출액대비비율) 전체 (매출액대비비율) 일반중소기업 중기청조사) 중소기업(1,500개) 2,079만원 (0.15%) 2,262만원 (0.12%) (매출액대비비율) 혁신형중소기업 1,971만원 (0.18%) 을보안비용에지출한기업1개사당평균2,079만 원으로매출액대비0.15%의비용을보안업무에투 2008년한해동안산업기밀보호를위해일정금액 자하였으며, < 중소기업(939) 구분(사례수) 산업기술보호업무담당직원보유여부> 의혁신형중소기업이매출액대비보안투자비율이 0.06% 일반중소기업보다벤처, 이노비즈등 30.5% 있음 69.5% 없음 그리고보안담당직원이있는지에대한설문에서는 높게나타났다. (중소기업1500개) 전담직원보유율 < 구분 산업기술보호전담직원보유기업비율> 전체 16% 중소기업 14.5% 일반 중소기업 혁신형 대기업등을포함한전체비율을보면37.2%가담당 직원이있었다. 30.5%의중소기업에서보안담당직원이있었으며, 그러나전체37.2% 중19.3%만이산 17% 보호교육을실시한사례가있는지에대한질문에서 업기술보호업무를전담하고있는것으로나타났다. 또한사내에서3년간임직원들을대상으로산업기술 평균전담직원수 < 최근3년간사내산업기술보호교육실시여부> 중소기업(939개) 구분(사례수) 1.34명 27.6% 있음1.56명 72.4% 없음 1.24명 않은것으로나타났다. 끝으로산업기술보호를위한기타의 는72.4%의대부분의중소기업에서교육을실시하지 개별적인활동에대해 조직및제도 와 보안감독체계 로구분하여조사한결과를 살펴보면, 강화되고있으나여전히개선의여지가 일부항목을제외하고는매년보안활동이 있음을알수있다. 연구노트 일지작성의항목등의 조직& 구분 2007 2008 2009 중소기업이자율적으로경제적인기술보호 활동을지원하기위한절실하다고할수있다 상기국내중소기업의여건을고려하여 제도 보안관리규정마련 < 중소기업의기술보호활동추이> 정기보안점검,감사 보안전담조직운영 35.3% 9.8% 6.6% 37.3% 12.3% 5.9% 38.2% 11.9% 6.1% 보안감독체계 경쟁업체취업금지서약 연구노트,일지작성 입사시비밀유지계약작성 퇴사시비밀유지및 35.8% 57.8% 48.0% 34.7% 58.2% 47.3% 33.3% 방문자출입통제 67.0% 64.6% 60.2% 거래업체에대한비밀유지 50.1% 계약 이동식저장매체보안관리 44.3% 37.9% 23.0% 69.1% 외부보안서비스업체활용 - - 41.1% 28.5% 39.2% 2. 중소기업 기술보호 실태와 장벽 중소기업의 여건을 고려한 기술보호 체계 강화 지원 활동 전개 필요 13
제1절 연구 배경 중소기업의기술보호를위한 세부보안통제실행지침서 구분(사례수) 중소기업의보안투자비용(2008년기준, (매출액대비비율) 전체 (매출액대비비율) 일반중소기업 중기청조사) 중소기업(1,500개) 2,079만원 (0.15%) 2,262만원 (0.12%) (매출액대비비율) 혁신형중소기업 1,971만원 (0.18%) 을보안비용에지출한기업1개사당평균2,079만 원으로매출액대비0.15%의비용을보안업무에투 2008년한해동안산업기밀보호를위해일정금액 자하였으며, < 중소기업(939) 구분(사례수) 산업기술보호업무담당직원보유여부> 의혁신형중소기업이매출액대비보안투자비율이 0.06% 일반중소기업보다벤처, 이노비즈등 30.5% 있음 69.5% 없음 그리고보안담당직원이있는지에대한설문에서는 높게나타났다. (중소기업1500개) 전담직원보유율 < 구분 산업기술보호전담직원보유기업비율> 전체 16% 중소기업 14.5% 일반 중소기업 혁신형 대기업등을포함한전체비율을보면37.2%가담당 직원이있었다. 30.5%의중소기업에서보안담당직원이있었으며, 그러나전체37.2% 중19.3%만이산 17% 보호교육을실시한사례가있는지에대한질문에서 업기술보호업무를전담하고있는것으로나타났다. 또한사내에서3년간임직원들을대상으로산업기술 평균전담직원수 < 최근3년간사내산업기술보호교육실시여부> 중소기업(939개) 구분(사례수) 1.34명 27.6% 있음1.56명 72.4% 없음 1.24명 않은것으로나타났다. 끝으로산업기술보호를위한기타의 는72.4%의대부분의중소기업에서교육을실시하지 개별적인활동에대해 조직및제도 와 보안감독체계 로구분하여조사한결과를 살펴보면, 강화되고있으나여전히개선의여지가 일부항목을제외하고는매년보안활동이 있음을알수있다. 연구노트 일지작성의항목등의 조직& 구분 2007 2008 2009 중소기업이자율적으로경제적인기술보호 활동을지원하기위한절실하다고할수있다 상기국내중소기업의여건을고려하여 제도 보안관리규정마련 < 중소기업의기술보호활동추이> 정기보안점검,감사 보안전담조직운영 35.3% 9.8% 6.6% 37.3% 12.3% 5.9% 38.2% 11.9% 6.1% 보안감독체계 경쟁업체취업금지서약 연구노트,일지작성 입사시비밀유지계약작성 퇴사시비밀유지및 35.8% 57.8% 48.0% 34.7% 58.2% 47.3% 33.3% 방문자출입통제 67.0% 64.6% 60.2% 거래업체에대한비밀유지 50.1% 계약 이동식저장매체보안관리 44.3% 37.9% 23.0% 69.1% 외부보안서비스업체활용 - - 41.1% 28.5% 39.2% 2. 중소기업 기술보호 실태와 장벽 중소기업의 여건을 고려한 기술보호 체계 강화 지원 활동 전개 필요 14
제1절 연구 배경 순위 < ISMS 인증제도개선을위한제안사항_인증기업> 3. 중소기업 기술보호 지원 전략 1 o업종또는기업규모별세부실행지침서개발 비율(%) 42 o경영자및보안담당자를위한표준교육교재개발 76.3 53 o133개통제항목별모범운영사례(bestpractice)발굴보급 74.6 6 o정보자산에위험성평가방법론표준및운영소프트웨어개발 74.5 순위 7 o보안관리성과측정방법론및성과지표개발 o보안전문인력양성을위한보안교육실시 o국제표준내용에대한해설서및실행매뉴얼개발 72.7 12 o133개통제항목별모범운영사례(bestpractice)발굴보급 < ISMS 인증제도개선을위한제안사항_전문가> 69.1 o업종또는기업규모별세부실행지침서개발 비율(%) 65.4 3 93.3 4 86.6 5 o보안관리성과측정방법론및성과지표개발 o국제표준내용에대한해설서및실행매뉴얼개발 83.3 [출처] 중소기업의기술보호관리체계국제표준의효과적인활용및산업체확산지원방안연구173p, 67 o경영자및보안담당자를위한표준교육교재개발 o보안전문인력양성을위한보안교육실시 o정보자산에위험성평가방법론표준및운영소프트웨어개발 186p 80.0 76.6 주고있다. 1) 상기2종류의표는ISMS인증을유지하고있는기업과보안전문가에대한설문조사의결과를보여 2) 중소기업이외부전문가의도움을최소화하여자체적으로활용가능한지침서제공 업종별, 설문결과는다음과같은중소기업의기술보호지원전략수립에대한지침을제공한다. 4) 5) 3) 보안의식고취와보안관리전문역량확보를위한교육프로그램의제공 보안성과측정을위한방법론및성과지표개발 보안통제항목별모범관행의발굴및제공 규모별특성을고려한ISMS지침서제공 6) 위험관리를위한패키지소프트웨어개발및보급 통제 효과를 고려하여 물리적 관리적 기술적 보안통제 강화 권장 15
제2절 연구 목적 및 내용 중소기업의기술보호를위한 세부보안통제실행지침서 인증심사기준(K-ISMS) 정보보호관리체계 지침명 세부통제항목수 120 참조표준/지침 396개의세부점검항목 특징 전자정부정보호관리체계 인증심사기준(G-ISMS) 산업기술보호지침 125 58 심사기준대비점검항목과해설 중소기업기술유출대응 매뉴얼 72 관련법규 6개영역50개의점검항목. 7개영역72개기술유출대응항목. 8개영역58개의자가진단항목 ISO/IEC 270015개통제항목제외 중소기업을위한ISMS 가이드라인 39 ISO/IEC 27002 상위통제항목39개에대한지침 ISO/IEC 27002133개세부통제항목의 지침명 ]ISO/IEC 세부통제항목수 27000 패밀리지침은본보고서 제4절국외표준및지침 참조 구현지침(ISO/IEC 참조표준/지침 특징 정보기술서비스관리지침 정보보안경영시스템 [ 국외 27002) 133 7799-2 ISO/IEC 27001 인증규격의구현지침 20000-2) 11(프로세스) BS 15000 현황 국제정보시스템감사통제 협회표준(CoBIT) 34(프로세스) ISO/IEC COSO, ITIL v2.0 27002 ITIL, 28개의통제목표와34개프로세스. 서비스수준관리등11개프로세스 요구사항및구현지침제공 시스템보안공학성숙도 모델(SSE-CMM) 33(프로세스) DoD 직관행22 기본관행11 프로세스제시 프로세스, 프로젝트및조 지침번호 7064:2003 문자시스템체크 ]아래는주요기술지침만을기술한것임. 지침명 지침번호 15408-x세부사항은ISO홈페이지참조 9796-x 디지털서명(1) TR 15443-x IT보안평가기준 IT보안보증프레임워크 지침명 10118-x 9797-x 9798-x 해쉬함수 메시지인증 개체(Entity) 인증 ISO/IEC 18014-x 18028-x 15946-x 타임스템핑 IT네트워크보안 암호화기법 [ ISO/IEC 기술 지침 현황 ISO/IEC 13888-x 11770-x TR 14516:2002제3자서비스관리 부인방지 키관리 ISO/IEC 18045:2008 18033-x 18031-x 랜덤비트생성 ISO/IEC 14888-x 디지털서명(2) ISO/IEC 27033-x 암호화알고리즘 IT보안평가방법론 네트워크보안 1. 국내 외 기술보호 지침 현황 기술보호 지침은 ISO/IEC 27000 패밀리와 ISO/IEC 기술지침으로 발전 추세 [ 국내 지침 현황 ] 16
실무지침을통합한 보안통제실행지침서 를최종적으로개발하였다 본연구는중소기업의국제수준의시장경쟁력확보를위하여실용적이고효과적인기술보호정착을지원하는 실무지침을제공하기위해8개의세부과제를수행하여보안통제용어해설, 세부보안통제해설, 세부보안통제 Global ( 중소기업의실용적이고효과적인 시리즈) ISO/IEC Standard 27000 기술보호체계정착지원 국내법규및지침, 연구 성과 물 [과제1]국제표준제정동향분석 보안통제 용어해설 보안실무지침제공 중소기업에부합한 상용보안솔루션 세부보안통제항목 해설 세부보안통제항목 [과제2] 국내기술보호지침선행연구결과조사 실무지침 연구 세부 과제 [과제3] [과제4]국내기업의보안통제관련지침수집및조사 [과제5] [과제6] 기술보호관련국내법규조사 [과제7] 보안통제해설서 개발 [과제8] 보안통제실무지침서 개발 정보자산보안통제적용방안수립 보안통제용어해설서 개발 보안통제관련 국제표준조사 [과제1] 보안통제관련국내지침 선행연구결과조사 [과제2] 국내법규와지침조사 보안통제관련 [과제3] 보안통제용어해설 [과제6] 국내기업지침조사 보안통제관련 [과제4] 개발 보안통제적용방안수립 정보자산유형별 [과제5] 세부보안통제해설서 [과제7] 개발 세부보안통제실무지침 [과제8] 개발 제2절 연구 목적 및 내용 2. 보안통제실행지침 개발 방안 국내 중소기업의 Word Class 시장경쟁력 확보 17
제2장 보안통제 관련 국내 외 표준 및 지침 제3절 국내 표준 및 지침 1. 정보보호관리체계 인증제도(K-ISMS) 2. 산업기술보호지침 3. 전자정부 정보보호관리체계(G-ISMS) 3. 중소기업 기술유출 대응매뉴얼 4. 중소기업을 위한 ISMS 가이드라인 제4절 국외 표준 및 지침 1. ISMS국제표준 (ISO/IEC 27000 패밀리) 2. IT서비스관리국제표준 (ISO/IEC 20000) 3. 국제정보시스템감사통제협회 표준 (CoBIT) 4. 시스템보안공학성숙도 모델 (SSE-CMM) 제5절 보안 국제표준 발전 동향
을체계적으로수립ㆍ문서화하고지속적으로관리ㆍ운영하는시스템에대하여제3자인증기관이객관적이고독립적 으로평가하여기준에대한적합여부를보증해주는 정보보호관리체계인증제도 (이하K-ISMS라한다.)를고시하였 방송통신위원회는2002년정보보호의목적인정보자산의기밀성, 인증제도는정보보호를필요로하는조직에대한인증을통하여인증받은조직이보유하고있는정보자산 무결성및가용성을실현하기위한절차와과정 K-ISMS의2010년2월현재까지인증실적은총78건이며매년조금씩인증건수가늘어나고있는경향을보이고있다. 업의활성화를목적으로하고있다. 의안전과신뢰성향상, 정보보호관리에대한인식제고, 인증기관으로는한국인터넷진흥원(KISA)이유일하며, 정보보호에대한국제적신뢰도향상및정보보호서비스산 2002년부터시행된 의구성은ISO/IEC 어있다.통제분야 보호대책15개분야120개세부항목총137개통제항목으로구성되어있다. K-ISM S 인증심사기준은정보보호5단계관리과정요구사항14개필수항목, 27001을기본으로하고있으며, 3개대분류및137 통제항목에대한사항은아래와같이구성되 인증기준의기본적인개념및통제항목 문서화요구사항3개필수항목, 정보 정보보호관리 과정 통제내용 통제항목수 세부통제항목수 <필수항목> (5단계14개 통제항목) 1.정보보호정책수립 2.관리체계범위설정 3.위험관리 4.구현 5 19 5.사후관리 2 4 소계 14 3 47 10 7 (3개통제항목) <필수항목> 문서화 1.문서요건 2.문서의통제 3.운영기록의통제 1.정보보호정책 소계 31 3 2.정보보호조직 1 3.외부자보안 정보보호대책 4.정보자산분류 5 10 11 <선택항목> (15개분야 5.정보보호교육및훈련 4 14 87 통제항목) 120개 6.인적보안 7.물리적보안 8.시스템개발보안 9.암호통제 12 13 53 36 53 18 10.접근통제 11.운영관리 12.전자거래보안 14 22 5 38 99 21 6 13.보안사고관리 14.검토,모니터링및감사 15.업무연속성관리 11 7 37 20 소계 총계 120 137 396 446 18 제3절 국내 표준 및 지침 1. 정보보호관리체계 인증제도 (K-ISMS) 가. 제도의 개요 및 목적 나. K-ISMS 인증기준 20
120개세부통제항목으로구성되어있다. 정보보호대책요구사항은선택항목으로서조직의활동및보호대상정보의특성등에따라15개통제항목별로 1.정보보호정책 통제항목(15개) 정책의승인및공표, 정보보호대책요구사항의통제내용별구체적인내용은아래와같다. 2.정보보호조직 조직의체계, 책임과역할 정책의체계, 세부통제항목(120개) 3.외부자보안 계약및서비스수준협약, 외부자보안 정책의유지관리 6.인적보안 5.정보보호교육및훈련 4.정보자산분류 책임할당및규정화, 교육및훈련프로그램수립, 정보자산의조사및책임할당, 직원의적격심사, 교육훈련의시행및평가 정보자산의분류및취급 7.물리적보안 8.시스템개발보안 물리적보호구역, 분석및설계, 구현및이행, 물리적접근통제, 변경관리데이터센터보안, 주요직무담당자관리, 장비보호, 비밀유지 9.암호통제 암호정책, 암호사용, 키관리 사무실보호 11.운영관리 10.접근통제 운영절차와책임, 접근통제정책, 악성소프트웨어통제, 사용자접근관리, 시스템운영, 원격컴퓨터및원격작업 네트워크운영및문서관리, 접근통제영역 12.전자거래보안 13.보안사고관리 14.검토,모니터링및감사 교환합의서, 대응계획및체계, 법적요구사항준수검토, 전자거래, 대응및복구, 전자우편, 정보보호정책및대책준수검토, 사후관리 공개서버의보안관리, 이용자공지사항 15.업무연속성관리 업무연속성계획시험및유지관리 업무연속성관리체계수립, 업무연속성계획수립과구현, 모니터링, 보안감사 ISO/IEC 15개통제항목과120개의세부통제항목으로구성 - A.6.1 - A.8.2.2 27001의통제영역(11개), 내부조직 을 2. 정보보안인식, 정보보호조직 으로통합 교육, 통제항목(39개), 훈련 을통제항목으로분리 세부통제항목(133개)을통합하고재분류하여 - A.10 - A.15 통신및운영관리 를 11. 준거성 을 14. 검토, 모니터링및감사 으로통합 운영관리 와, 12. 전자거래보안 으로분류 K-ISMS심사기준은 각 120개 세부통제항목별로 제시하고 있어 기업의 ISMS구축에 참조 가능하다고 사료되나, 객관적이고 공정한 심사기준을 제시하여야 하는 인증심사 기준의 특성에 따라 사례와 요령을 포함한 상세 실행 지침 제공에 한계를 갖고 있음 제3절 국내 표준 및 지침 1. 정보보호관리체계 인증제도 (K-ISMS) 다. K-ISMS심사기준 분석 21
지침 을제정및공표하였다. 고국내외다른조직과의기술계약을하는과정에서불법적인산업기술의유출및침해행위가발생하여도적절한대 응을하지못함에따라이러한경우에서의산업기술유출을예방하고보호함을목적으로하고있다. 산업기술보호지침은조직이준수하여야하는법정강제규격및임의규격, 지식경제부는2007년 산업기술의유출방지및보호에관한법률 을제정하였고, 산업기술보호지침의제정은기업, 연구기관, 전문기관및대학등이산업기술을개발하 27001 동법률에따라 산업기술보호 증을목적으로하는형태가아닌산업기술을보유한조직이산업기술을보호할경우적용하면효과를높일수있는 가이드라인의성격을갖고있다. 른점을보이고있다. 다만, 보호대상산업기술자산분류등일부전문적인분석은ISO/IEC 따라서정보보호관련국제규격이나인증제도와목적은같지만그적용의방법은다 또는K-ISMS 27001의규격요구사항을 등과같이인 법등에대하여해당조직이활용할수있는방법및절차등을제시하고있으며, 여적용할수있도록구성되어있다. 의유출및침해예방방법, 산업기술보호지침은총6개의장으로구성되어있으며, 산업기술개발과기술계약시유출방지및보호방법, 아래와같이산업기술보호수준에대한자가진단, 산업기술의유출및침해시조치방 해당조직이필요한사항을선택하 장번호 1 개요 제목 2 산업기술의보호수준자가진단항목(8개영역,58진단항목) -산업기술보호조직구성(4),인력관리(7),침입방지(6) -정보시스템관리(9), -보유자산의분류및통제(7),산업기술보호세부규정(6) 산업기술의유출및침해예방방법 [보호대상의분류및위험분석] -산업기술의보호문화정착(5) 사고의대응및복구(16), 1.조직의보유자산을분류:정보/문서/SW/물리적자산/인력자산/대외기관제공서비스등 2.분류된보유자산별로위험도출 3.위험도에따른보유자산의보호대책수립 [유출및침해예방] 1.다음내용이포함된산업기술의유출방지및보호세부규정수립 -보유자산의분류및통제,산업기술의유출방지및보호조직의구성과운영 3 2.산업기술유출방지및보호조직구성및운영 -정보보호전담조직구성또는담당자지정, -산업기술유출방지및보호조직/담당자의역할및책임부여 -인력관리,침입방지,정보시스템관리,사고의대응및복구,산업기술보호문화정착 3.인력관리실시 -외부기관과의연락체계유지및세부내용규정화 -채용예정자,현직원,퇴직자,외부인및외국인등으로분류 -인력의구분에따라적절한교육및서약서징구등의조치적용 (정부, 국가정보원산업기밀보호센터, 경찰청, 산업기술보호협회) 4.침입방지 -산업기술보호를위해해당기술접근을방지할수있도록시설을구분 -구역별보호대책마련 -재해로부터의보호대책마련 (공용구역, (출입통제시스템/화상감시시스템/도감청방지/전자파차폐시스템등) 일반구역, 설비구역및특수구역) -장비폐기대책마련 제3절 국내 표준 및 지침 2. 산업기술 보호 지침 (1/3) 가. 제도의 개요 및 목적 적용하고있다. 나. 산업기술보호지침 내용 구성 22
산업기술의유출및침해예방방법(앞장계속) 5.정보시스템관리 -정보시스템구분:Desktop,노트북,이메일시스템및인트라넷등 제목 6.사고의대응및복구계획의수립 -정보시스템별보호대책수립 -보조기억매체의관리실시:디스켓,USB등 -크래킹등불법침입시대응실시 7.산업기술의보호문화정착 -계획수립:침해예방계획,사고조치계획및복구계획 -산업기술의유출방지및보호를위한교육 -10대생활보안준수사항 -사고의대응및복구훈련실시:Table-top,Drill및Exercise 1.공통적원인 산업기술개발시유출방지및보호방법 [유출및침해의주요원인] -산업기술보호내부점검의실시 2.산업기술개발유형에따른원인 [유출방지및보호방법] 1.관리대상인력구분(채용시,재직시및퇴직/전직시) 2.권리의설정 -핵심연구인력 -연구개발관련인력 -보조관련인력:시설관리,물품조달,행정관리및경비등 1.경영전략수립및M&A전략팀구성 산업기술계약시유출방지및보호방법 [기술양도형계약-합병계약(M&A)] -특허권,실용신안권,의장(디자인)권,저작권 -중요산업기술은원칙적으로이전금지 3.정밀실사,기업가치평가및가격설정 2.인수의향서및비밀유지계약체결 실제계약서가법적보호를받기전까지산업기술에대한세부자료가제공되지않도록유의 -중요기술이전필요시M&A전략팀이기술이전에따른피해최소화및비밀유지전략수립 4.협상및계약서작성 -M&A중개기관을통하여업무를추진하는경우중개기관에의하여산업기술이 -중개기관을통하지않을경우해당조직과기밀유지계약을체결하고재확인후실시진행 -합병계약서에는자료보존방법과유출의금지및제한관련조항삽입 무단사용되지않도록기밀유지계약체결 1.대상조직발굴 [기술양도형계약-조인트벤처] -계약단계에서근로자와의산업기술보호서약서징구 -대상조직이기밀유지의무의이행능력이있는지여부확인 -개인이비밀을유출한경우합병대상조직의연대책임명시 2.의향서(MoU)체결 -합작투자할상대조직을발굴하는단계에서상대방조직에핵심적기술정보에대한 3.조인트벤처설립절차진행,4.최종계약체결,5.조인트벤처설립완료 -세부계약조건에대하여신의성실의원칙에따른의무를부과하고산업기술에관하여제3자 에게공개하거나이를임의로이용하지않을의무부여 자세한정보를제공하지않도록주의 -합작투자회사를설립하는조직의담당자들로부터기밀유지서약서징구 장번호 2. 산업기술 보호 지침 (2/3) 3 제3절 국내 표준 및 지침 4 5 23
장번호 제3절 국내 산업기술계약시유출방지및보호방법(앞장계속) 제목 표준 및 지침 2. 산업기술 지침 (3/3) 2.계약당사자 1.기술계약 [기술대여형계약-라이선스계약] -대상기술의가치및기술이전의유형 -권리능력,행위능력의유무 -계약당사자중조건협상의주요책임자및담당자 3.계약조건 -조직규모및계약기술의사업화역량 -추가기술개발의능력 -대가지급을위한재정능력 -기술이전의대가지불방법및지급처 -출원,등록의절차및비용의부담방법 -기술이전을위한지도방법 -계약유효기간,계약의변경,해지및종료 -성과의귀속(개량발명의범위및고지등)및권리의지분분할 -기술이전의대가(선급기술료및경상기술료등) 5 4.기타 -손해해방청구및범위 -다른법률과의저촉여부 -계약의목적,배경및경위 1.전략의수립 [기술대여형계약-위 수탁계약(하청라이선스계약)] -기밀의유지,정보의반환내용협의 -정보의상호교환및공유 2.기술지도:제품생산에필요한범위만큼에대하여만지도 3.제조공정관련유의사항 노동집약적공정은해외에서,기술집약적공정은국내혹은지적재산권보호가가능한국가에 -중요한제조공정등은특정본사로부터파견된직원만관여 두는것을원칙으로하고제조에필요한것만현지이전실시 -외부판매제한조항,자사의중요한노하우의보호의무조항,위반행위에대한처벌조항등 4.제조설비관련유의사항 -순정품에대한위조방지대책을강구 -본사에서핵심부품을모듈화하여수출하고해외에서조립 을계약서에삽입 -핵심제조공정이포함된도면이나서류의블랙박스화추진 5.설비의유지보수관련 -CAD/CAM데이터는현지컴퓨터로읽을수없도록암호화 -해외에도면을제공하는경우에는제조도면상에게재된시험방법,소재정보등개발노하우 -유지보수를직접수행하고부득이하게현지인을고용할경우출입지역을한정 를삭제하고제공 6 산업기술의유출및침해시조치방법 1.산업기술유출및침해시신고의무 -설비의판매계약에제조설비의정기적인유지보수조항을삽입 산업기술보호지침은 ISO/IEC 27001의 보호통제에 근거하고 있으나 보호대상 자산을 산업기술 과 국가핵심기술 에 한정하고 있음. 따라서 기업 관점에서는 그 외의 자산에 대한 보호를 위해 통제지침을 필요로 함 24
하였으며전자정부서비스를제공하는정부기관의정보보호를강화하기위한목적의인증제도이다 하기위한방안으로전자정부정보보호관리체계(이하, 행정안전부는2009년12월11일전자정부서비스를제공하는행정기관의지속적인정보보호수준을점검및관리 G-ISMS라한다.) 인증지침을행정안전부훈령제164호로제정 개통제항목, 는K-ISMS에서다루고있는통제항목총137개통제항목을대폭통폐합및간소화한것으로보이며, 느정도보안수준을보유한전자정부라는측면으로이해된다. G-ISMS 인증심사기준은방송통신위원회G-ISMS 문서화3개통제항목, 정보보호대책11개분야39개통제항목총46개통제항목으로구성되어있다. 고시제8조및별표2에의하고있으며, 수립및관리과정4 보여지며, G-ISMS 인증기준의기본적인개념및통제항목의구성은ISO/IEC 3개대분류및46개통제항목및148개세부통제항목에대한사항은아래와같이구성되어있다. 27001 및K-ISMS를기본으로하고있는것으로 인증대상이어이 ISMS 수립및관리과정 통제분야 통제내용 통제항목수 세부통제항목수 (4단계15개통제항목) 2.ISMS구현및운영 3.ISMS모니터링 1.ISMS수립 5 4.ISMS유지및개선 4 소계 4 15 (3개통제항목) 문서화 1.문서화요구사항 2.문서의통제 3.기록의통제 소계 3 3 1.정보보호정책 2.정보보호조직 2 (11개분야39개 정보보호대책 3.자산관리 1 85 통제항목) 4.인적보안 5.물리적보안 4 12 7.접근통제 6.통신및운영관리 10 7 30 24 13 8.정보시스템요구사항,개발및유지보수 9.보안사고관리 10.업무연속성관리 62 13 11.준거성 13 45 총계 소계 46 39 148 125 9 제3절 국내 표준 및 지침 3. 전자정부 정보보호관리체계 (G-ISMS) 가. 제도의 개요 및 목적 나. G-ISMS 인증기준 25
- 통신및운영관리 는ISO/IEC -K-ISMS의통제항목중 외부자보안, 검토와모니터링, 감사 삭제27001의통제항목을준용하고있음 정보자산분류, 정보보호교육및훈련, 전자거래보안, 제3절 국내 표준 및 지침 3. 전자정부 정보보호관리체계 (G-ISMS) 다. G-ISMS 심사기준 분석 G-ISMS심사기준은 각 125개 세부통제항목으로 ISO/IEC 133개의 통제항목 대비 33개의 차이를 보이고 있음. 전자정부 사업 특성을 감안하여 축소한 것으로 사료됨. K-ISMS와 마찬가지로 객관적이고 공정한 심사기준을 제시하여야 하는 인증심사 기준의 특성에 따라 사례와 요령을 포함한 상세 실행 지침 제공에 한계를 갖고 있음 26
사례를기반으로하여기술유출방지및기술유출시대응을위해중소기업기술유출대응매뉴얼을개발한바있 다. 매뉴얼은크게보안자가진단, 중소기업청은중소기업의기술유출을방지하고효과적인기술보호를위해중소기업의실정을고려하고실제 본매뉴얼은중소기업의산업보안에대한인식을제고하고, 기술유출사전대응방안, 기술유출사후대응방안등총3개로구성되어있다. 기술경영활동을지원함을그목적으로하고있다. 하였으며, 보안자가진단에서는중소기업의보안수준을측정하는자가진단서식을6개부문에걸쳐50개문항으로범주화 1) ISO/IEC 리, 인적자원관리, 27001을참고로하여중소기업의형편에맞도록재구성하였다. 각문항을통해진단이필요한사항이무엇인지알수있도록구성하였다. 시설관리, IT보안관리, 유출사고의대응이다. 자가진단서식은국제정보보호표준규격인 6개부문은보안정책, 자산관 안업무를단계별로구분하여제시하고있다. 선적으로추진해야할업무활동으로제시하고있다. 본매뉴얼에서는기술유출사전대응방안으로7개부문에72개항목을중소기업에서기술유출방지를위해우 2) -1단계에는중소기업이추진해야할가장기본적인보안업무를제시하였으며, 또한, 기술유출방지를위해중소기업이추진해야할주요보 -단계가높아질수록보안업무의추진효과가높아지지만추진업무의양과소요비용또한증가한다는점을 시행할것을권장 고려하여중소기업의입장에서2단계와3단계업무는선택적으로적용할것을권장 모든중소기업이반드시 개발하였다. 기술유출대응매뉴얼과함께보안컨설턴트가기업의보안경영실태를진단하는기준과방법을위한가이드를 3) 중소기업보안경영실태진단기준 결하기위한대응조치를도출및대안별우선순위를평가하여, 분석은기업의보안경영실태를모범사례(Best 법으로널리활용되고있다. 동가이드는기업의보안경영실태를진단하기위해서GAP 분석은분석결과를통해보안수준의현상및문제점을식별 Practice)와의비교를통해보안수준차이(GAP)를진단하는분석기 분석을사용하고있다. 파악하고, 일반적으로GAP 을수립하게한다. 본가이드에서제시하고있는진단방법은관리적보안, 물리적보안, 보안대책을결정하고관리하기위한세부실행계획 기술적보안으로구분하여총50개의통 이를해 진단항목과동일하다. 제항목에대해100개의진단기준을바탕으로심층분석이이루어지도록한다. 여기서50개통제항목은보안자가 제3절 국내 표준 및 지침 3. 중소기업 기술유출 대응 매뉴얼 가. 제도의 개요 및 목적 나. 매뉴얼 내용 27
4) 기술유출사전대응업무와중소기업보안경영실태진단기준비교 구분 구성요소 (7개분야72개항목) 추진업무 구분(6개분야50개통제항목100개진단기준) 중소기업보안경영실태진단기준 진단항목 1. 보안정책 보안규정 보안관리규정 자산목록관리 정보자산등급분류 시설관리 보안규정위반자징계 정보처리설비운영 정보저장매체관리 보안규정, 지침, 절차공지 1.1 보안규정 1.보안정책 1.2 임직원공지 보안조직 보안담당조직구성 보안담당자지정 자산관리책임자지정 일반직원보안업무수행 조직내부업무공조 1.3 조직구조 외부전문기관업무공조 1.4 1.5 1.6 1.8 1.9 정보공유 임직원보안업무 보안감사 정기보안감사 1.7 업무공조 보안투자 외부협력 영업비밀보호 정보자산에등급부여 정기적으로정보자산분류 보안감사 2. 자산관리 영업비밀 기밀정보에대한권한설정 자산의반출통제 기술보호에대한판단기준 2.자산관리 2.1 2.2 2.3 2.4 2.5 정보자산관리기준 2.6 자산분류 정보자산관리책임자 기밀문서관리 지적재산권관리 자산등급구분 특허 기타 연구개발성과의권리화 권리출원 신규 대응전략 국가핵심기술관리 2.7 자산반출 채용자 보안교육실시 보안서약서징구 경력자채용시조치사항 3.1 3.3 보안교육(입사자) 보안의식 3. 인적자원 관리 재직자 3.4 보안서약서(입사자) 보안점검실시 보안관련포상및징계 보안교육실시 보안서약서징구(재직자) 보안서약서징구(프로젝트참가자) 3.2 직무발명보상 3.인적자원 3.5 보안교육(재직자) 관리 (프로젝트참가자) 외국인 신규채용시 기술협력, 기술자문, 투자협정시 3.7 3.10 징계절차 사용자권한조정 퇴직자 정보반납및개인정보삭제 외부인력 경쟁업체취업금지서약 퇴직후진로및동향파악 협력업체및실무자 외부자문인력 3.6 3.8 보안서약서(퇴직자) 제품구매자등 3.9 퇴직자진로파악 제3자관리 제3절 국내 표준 및 지침 3. 중소기업 기술유출 대응 매뉴얼 28
구분 4) 기술유출사전대응업무와중소기업보안경영실태진단기준비교(앞장계속) 구성요소 추진업무 구분 진단항목 4. 시설관리 보호기준 재해로부터중요시설보호방안강구 중요시설관리기준설정 4. 시설관리 4.1 4.5 4.6 시설관리기준 출입통제 외부인의회사내출입절차 출입통제시스템설치 감시장치 중요시설에대한광학장비반입통제 통제구역보호방안 내 외부인식별절차 4.2 4.3 4.4 4.7 출입절차 출입통제시스템 외부인식별 장비반입통제 5. IT보안관리 PC 관리 개인용PC(데스크톱) 휴대용PC(노트북) 보조기억매체 사용자관리 5.1 정보처리설비운영 정보유출 5.2 보안점검(통신망) 방지 외부로의전자문서발송통제 내 외부통신망분리운영 통신망에대한보안점검 서버및DB 현황에대한보안점검 5. 관리 IT보안 5.3 5.4 (서버및DB) 솔루션도입 정보 정보관리시스템 내부생성정보에대한백업 시스템사용내역에대한로그기록및유지 5.5 정보의백업 시스템 5.6 5.7 5.8 5.9 정보관리시스템 보조기억매체관리 장애발생시조치 시스템유지보수 각종보안솔루션도입및사용 5.10 5.11 5.12 전자문서발송통제 5.13 패스워드관리 5.14 통신망분리운영 로그기록유지 장애발생시조치 정보시스템유지보수 자리이석시IT장비보호 6. 계약관리 기술계약 체결시 유의사항 공동연구계약 투자유치계약 라이선스계약 제조위탁계약 7. 인수합병계약 합작투자계약 6. 유출사고 대응 6.1 6.2 6.3 재해발생시대응절차 보안관리 글로벌 해외진출 기술이전시유의사항 현지적응전략 인적자원관리 사고발생시대응방안 관련법규 -산업기술, -ISO/IEC 27001의보안통제항목을토대로기술유출대응매뉴얼과실태진단기준제공 국가핵심기술에대한보호지침을 산업기술보호지침 을토대로제공 제3절 국내 표준 및 지침 3. 중소기업 기술유출 대응 매뉴얼 협력사와의관계정립 다. 중소기업 기술유출 대응 매뉴얼 분석 ISO/IEC 27001 세부통제항목 133개를 모두 포함하고 있지 않으나 중소기업의 기술유출 및 실태진단을 위한 지침으로 유용할 것으로 사료됨. 본 보고서와 중소기업 기술유출 대응 매뉴얼, 산업기술보호지침이 중소기업의 보안관리체계 강화에 도움을 줄 것으로 예상. 29
가. 2010년12월현재ISO/IEC 지식경제부기술표준원에서중소기업의보안경영시스템보급확대를목적으로2007년에제정한지침이다. 제도의개요및목적 나. 이전이기때문에일부내용이현행국제표준과차이가있다 가이드라인내용 27000 패밀리중구축지침, 성과측정, 위험관리, 심사요건등의4개지침이제정되기 부록으로보안관련제도사례와위험평가방법, 플로구성되어있다구분 중소기업의보안경영시스템구축을위한단계와각단계별상세추진활동, 적용성보고서(SoA) 사례, 세부내용 범위정의방법, ISMS통제항목39개에대한해설, 보안관리체계설계서샘 정보보호관리구축 (6단계) Phase Ⅴ Ⅳ Ⅲ Ⅱ Ⅰ 관리체계구축(대응책구현) 위험평가단계 자료수집및교육단계 범위설정단계 TFT 구성단계(조지체계구성) A.5 Phase Ⅵ : 인증절차 ISMS구현세부지침 A.6 보안방침 정보보안조직 (11통제영역, 39통제항목) A.7 A.8 A.9 A.10 자산관리 인적자원보안 A.13 물리및환경보안 A.14 A.11 A.12 통신및운영관리 A.15 정보보안사고관리 사업연속성관리 부합성 정보시스템획득, 접근통제 개발및유지보수 1. 정보보호관련규정사례(정책1종, 정보보호정책, 외주인력관리지침, 문서보안관리지침, 보안조직관리지침, 정보자산관리지침, 서버보안관리지침, 인사보안관리지침 지침17종) 보안감사관리지침 네트워크보안관리지침 부록. 가이드라인 ISO 27001 2. 위험평가방법 2.1 무선랜보안관리지침, 개발보안관리지침, PC보안관리지침, 위험평가절차정보처리설비관리지침, 인터넷보안관리지침, 응용프로그램보안관리지침, PC보안관리지침, 사무실보안관리지침 보안시스템관리지침, 2.2 2.4 2.5 2.6 2.3 중요정보자산식별및가치평가 2.7 위험도측정 위험처리 대응책선정 위험평가보고서 위협및취약성식별및평가 3. 4. 5. SoA(State Scope 체계설계서(Sample) Statement Of Applicability) 의국제표준과차이가있고, 고있어세부보안통제항목에대한해설과지침을필요로함. 제실행지침관점에서는이가이드라인이ISO/IEC 중소기업에서ISO/IEC 27005:2008(위험관리), 27001 보안통제해설은세부통제항목133개가아닌통제항목39개에한정하여제시하 인증을취득하기위한목적으로활용하는데유용한지침으로사료됨. 27006:2007(심사요건) 27003:2010(구축지침), 등의지침이공표되기전에제정되어현재 ISO/IEC 27004:2009(성과측정), 제3절 국내 표준 및 지침 4. 중소기업을 위한 ISMS 가이드라인 다. ISMS 가이드라인 분석 30
120개세부통제항목으로구성되어있다. 정보보호대책요구사항은선택항목으로서조직의활동및보호대상정보의특성등에따라15개통제항목별로 1.정보보호정책 통제항목(15개) 정책의승인및공표, 정보보호대책요구사항의통제내용별구체적인내용은아래와같다. 2.정보보호조직 조직의체계, 책임과역할 정책의체계, 세부통제항목(120개) 3.외부자보안 계약및서비스수준협약, 외부자보안 정책의유지관리 6.인적보안 5.정보보호교육및훈련 4.정보자산분류 책임할당및규정화, 교육및훈련프로그램수립, 정보자산의조사및책임할당, 직원의적격심사, 교육훈련의시행및평가 정보자산의분류및취급 7.물리적보안 8.시스템개발보안 물리적보호구역, 분석및설계, 구현및이행, 물리적접근통제, 변경관리데이터센터보안, 주요직무담당자관리, 장비보호, 비밀유지 9.암호통제 암호정책, 암호사용, 키관리 사무실보호 11.운영관리 10.접근통제 운영절차와책임, 접근통제정책, 악성소프트웨어통제, 사용자접근관리, 시스템운영, 원격컴퓨터및원격작업 네트워크운영및문서관리, 접근통제영역 12.전자거래보안 13.보안사고관리 14.검토,모니터링및감사 교환합의서, 대응계획및체계, 법적요구사항준수검토, 전자거래, 대응및복구, 전자우편, 정보보호정책및대책준수검토, 사후관리 공개서버의보안관리, 이용자공지사항 15.업무연속성관리 업무연속성계획시험및유지관리 업무연속성관리체계수립, 업무연속성계획수립과구현, 모니터링, 보안감사 제3절 국내 표준 및 지침 4. 중소기업을 위한 ISMS 가이드라인 31
지이름으로사용되고있다. 이들모두는그근간을ISO/IEC 정보보안경영시스템(ISMS, 정보보호관리체계라고불리기도하고ISMS(K-ISMS, Information Security Management System)은현재국내에서정부부처에서여러가 하고있고ICT를위해16~23번의지침들이제정중에있다. ISMS family 표준문서는현재아래와1~15번의문서로구성되어있으며각산업별, 27001 혹은ISO/IEC 27001의전신인BS 7799에두고있다. G-ISMS)라고불리기도한다. 기술영역별로그숫자가증가 그러나 번호 12 ISO/IEC 27000:2009 27001:2005 270XX 패밀리규격번호 요구사항(인증규격) -개요및용어 ISO/IEC 270XX 패밀리규격명칭 345 27002:2005 27003:2010 27004:2009 정보보안성과측정 ISMS 구축지침 정보보안관리를위한지침 786 ISO/IEC 27006:2007 27005:2008 CD 27007 정보보안위험관리 ISMS의심사및인증을제공하는기관에대한요구사항 10 9 PDTR 27008 (제정중) ISMS통제이해를위한심사자지침 ISMS심사수행지침 11 12 27011:2008 CD WD 27010 27013 (제정중) ISO/IEC 영역간, 조직간커뮤니케이션을위한정보보안관리 27002의통신조직적용을위한정보보안관리지침 14 13 WD CD 27014 27015 (제정중) 정보보안거버넌스프레임워크 금융및보험서비스영역의정보보안경영시스템구현지침 20000-1과ISO/IEC 27001의통합규격 17 16 15 ISO/IEC 27799:2009 ISO/IEC 27002의의료산업적용을위한정보보안관리지침 18 (ICT) 정보 통신 FDIS 27031 사업연속성을위한ICT 준비지침 기술 27033-X CD 27032 사이버보안지침 네트워크보안지침 21 19 20 부문 지침 27034-X NP FCD 27036 27035 (제정중) 아웃소싱보안지침 보안사고관리지침 어플리케이션보안지침 22 23 ISO/IEC WD NP 27038 27037 (제정중) 디지털증거의파악, 디지털교정규격 수집, 획득및보존 제4절 국외 표준 및 지침 1. 정보보안경영시스템 국제 표준 (ISO/IEC 27000 패밀리) 가. 제도의 개요 및 목적 32
보안통제유형으로구분하는경우에는세부통제항목수가관리적보안47개, 분류할수있다. 안세부통제항목이더많은비중을보이고있다. ISO/IEC 27000 정보와정보처리설비에의해관리되는정보자산의특성에따라물리적보안대비, 패밀리의보안통제는통제영역11개, 통제항목39개, 세부통제항목133개로구성되어있으며 물리적보안13개, 기술적보안73개로 보안통제구분 통제영역 통제항목수 세부통제항목수 기술적/관리적보 보안정책 1 2 합계 관리적보안 조직보안 자산관리 인적자원보안 11 정보보안사고관리 업무연속성관리 1 9 5 47 물리적보안 물리적보안및환경적보안 준거성 32 10 기술적보안 통신및운영관리 10 13 32 13 합계 접근통제 정보시스템획득, 11 개발및유지보수 39 76 133 25 16 73 -ISO/IEC -정보보안에대한산업적요구가증대됨에따라산업영역별, 기술적보안의통제영역이강화되고있는추세이다. 있다. 과거에는물리적보안과관리적보안에치중되어있는통제영역도사이버침해사고의증가에따라 JTC 1/SC 27에서공표하였거나, 제정중에있는보안통제지침들이상기추세를증명하고있다 기술영역별표준과지침이증가되는현상을보이고 다. ISO/IEC 27000 패밀리 지침 분석 제4절 국외 표준 및 지침 1. 정보보안경영시스템 국제 표준 (ISO/IEC 27000 패밀리) 나. 보안통제 내용 (본보고서제2절참조). 산업영역별, 보안 기술영역별 보안 통제지침의 발전 추세가 뚜렷하게 나타나고 있으며, ISO/IEC 27000 패밀리와 ISO/IEC JTC 1/SC 27에서 상기 지침의 제정을 주도하고 있음. 1) 산업영역별로 보안통제 지침의 확대 : 의료, 통신, 소프트웨어, 물류 등 2) 보안 기술영역별 지침의 확충 : 암호화, 인증, 네트워크,어플리케이션, 디지털 서명 등 33
20000-x:2005) 중소기업의기술보호를위한 세부보안통제실행지침서 지침)을제정하였다 진하기위한목적으로BS 정보시스템의운영및유지보수, 15000과ITIL을토대로하여ISO/IEC 인터넷쇼핑몰운영등의IT서비스를제공하는업체의프로세스정립및개선을촉 20000-1:2005(인증규격)과ISO/IEC 20000-2:2005(실행 ISO/IEC Capacity 20000-x는아래의그림과같이5개의프로세스영역과11개의프로세스를제시하고있다. Management Availability Service (용량관리) Continuity Management and (서비스수준관리) (서비스연속성/가용성관리) Service Reporting(서비스보고) Level Management Information Management (정보보안관리) Security Budgeting and Accounting Service Delivery Processes 인도 프로세스) Configuration for services Change Management (변경관리) (형상관리) (IT서비스예산수립및보고) Release (릴리즈관리) Management Incident Problem Management (인시던트관리) (문제점관리) Business Supplier (비즈니스관계십관리) Relationship (공급자관리) Management Management -정보시스템운영, -서비스요구사항에따라서비스수준협정(SLA)을체결하고SLA에서정의한서비스수준목표(SLO)를달성하기위한 -정보보안관리프로세스를서비스인도프로세스영역에포함하고있으며다음과같은요구사항을포함하고있다. 프로세스를정립, 있는모델이다. 이행하는요구사항과관행을포함하고있다. 1) 보안정책수립, 인터넷쇼핑몰운영, 데이터제공등IT서비스를제공하는업체/기관에서유용하게사용할수 2) 3) 4) 5) 적절한보안통제의선정, 6) 서비스/시스템접근관련위험관리(외부조직의접근포함) 보안사고관리 보안통제의문서화, 보안통제변경영향평가, IT서비스 부문의 프로세스 효과성과 효율성 개선을 위해 유용하게 사용할 수 있는 모델이 다. 정보시스템의 용량관리, 성능관리, 연속성관리, 가용성관리, 릴리즈관리, 공급자관리, 형상관리, 변경관리 등은 ISO/IEC 27001의 보안통제 항목 대비 모범적인 관행을 제공하고 있어, 상호보완적인 관계를 맺고 있다. 제4절 국외 표준 및 지침 2. 정보기술(IT)서비스경영 국제표준(ISO/IEC 가. 제도의 개요 및 목적 나. ISO/IEC 20000-x의 내용 Release Process (릴리즈 프로세스) 다. ISO/IEC 20000-x의 분석 Control Processes (통제프로세스) Resolution Processes (해결 프로세스) Relationship Process (관계십 프로세스) 34
의하고각특성을확보하기위한프로세스와요구사항을제시하고있다. 되어IT활동의통제목적과관리를위한기준을자세하게제공하고있다. 국제정보시스템감사협회는1996년COBIT초판을개발하여IT서비스에대한보증을위한실용적인내용이중심이 사업적으로필수불가결한정보의특성을정 특성을확보하기위한자원을어플리케이션, 운영및지원, COBIT은정보의특성을효과성, 효율성, 기밀성, 정보, 무결성, 인프라, 가용성, 인력으로정의한후계획수립및조직화, 준거성, 신뢰성등7가지로규정하고그러한 계획수립및조직화(PO: 모니터링및평가의프로세스영역을아래와같이제시하고있다 도입및구축, PO1 PO2 Plan & Organize) (AI: Acquire 도입및구축 & Implement ) (DS: 운영및지원 Deliver & Support) (ME: 모니터링및평가 PO3 IT전략계획수립 정보아키텍쳐정의 기술방향결정 Monitor & Evaluate) 관계정의 PO5 PO6 전파 PO4 IT투자관리 경영진목표및방침 프로세스, 조직및 AI1 도출 AI2 및유지보수 AI3 자동화솔루션 응용소프트웨어도입 기술인프라도입및유 DS1 PO7IT인적자원관리 DS2 PO8 품질관리 AI4 운영및사용 DS3 지원 DS4 서비스수준정의&관리 제3자서비스관리 성능및용량관리 서비스연속성확보 AI5 AI6 IT 변경관리 자원구매 DS5 DS6 시스템보안성확보 ME2 ME1 DS7 DS8 트관리 비용산정및배분 평가IT성과모니터링&평가 사용자교육&훈련 ME3 내부통제모니터링& 서비스데스크&인시던 ME4 법규준수확보 IT거버넌스제공 PO9 PO10 프로젝트관리 위험평가및관리 AI7 인가솔루션및변경설치및 DS9 DS10 DS11 DS12 구성관리 DS13 문제관리 물리적환경관리 운영관리 데이터관리 -COSO -COBIT에서제시하고있는유용한주요보안통제방안들은다음과같다 지원하는IT통제에대한프레임워크를필요로하여제정된모델이기때문에COBIT은국내외의대부분의 금융IT업체에서채택하고있는모델이다. (Committee of Sponsoring Organization of the Treadway Commission)의내부통제프레임워크를 1) 2) 3) 4) 정보시스템변경관리, 서비스연속성계획, 내부통제모니터링및평가 IT직무분리, 장애예방, 훈련, 구성관리, 위험평가및관리, 평가, 개선 설치, 성능및용량관리, 응용소프트웨어도입및유지보수, 장애관리, 데이터관리, 하드웨어도입및유지보수 물리적환경관리 제4절 국외 표준 및 지침 3. 국제 정보시스템감사통제협회 표준 (COBIT) 가. 제도의 개요 및 목적 나. COBIT 내용 다. COBIT 분석 소프트웨어 개발과 유지보수, 정보시스템 운영 업무를 수행하는 IT서비스산업에서 참조할 수 있는 관행과 요구사항을 제시하고 있는 모델이다. ISO/IEC 27001과 같이 특정 보안통 제항목을 지칭하고 있지 않으나 보안통제 방안으로 활용 가능한 모범관행 들이 다수 제시 되어 있다. 그러나 정보시스템 개발 및 운영을 포함하는 IT서비스 업무를 초점으로 만들 어진 모델의 한계를 갖고 있다 35
에서1996년제정한모델이다. Capability 보안프로세스를개선할수있게한다. 기업의보안관리프로세스성숙도개선을촉진하기위해미국카네기멜론대학소프트웨어공학연구소(CMU-SEI) Maturity Model)은22개의프로세스영역을5개의성숙도등급에따라평가하여기업이점진적으로 시스템보안공학능력성숙도모델(이하 SSE-CMM : System Security Engineering- 어있다. SSE-CMM은보안기초관행의11개프로세스영역과프로젝트와조직기초관행11개영역으로아래와같이구성되 PA01 PA02 PA03 관리자보안통제 영향평가 보안위험평가 프로젝트및조직기초관행 PA04 PA05 위협평가 PA12 PA06 PA07 PA08 보증요소도출 취약성평가 PA13 PA14 PA09 PA10 보안조정 PA15 품질보장 PA11 보안의식감시 PA16 프로젝트위험관리 형상관리 보안입력제공 PA17 기술적활동감시및통제 기술적활동계획 보안요구정의 PA18 조직의시스템공학프로세스정의 조직의시스템공학프로세스개선 보안검증및확인 PA22 PA20 PA21 PA19 공급자와의조정 시스템공학지원환경관리 상시적인기술및지식제공 제품라인혁신관리 스영역으로구성되어있으며미국의정부기관과국방성의표준에기초하여요구사항을정의하고있다. SSE-CMM은상기소프트웨어개발과운영초점의사업을수행하는IT서비스조직의보안을유지하기위한프로세 -소프트웨어개발프로젝트에대한보안관리프로세스를제시하고있는점이특징이나 -위험평가-위험에대한보증요소도출-보안요구사항정의 보안통제대책수립및이행등의일반적인 보안관리체계정립순서에따라정의되어있다, 다. SSE-CMM 분석 제4절 국외 표준 및 지침 4. 시스템보안공학성숙도 모델 (SSE-CMM) 가. 제도의 개요 및 목적 나. SSE-CMM 내용 소프트웨어개발및운영업무에초점을두고있어타산업에적용하는데무리가있다 SSE-CMM은 구체적인 보안통제 영역을 제시하고 있지 않으며 보안관리를 위한 프로세스 정립 및 이행, 개선에 초점을 두고 있다. 소프트웨어 개발 프로젝트의 보안 프로세스를 제 시하고 있는 특징을 가지고 있으나 소프트웨어 개발을 포함하는 업무에만 적용할 수 있다 는 한계를 갖고 있다 36
ISO/IEC 2005년(2) 27k 패밀리표준이아래의그림과같이지속적으로증가되고있다. 2006년(0) [ 27000 제정 추이 ] 2007년(1) ISO/IEC 27001(인증규격), ISO/IEC 27002(위험관리) 2008년(2) 2009년(3) 2010년(1) ISO/IEC 27005(위험관리), 27006(심사요구사항) 27000(개요및용어), ISO/IEC ISO/IEC 27011 27004 (통신산업지침) (성과측정), ISO/IEC 27799(의료산업지침) 제정중CD(3), 27003:2010 27007 (심사지침), (구축지침) CD 27010 (조직간소통) 제정중PDTR(1) 제정중WD(2) [ 제정중인정보통신기술(ICT)부문지침현황] FDIS ISO/IEC WD CD 27014 27013 (보안거버넌스) (ISO/IEC 20000-1과ISO/IEC 27001 통합인증규격) 27031 (ICT사업연속성지침), PDTR 27015 27008 (금융&보험산업지침) (통제심사지침) ISO/IEC 27033-X FCD WD 27037 27035 (네트워크보안), (디지털증거), (보안사고관리), ISO/IEC ISO/IEC 27034-X NP ISO/IEC NP 27038 27036 (어플리케이션보안) CD (디지털교정) 27032 (아웃소싱) (사이버보안) 제5절 보안 국제표준의 발전 동향 [ 보안 국제표준의 제정 추이 분석 결과 ] 1) 산업별 보안통제 적용 지침 강화 : 통신/의료/금융&보험 등 2) ISMS통제 영역별 세분화된 지침 강화 : ICT지침을 중심으로 제정 3) 유사 규격과의 통합 지침 강화 : IT서비스관리 인증규격 (ISO/IEC 20000-1) 37
제3장 보안통제 실행 지침 개요 제6절 보안통제실행지침의 개요 1. 국제표준과 보안통제항목 2. 보안통제 실행 지침 구조 제7절 보안통제실행지침의 실무 활용 1. 보안관리체계진단 시 활용 방안 2. 보안위험관리 시 활용 방안 3. 보안관리 체계 설계 시 활용 방안 4. 보안관리 교육 및 훈련 시 활용 방안
다. 의부록으로정의한배경은조직의보안위험평가결과에따라선택/제외되는보안통제항목이존재할수있기때문이 보안통제목표와통제항목은ISO/IEC 통제항목별이행지침은아래와같이ISO/IEC 27001 조항27001 인증규격의부록A항에표준으로제시되어있다. 27002의5항~15항에서제시하고있다 ISO/IEC 27002 조항본문이아닌표준성격 1. 2. 범주 3. 표준을따른참고자료 1.1. 1.2. 일반사항 용어와정의 정보보안경영시스템 표준의응용 1. 2. 3. 4.1. 4.2. 4.2.1. 일반적요구사항 4. 5. 범위 용어및정의 4.2.2. 4.2.3. ISMS 구축및관리 4.2.4. ISMS 6. 표준의구조 위험평가와처리 보안정책 4.3. 문서화요구사항 구현및운영 4.3.1. 일반사항 감시및검토 75.1 6.1 보안조직 정보보안정책 내부조직 4.3.2. 문서관리 유지및개선 8. 7.2 6.2 외부조직 8.1 자산관리 8.2 7.1 인적자원보안 정보분류 고용이전 고용중 자산에대한책임 경영자책임 4.3.3. 기록관리 9. 9.1 8.3 9.2 물리적 환경적보안 보안지역 고용종료또는변경 5.1. 10. 10.1 통신및운영관리 장비보안 5.2. 5.2.1. 경영자실행의지 자원관리 운영절차및책임 5.2.2. 자원의제공 훈련, 인식및능력 7.1. 7.2. 6. 내부ISMS 일반사항 검토입력 경영자검토 감사 10.4 10.2 10.3 악성및이동코드에대한보호 시스템계획및인수 제3자서비스인도관리 7.3. 8.2. 8.1. ISMS 검토출력 보안통제항목이행지침 10.5 10.6 백업 네트워크보안관리 8.3. 시정조치 지속적개선 예방조치 11. 10.7 10.8 10.9 매체취급 정보교환 전자상거래서비스 11.3 10.10 감시 11.4 부록A. 부록B. 부록C. (정보)OECD (정보)ISO (표준)통제목표와통제 11.5 11.2 11.1 사용자책임 네트워크접근통제 사용자접근관리 접근통제를위한업무요구사항 본국제표준의비교 9001:2000, 원칙과본국제표준 11.6 운영체제접근통제 어플리케이션및정보접근통제 ISO 14001:2004와 12. 11.7 12.1 정보시스템획득, 이동컴퓨팅및원격근무 12.5 12.2 12.3 12.4 개발및지원프로세스에서의보안 정보시스템보안요구사항 어플리케이션의정확한처리 암호통제 시스템파일보안개발및유지보수 13. 14. 12.6 13.1 13.2 기술취약성관리 15. 14.1 사업연속성관리 정보보안사고와취약점보고 15.1 준거성 정보보안사고관리와개선 15.2 15.3 보안정책및표준의준거성과기술적준거성 정보시스템감사고려사항 업무연속성관리의정보보안측면 법적요구사항에대한준수 제6절 보안통제실행지침 개요 1. 국제표준과 보안통제항목(1/4) 40
2[보안통제항목수] 1[보안통제항목출처] A.5 3[보안통제항목의추가] 보안정책 통제영역 통제영역(11)개, 정보보안경영시스템국제표준(ISO/IEC A.5.1 정보보안정책 기업의사업특성과이해관계자의요구에따라보안통제항목을추가할수있음 통제항목(39)개, 세부통제항목(133)개 270001)의부록A.보안통제항목 A.5.1.1 A.5.1.2 정보보안정책문서 정보보안정책의검토 세부통제항목 A.6 보안조직 A.6.1 A.6.1.1 정보보안경영자실행의지 내부조직 A.6.1.2 A.6.1.3 A.6.1.4 A.6.1.5 정보보안조정 A.6.1.6 정보보안책임배정 A.6.1.7 정보처리설비인가프로세스 A.6.1.8 기밀성협정 관련기관접촉 A.6.2 전문기관접촉 외부조직 A.6.2.1 A.6.2.2 A.6.2.3 정보보안의독립적검토 외부조직과관련된위험식별 고객거래시보안 A.7 A.7.1 A.7.1.2 A.7.1.1 자산의소유권 자산의목록 제3자보안협정 자산관리 자산에대한책임 A.7.2 정보분류 A.7.1.3 A.7.2.1 A.7.2.2 분류지침 정보표시및취급 자산의수용가능한사용 A.8 A.8.1 인적자원 고용이전 A.8.1.1 A.8.1.2 역할과책임 선발 보안 A.8.2 고용중 A.8.1.3 A.8.2.1 A.8.2.2 고용약정및조건 경영자책임 A.8.3 A.8.2.3 징계프로세스 정보보안인식, 교육및훈련 고용종료및변경 A.8.3.1 A.8.3.2 A.8.3.3 책임종료 자산반환 접근권한의제거 A.9 물리적, A.9.1 환경적보안 보안지역 A.9.1.2물리적출입통제 A.9.1.3 A.9.1.4 A.9.1.5 A.9.1.1물리적보안경계 A.9.1.6 사무실, 외부와환경적위협보호 보안지역에서의업무 공개적접근, 방, 설비의보안 A.9.2 인도및선적지역 장비보안 A.9.2.1장비장소와보호 A.9.2.2지원유틸리티 A.9.2.3케이블링보안 A.9.2.4장비유지보수 A.9.2.5건물외부의장비보안 A.9.2.6장비의안전한처분또는재사용 A.9.2.7자산의반출 제6절 보안통제실행지침 개요 1. 국제표준과 보안통제항목(2/4) 41
통제영역 A.10.1 운영절차와책임 통제항목 A.10.1.1 A.10.1.2 A.10.1.3 A.10.1.4 문서화된운영절차 변경관리 직무분리 개발, 시험, 운영설비의분리 세부통제항목 A.10.3 시스템계획및수용 A.10.2 제3의서비스인도관리 A.10.2.3 A.10.2.1 A.10.2.2 A.10.3.1 제3자서비스변경관리 서비스인도 제3자서비스감시및검토 용량관리 A.10.5 A.10.4 코드로부터의보호 악성및이동 A.10.4.2 A.10.3.2 A.10.4.1 이동코드에대한통제 시스템인수 악성코드에대한통제 A.10 통신및운영 A.10.6 백업 A.10.5.1 정보백업 관리 A.10.7 네트워크보안관리 A.10.6.1 A.10.6.2 네트워크통제 매체취급 A.10.7.1 네트워크서비스의보안 A.10.7.4 A.10.7.2 A.10.7.3 삭제가능한매체의관리 시스템문서의보안 매체폐기 정보취급절차 A.10.8 정보의교환 A.10.8.1 A.10.8.2 A.10.8.3 정보교환정책과절차 교환협정 전송중물리적매체 A.10.9 전자상거래서비스 A.10.8.4 A.10.8.5 A.10.9.1 A.10.9.2 업무정보시스템 전자상거래 온라인거래 전자메시징 A.10.10 A.10.9.3 공개가용정보 감시 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.4 감사로깅 A.10.10.5 시스템사용감시 A.10.10.6 로그정보의보호 관리자와운영자로그 결점로깅 시각동기화 A.11 A.11.2 A.11.1 접근통제사업요구사항 A.11.1.1 접근통제정책 접근통제 사용자접근관리 A.11.2.1 A.11.2.2 사용자등록 A.11.3 A.11.2.3 A.11.2.4 권한관리 사용자책임 A.11.3.1 A.11.3.2 A.11.3.3 패스워드사용 보호되지않은사용자장비 책상및화면정리정책 사용자패스워드관리 사용자접근권한검토 A.11.4 네트워크접근통제 A.11.4.5 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.1 네트워크에서의분리 외부접속에대한사용자인증 네트워크에서의장비식별 원격진단과포트설정보호 네트워크서비스사용정책 A.11.4.7 A.11.4.6 네트워크라우팅통제 네트워크접속통제 제6절 보안통제실행지침 개요 1. 국제표준과 보안통제항목(3/4) 42
통제영역 통제항목 세부통제항목 A.11 접근통제 A.11.5 운영시스템접근통제 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 안전한로그온절차 사용자식별및인증 패스워드관리시스템 A.11.6 A.11.5.6 A.11.5.5 접속시간의제한 시스템유틸리티의사용 근통제어플리케이션과정보접 A.11.6.1 세션시간종료 A.11.7 이동컴퓨팅및원격근무 A.11.6.2 A.11.7.1 A.11.7.2 민감한시스템분리 이동컴퓨팅및통신 정보접근제한 A.12.1 보안요구사항 원격근무 A.12.2 A.12 처리정보시스템 어플리케이션의정확한 A.12.1.1 A.12.2.1 A.12.2.2 A.12.2.3 보안요구사항분석및명세화 정보시스템 A.12.2.4 입력데이터유효성확인 내부처리의통제 메시지무결성 출력데이터유효성확인 획득, 유지개발및 A.12.4 시스템파일의보안 A.12.3 암호통제 A.12.3.2 A.12.4.1 A.12.3.1 A.12.4.2 키관리 운영소프트웨어의통제 암호통제사용에대한정책 A.12.5 A.12.4.3 시스템시험데이터의보호 개발및지원프로세스에서의 프로그램소스코드접근통제 보안 A.12.5.1 A.12.5.2 A.12.5.3 A.12.5.4 운영시스템변경후어플리케이션기술적검토 소프트웨어패키지변경에대한제한 정보유출 변경통제절차 A.12.6 기술적취약성관리 A.12.5.5 A.12.6.1 외주소프트웨어개발 A.13 정보보안 기술적취약성의통제 사고관리 A.13.2 정보보안사고와 A.13.1 취약점보고 정보보안사건과 A.13.1.2 A.13.1.1 보안취약점보고 정보보안사건보고 A.14 개선의관리 A.13.2.1 A.13.2.2 A.13.2.3 책임과절차 사업 정보보안사고로부터의학습 연속성 증거수집 관리 A.14.1 사업연속성 관리의정보보안관점 A.14.1.2 A.14.1.3 A.14.1.1 A.14.1.4 A.14.1.5 사업연속성과위험평가 정보보안을포함한연속성계획개발및이행 사업연속성프로세스에정보보안을포함 사업연속성계획수립프레임워크 사업연속성계획시험, 유지및재평가 A.15 준거성 A.15.1 법적요구사항과의준거성 A.15.1.1 A.15.1.2 A.15.1.3 A.15.1.4 A.15.1.5 적용가능한법률의식별 지적재산권 조직의기록보호 개인정보의프라이버시및데이터보호 준수사항에대한준수 A.15.2 보안정책, 기준, 기술적 A.15.2.1 A.15.2.2 A.15.1.6 보안정책및표준과의준거성 기술적준거성점검 정보처리설비오용의차단 암호통제의규제 A.15.3 정보시스템감사고려 A.15.3.1 A.15.3.2 정보시스템감사통제 정보보안감사도구보호 보안통제 개요 1. 국제표준과 보안통제항목(4/4) 43
구조(1/2) 중소기업의기술보호를위한 세부보안통제실행지침서 제6절 보안통제실행지침의 개요 으로아래의표와같이구분하여보안통제실행지침을구성하였다 ISO/IEC 2. 보안통제실행지침의 ISO/IEC 27002의11개통제영역을관리적보안(7통제영역), 27002 조항 가. (11개통제영역) 보안관리방법물리적보안(1통제영역), 보안통제실행지침 기술적보안(3통제영역) 적용 영역의 5. 6. 보안정책 보안조직 관리적 보안 기술적 보안 제8절 제9절 조항명 78. 9. 자산관리 인적자원보안 물리적 환경적보안 4장, 제10절 10. 통신및운영관리 제11절 11. 접근통제 5장, 제15절 12. 정보시스템획득, 개발및유지보수 6장, 제16절 13. 정보보안사고관리 제12절 제17절 14. 사업연속성관리 제13절 제18절 15. 준거성 4장, 제14절 1) 2) 관리적보안 3) 물리적보안 기술적보안 자산의고의적또는우연적인유출, 자산의절도, 파괴, 화재등과같은각종물리적인위협으로부터보호하는방법. 변조, 파괴와같은관리적위협으로부터보호하는방법 인터넷, 네트워크를통한자산의침해위협으로부터보호하는방법 [ 보안관리 유형의 구분 기준 ] 44
구조(2/2) 제6절 보안통제실행지침의 개요 통제항목제목과ISO/IEC 2. 통제항목의목표와상세목표(ISO/IEC 27001 조항번호 보안통제실행지침의 나. 세부통제항목제목과목표(ISO/IEC 통제항목(39개) 지침 통제항목의해설 27002) 중소기업의기술보호를위한 세부보안통제실행지침서 세부통제항목제목과목표(ISO/IEC 통제영역제목과ISO/IEC 27001 조항 다. 세부통제항목해설(ISO/IEC 27002) 통제항목(133개) 지침 27002) 세부통제항목지침 45
Gap 파악하여관련ISMS제도를개선하고내재화하는기초자료로활용한다. 보안통제수준진단은각전문기관별로차이가있으나아래의그림과같이5단계31타스크로진행한다. I II 진단은진단기준대비현행ISMS제도가어느정도부합하는가와 진단은진단기준대비현행실무관행이어느정도부합하는가를 제7절 보안통제실행지침의 실무 활용 1. 보안통제수준 진단 시 활용 방안 각진단단계별로보안통제실행지침은다음과같은핵심자료로활용하게된다 [2단계] [1단계] 진단목표설정 진단요구사항도출: 진단범위설정: 세부보안통제영역을기준으로설정. 세부보안통제항목의목표를활용. 보안통제실행지침의활용예) 예) 관리적보안영역 [3단계] 진단방법론정립 I 진단기준정의: 진단팀교육: 법률및표준요구부합성분석시본지침을활용 Text 본지침의세부보안통제해설및실행지침참고 Book으로본지침활용 키보호 [4단계] [5단계] Gap 진단결과공유 II 법률및표준요구내재화율분석시본지침을활용 진단결과보고서작성시보안통제항목별로Gap I, II를분석 46
동을전개한다. ISO/IEC 사소통, 택하여해당기업에필요한보안제도정립, 위험감시및검토등6개로분류할수있다. 27005의위험관리프로세스는아래의그림과같이RM환경설정, 본지침은위험관리에서도매우중요한자료로활용할수있다 보안인력육성, 위험평가를통해ISMS를설계하고적절한보안통제를선 보안도구도입, 위험평가, 전단조직구성등의프로세스개선활 위험처리, 위험수용, 위험의 제7절 보안통제실행지침의 실무 활용 2. 보안위험관리 시 활용 방안 위험관리단계별로보안통제실행지침을아래와같이활용하게될것이다 [1단계] [2단계] RM환경설정 위험평가 진단단계 해당없음 현존하는모범적인취약성목록은본지침의세부보안통제항목이다 보안통제실행지침의활용 [4단계] [5단계] [3단계] 위험수용 위험감시및검토 위험처리 위험을수용할만한수준인가를판단할때본지침을활용한다 기존위험이완화되고있는가를검토할때본지침을활용한다 위험을완화하기위한보안통제선정시본지침을활용한다 [6단계] 위험의사소통 위험에대한수용수준을전파할때본지침을활용한다 47
보안통제실무지침의제정또는개선에본지침이핵심인풋으로활용될수있다. ISMS관련지침의수는기업의사업특성에따라다를수있으나아래의표와같이32종의지침이필요하다. 번호 1 보안관리총괄정책서 실무지침명 보안통제실행지침참조조항 423 보안조직관리지침 인사보안지침 제11절 제8절 5 보안위험평가지침 외주인원보안지침 제11절, 제9절 - 867 사무실보안지침 정보자산관리지침 물리적보안지침 제15절 제10절 제16절 10 11 12 9 개인사용자보안지침 응용프로그램보안지침 정보처리설비보안지침 PC보안지침 제15절, 제16절, 제16절, 제17절, 제17절, 제18절 제18절 14 13 15 16 무선랜보안지침 PC사용자계정및IP발급지침 인터넷보안지침 17 18 방화벽룰등록및변경지침 서버보안지침 19 웹DNS DHCP서버보안지침 제16절, 제17절 20 취약점점검지침 제12절, 21 정보통신시스템보안성검토지침 소스코드취약점분석및개선지침 제17절 제18절 22 23 24 정보시스템구성및변경관리지침 정보시스템개발보안지침 침해사고대응지침 제16절, 제12절, 제18절 제18절 25 27 26 문서보안지침 보안감사지침 제16절, 제16절 28 정보보호시스템관리지침 시스템용량관리지침 제14절 제18절 29 30 31 32 정보시스템운영관리지침 정보시스템재해복구지침 정보시스템백업지침 전자문서보안관리지침 제16절, 제13절 제16절 제18절 제7절 보안통제실행지침의 실무 활용 3. 보안관리체계 수립 시 활용 방안 48
아래와같이보안전문가양성을위에기초및심화과정에유용한교재로활용가능하다 국제표준보안통제이해 보안전문가양성-기초 보안법규요구사항이해 회사보안통제지침이해 Text Book 부교재로활용 보안관리체계진단실습 보안전문가양성-심화 보안위험처리계획수립실습 보안위험평가실습 진단기준수립, 취약성목록으로보안통제항목활용 Gap분석, 진단결과분석기준으로활용 보안감사실습 위험완화를위한보안통제선정시활용 정보시스템취약성점검실습 보안감사체크리스트, 보안위반증거수집실습 취약성체크리스트정립및충족도평가에활용 부적합정의기준으로활용 보안성과분석실습 보안성과분석기준으로활용 보안통제항목별존재하여야하는증거목록작성에활용 제7절 보안통제실행지침의 실무 활용 4. 보안관리 교육 및 훈련 시 활용 방안 49
제4장 관리적 보안통제 실행 지침 제8절 보안 정책 제9절 보안 조직 1. 내부 조직 2. 외부 조직 제10절 자산 관리 1. 자산에 대한 책임 2. 정보 분류 제11절 인적자원 보안 1. 고용 이전 2. 고용 중 3. 고용 종료 및 변경 제12절 보안 사고 관리 1. 보안사건과 취약점 보고 2. 보안 사고 및 개선 관리 제13절 사업연속성 관리 제14절 준거성 1. 법적 요구사항과의 준거성 2. 보안 정책과 표준 준거성, 기술적 준거성 3. 정보시스템 감사 고려사항
통제항목 보안정책(Information security policy)[ ISO/IEC 27001 A.5.1 ] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 사업요구사항과관련법규에부합하는정보보안관리방향과지원을제공하기위함 세부 경영자는사업목표와일맥상통하는명확한정책방향을설정하고조직에대해정보보안정책을공표하고 유지하여정보보안에대한실행의지와지원을입증하여야한다 통제항목 정보보안정책문서 정보보안정책의검토 [ ISO/IEC 27001 A.5.1.1] A.5.1.2] 정보보안정책문서는경영자가승인, 계획된간격또는적합성, 에게전달하여야한다 중요한수정이발생한경우에정보보안정책을검토하여야한다. 타당성과효과성을지속적으로보장하기위해 공표하고직원들과관련외부조직 1) 통제항목 2) 기업보안원칙이나목표등은모든임직원이손쉽게볼수있는장소에액자형태로부착하여 보안통제의목표를달성하기위해수립한정책서, 보안의식을고취할수있도록한다. 절차서, 지침서, 표준, 프로세스정의서, 템플리트, 해설 3) 4) 보안시스템문서들은임직원들이쉽게접근하여업무에참조할수있도록그룹웨어나특정웹서버에 가능한경우특정웹서버를이용하여정보보안관련문서를컨텐츠화하고시간과공간에제한없이 점검항목등(이하 보안시스템문서 )의보안시스템문서들은정해진절차에따라승인, 등록하여공유 공표 5) 보안정책의검토는정기적으로보안(심사)위원회에서년2회실시한다. 접근할수있는E-러닝교육을실시. 보안교육은반복교육을통한보안의식고취에초점을두어야함. 6) 보안정책의검토는별도의회의체보다는보안심사위원회등의경영자회의에하나의안건으로제출 화등외부의보안요구변경, 수정필요성을검토 고객등이해관계자요구, 보안사고의발생교훈등에따라정책/수침의 회사의신사업추진, 법규변 하는것이효율적임 제8절 보안 정책 52
정보보안정책문서(Information 정보보안정책문서는경영자가승인, 1세부통제항목 security 공표하고직원들과관련외부조직에게전달하여야한다. policy document) 1. _[ 보안정책(Information ISO/IEC 27001 A.5.1.1 ] security policy)[ ISO/IEC 27001 A.5.1 ] b) 정책문서는다음과같은관심사항을포함하여야한다.: a) 정보보안정책문서에는경영자의실행의지를포함하여정보보안을관리하는조직의접근방안을설정한다. 2해설 c) d) 위험평가와위험관리의구조를포함하여통제목표와통제를설정한프레임워크 정보공유를가능케하는메커니즘으로서의정보보안정의, 보안정책, 사업정책과목표와일맥상통하는정보보안의목표와원칙을지원하는경영자의도를언급; 원칙, 표준, 조직에게특별히중요한다음을포함한준수요구사항의설명; 이의전반적인목적및범위와중요성; 4) 1) 3) 2) 정보보안정책위반의결과; 법규준거성, 사업연속성관리; 보안교육, 훈련및인식요구사항; 규정및계약적요구사항; e) f) 정책을지원할수있는문서에대한언급, 보안사고의보고를포함한정보보안관리에대한일반적그리고특별한책임을정의; 상기정보보안정책은의도한독자가이해할수있고, 전달하여야한다. 예) 특정정보시스템에대해상세한보안정책과절차또는사용자가준수하여야하는보안규칙. 정보안정책은일반적인정책문서의일부로정립할수있다. 접근가능하며, 정보보안정책이조직외부에배포되는경우에는 적정한형태로조직전반의사용자에게 민감한정보가노출되지않도록주의를기울여야한다, 3실행지침 더상세한정보는ISO/IEC 13335-1:2004를참조 보안정책은일반적으로기업차원의총괄정책과각보안통제영역별세부정책으로구분하여수립한다. 책서는하나의문서로작성할수도있고, 현재국제표준에서권고하고있는보안통제영역별세부정책은다음과같다 각보안통제영역별로구분하여작성할수있다. 보안정 1) 4) 7) 11) 접근통제정책, 외부네트워크로부터소프트웨어파일획득및유통정책, 2) 책상및화면정리정책, 3) 비인가소프트웨어정책, 15) 조직간정보교환정책, 이동컴퓨팅및통신정책, 소프트웨어라이센스정책, 8) 전기통신설비사용정책, 12) 16) 원격근무정책, 소프트웨어폐기정책, 13) 9) 암호통제정책, 기록보유정책, 17) 5) 데이터보호및프라이버시정책 이동코드정책, 14) 10) 준거성정책, 네트워크서비스활용정책 6) 백업정책, 해관계조직의마음가짐과행동자세등을포함한다. 을지원하는프로세스정의서, 목표, 보안정책을수립할때고려사항은1) 최상위수준의요구사항, 절차서, 주요보안조직의역할과책임등을정의하고, 보안에관한한기업의최상위규범(헌법의조항과같은), 지침서, 표준, 체크리스트등의보안제도가반드시지켜야하는원칙과 3) 보안목표달성을위한관련이 2) 각보안정책 제8절 보안 정책 53
정보보안정책의검토(Review 계획된간격또는적합성, 1세부통제항목 of the information security policy) 1. _[ 보안정책(Information 정보보안정책을검토하여야한다. 타당성과효과성을지속적으로보장하기위해중요한수정이발생한경우에 ISO/IEC 27001 A.5.1.2 security ] policy)[ ISO/IEC 27001 A.5.1 ] 그타당성과적절성을검토하여야한다는요구사항이다. 보안정책을내 외부경영여건의변화에따라제정또는개정, 2해설 보안정책은수립, 검토및평가에대한관리책임이있는소유자가있어야한다. 폐기하게되는데그러한변화가발생한경우에 조직의보안정책개선필요성에대한평가를포함하여야한다. 환경, 사업상황, 법적조건, 또는기술적환경의변경결과로이루지게되며정보보안을관리하는접근방법과 검토는조직의보안정책, 조직 정보보안정책의검토는경영자검토결과로서고려하여야한다. 를수립하여야한다. 1) 2) 이해관계자로부터의피드백; 독립검토의결과(A.6.1.8 경영자검토대상은다음과같은정보를포함하여야한다.: 참조); 검토일정과기간을정의한경영자검토절차 6) 5) 4) 3) 사업환경, 프로세스성과와정보보안정책준거성; 이전의경영자검토결과; 시정및예방조치의상태(A.6.1.8 법적인조건, 자원가용성, 와A.15.2.1 법적+계약적+규정적조건, 참조); 7) 변경을포함한정보보안을관리하는조직의접근방법에영향을미칠수있는변경; 위협및취약성경향; 또는기술적환경등조직의환경에대한 경영자검토의출력정보는다음과관련된모든결정과행동을포함하여야한다.: 8) 9) 보고된정보보안사건(A.13.1 참조); 1) 적절한권한에의해제공된권고사항(A.6.1.6 정보보안을관리하는조직의접근방법의개선과정보보안프로세스들; 참조); 경영자검토의기록은유지하고수정된정책에대해서는경영자의승인을득하여야한다. 3) 2) 자원과책임배정의개선. 통제목표와통제의개선; 안건의하나로실시한다. 보안정책의검토는기업의임원과주요관리책임자로구성된보안위원회또는보안심사위원회등의회의 3실행지침 화, 고, 보안인력의양성, 보안프로세스의성과, 보안솔루션의도입등의보안프로세스개선필요성을검토하고결정한다. 이러한회의에서는사업목표달성을지원하는보안관리체계의유효성을보안관련사 따라서보안정책검토회의는중요현안의발생시수시회의또는년1회이상의정기회의를통해실시한다. 대내외사업여건의변화등을함께검토하여현행보안정책의변경, 보안조직의강 보안정책검토회의에는회사의주요경영자와보안관리조직구성원이참여하여보안관리체계를지속적으로개 선하기위한경영자의결의를천명하는기회가되어야한다. 제8절 보안 정책 54
통제항목 내부조직(Internal organization) [ ISO/IEC 27001 A.6.1 ] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 조직내부의정보보안을관리하기위함 관리골격은조직내의정보보안구현을착수, 룹과의접촉은적정한권한을포함하여산업적경향, 인하고보안2) 필요한경우조직에서정보보안전문가의조언과도움을받을수있도록한다. 발하고보안사고대응시접촉포인트를제공한다. 역할을배정, 조정하며3) 조직의보안구현상태를검토하여야한다 통제하기위해수립된다. 정보보안에대한다중원칙접근을견지하여야한다 표준및평가방법의감시등을유지하기위해개 경영자는1) 외부보안전문가또는그 정보보안정책을승 정보보안경영자실행의지 정보보안조정 A.6.1.1] 경영자는명확한방향, 정, 주지시켜조직내의보안을적극적으로지원한다. 증명된실행의지, 정보보안책임을정확하게배 정보보안책임배정 A.6.1.2 가조정하여야한다 보안활동을적절한역할과업무기능가진조직의다른파트의대표자 통제항목 세부 정보처리설비인가프로세스 A.6.1.3 A.6.1.4 모든보안책임을명확히정의하여야한다 기밀성협정 A.6.1.5 요구사항을식별하고정기적으로검토하여야한다. 신규정보처리설비를위한관리자인가프로세스를정의하고 정보보호를위한조직의요구를반영한기밀성또는누설방지협정의 이행하여야한다. 관련기관접촉 A.6.1.6 관련기관에대한적절한연락을유지하여야한다.. 전문기관접촉 [ 정보보안의독립적검토 ISO/IEC 27001 A.6.1.7 A.6.1.8 ] 통제목표와통제, 특별한관심을갖고있는그룹이나기타전문보안포럼, 보안을관리하는조직의접근방법과그것의이행은(즉보안을위한 해적절한연락을유지하여야한다 정책, 프로세스와절차) 독립적으로계획된간격이 전문단체에대 1) 보안경영자(CSO)는회사의CFO 나보안이행에대한중대변경발생시검토하여야한다 통제항목 CSO는보안관리실무조직과각부서의보안담당자를지정하고적절한책임과역할을배정한 또는CIO 중의1인을대표이사가지정하고그책임과역할을배정 해설 2) 정보처리설비는정보자산을집대성하고있는중요한자산중의하나이므로설비가위치하고있는 행한다. 시설에대한관리적, 러한설비와시설에대한공식적인인가절차를수립하여야한다. 또는CSO는조직에서발생하는모든보안관련현안에대해해결과개선을위한대책을수립, 물리적, 기술적보호대책이필요하므로많은보호비용을수반한다. 따라서그이 3) 4) 5) 기밀성협정은임직원, 권한은건물/사무실/자산의중요도/비밀등급에따라설정하고출입증, 보안은객관적이고정확한검토를보장하기위해조직또는업무책임에서자유로운그룹에의해검 불가피한경우영구적또는일시적기간의협정에반드시서명하도록한다. 토한다. 검토방법은침투시험, 계약자, 사용자등이중요시설출입하거나중요자산에접근이업무적으로 취약성점검, 보안성검토등이있다키등을제공한다. 제9절 보안 조직 55
정보보안경영자실행의지(Management 경영자는명확한방향, 1세부통제항목 commitment to information 1. 내부조직(Internal 적극적으로지원하여야한다. 증명된실행의지, 정보보안책임을정확하게배정하고주지시켜조직내의보안을 security)[ ISO/IEC organization)[ 27001 A.6.1.1 ISO/IEC ] 27001 A.6.1 ] 사업영위에필요한보안목표를설정하고, 데에는경영자의적극적인지원이필수적이다. 2해설 여주어야한다는요구사항이다. 경영자는다음을실행의지로보여주어야한다 목표달성을위한조직, 보안에대한경영자가직접적이고가시적인지원이실행의지보 프로세스, 절차, 지침을수립하여이행하는 b) c) d) a) 보안정책구현효과성을검토. 보안목표식별, 보안정책을공식화하고, 보안착수를위한명확한방향과가시적인관리지원을제공. 조직요구사항충족, 검토하며, 승인. 적정한프로세스로통합을보장 h) g) e) f) 조직전반의보안을위한구체적인역할의책임배정의승인. 보안에필요한자원의제공. 경영자는보안에대한내외부전문적가의조언에대한요구사항을파악하고조직전반에대한조언들을 보안통제이행을위한조직전반을조정(A.6.1.2 보안인식을유지하기위한계획과프로그램착수. 검토하고조정해야한다. 참조). 조직의규모에따라이사회와같은관리자포럼이나기존위원회들에의해서이러한책임들이이행한다. 더상세한정보는ISO/IEC 3실행지침 13335-1:2004를참조. 1)보안경영자(CSO: 2)보안정책과목표의검토및승인 경영자의보안에대한직 간접의지원이필요하다. 3)보안위원회구성및참여. 경영자가직접적으로참여하여지원하여야하는사항은다음과같다 4)보안인력, 예산, 조직의구성승인 Chief Security 보안성과 Officer)의임명. CSO의책임과권한배정 5)중요보안사고의해결지원 경영자가간접적으로지원하여야하는사항은다음과같다 1)보안정책과목표의달성독려 2)보안인식고취를위한주의환기 3)보안위반사항에대한책임추궁 4)보안정책, 5)중요보안사고의해결지원 최고경영자의역할을CSO에게위임하여원활한지원이이루어지도록한다 프로세스, 절차, 지침, 표준의준수지원 제9절 보안 조직 56
정보보안조정(Information 보안활동을적절한역할과업무기능가진조직의다른파트의대표자가조정하여야한다 1세부통제항목 security coordination)[ ISO/IEC 1. (조정조직의독립성을강조) 27001 내부조직(Internal A.6.1.2 ] organization)[ ISO/IEC 27001 A.6.1 ] 보안활동들의조정을위해서는객관적이고공정한의사결정과조직전반에미치는영향을고려하여독립적인 조직에의해수행되어야한다는요구사항이다 2해설 보안조정은경영자, 어야한다. 보안조정활동은다음을포함한다 a) 보안활동들이보안정책에부합되게이행되고있는지를보장 전문가는보험, 사용자, 법률이슈, 관리자, 설계자, 인적자원, 감사자그리고보안인력, IT 또는위험관리등영역의전문인력을말한다 전문가등의협력운영과협조가수반되 e) c) d) b) 정보보안방법론과프로세스승인. 정보보안통제의구현적절성과조정을평가 심각한위협의변화, 미부합사항을다루는방법을식별 f) 조직전반의보안교육과훈련을효과적인촉진 정보의유출, 위협에처한정보처리설비등을식별 예) 위험평가, 정보등급분류등 만약보안조직이별도의기능그룹으로분리되지않은경우에는위에제시된활동들은다른적절한위원회나 개별적관리자(CSO g) 보안사고들을감시하고검토한결과를평가해야하고, 파악한사고에대한적절한조치를권장 3실행지침 등)에의해수행되어야한다. 객관성과형평성을보장할수있다. 보안조정활동의대부분이정책개발. 관리적인측면에치중되어있어조직전반의보안문화정착에커다란영향을미친다. 따라서보안구현을위한조정활동은사업적인책임(예, 따라서CSO를포함한조직을독립적으로운영하는것이필수적이다. 제도정립및개선, 보안통제이행촉진, 매출과손익등)이없는조직에의해수행되어야만이 교육및훈련, 감사, 평가등의 여무시되거나약화될가능성이높기때문이다. 보안통제를구현하기위해서는각부서의협조뿐만아니라외부조직과의협력이매우중요하다. 소규모조직에서는IT부서, 치하는것은바람직하지않다. 품질부서또는경영지원부서의일부로통합하여운용할수있으나사업조직에배 보안은품질과같이소홀히하면비용을줄일수있다는단기적인성과에급급하 을위한네트워크를구축하여야한다. 비스거부공격과같은위협은보안전문회사의적시의도움이필수적이다. 통신회사, 보험회사, 변호법인등과같은외부기관이지원이필요하므로관련기관, 또한소방, 단체, 경찰, 업체와의원활한협력 의료, 안전, 예를들어서 전력회사, 제9절 보안 조직 57
정보보안책임배정(Allocation 모든보안책임을명확히정의하여야한다 1세부통제항목 of information security responsibilities)[ 1. 내부조직(Internal 2해설 ISO/IEC 27001 organization)[ A.6.1.3] ISO/IEC 27001 A.6.1 ] 각임직원과협력업체, 한다는요구사항이다. 보안책임을보안정책에따라배정한다. 물품공급업체등사업을수행하는모든조직에대해보안책임을명확히정의하여야 인식하여야한다. 의한다. 자산보호와특정보안프로세스수행을위한(예를들어사업연속성계획수립) 이러한책임은필요한경우특정사이트와정보처리설비를위한상세한지침등에적절히정 개별자산의보호나특정보안프로세스를수행하는책임을명확하게 배정된보안책임을가진개인들이다른사람들에게보안업무를위임할수있다. 그렇지만그들에게는아직책 책임을명확하게정의 임이남아있기때문에위임된업무들이제대로이행되고있는지확인하여야한다 특히다음과같은활동을수행하는개인의책임영역을명확히명시하여야한다.; a) b) c) 권한등급을명확하게정의되고문서화한다. 각특정시스템과연관된자산과보안프로세스의식별하고명확하게정의하는활동 많은조직에서보안의개발과구현통제의식별지원에대한전체적인책임을갖는보안관리자를지정한다. 각자산또는보안프로세스를위한책임이있는개체를배정하고책임상세를문서화한다(A.7.1.2 참고) ; 일상적인보호책임이있는자산소유자를지정하는것이다. 그렇지만통제를위해자원을제공하고이행하는책임은개별관리자에게있다. 3실행지침 하나의공통적인관행은자산의 회사의중요한가치를갖는자산에대한보안책임은자산의소유자, 이러한보안책임은대개업무수행프로세스, 보안측면에서자산의소유자는보안요구사항을제시하고그요구상에합당한보안통제를구축하여자산의관 절차, 지침, 직무기술서에정의하는것이일반적이다 관리자, 사용자에의해보호되어야한다. 자산의소유자는장치가전력공급중단시어느정도의시간과용량으로작동되어야하는지에대한요구사항 을제시하고원활한작동을위해장치의유지보수, 리자와사용자가이행할수있도록하여야하는막중한책임을갖고있다. 장치용량의적절성검토및개선, 예를들어비상전력공급장치에대한 정기점검및개선활동을실시하고, 등에대한보안통제를구축하여야한다. 비상사태발생시각부서에서사용할수있도록하여야한다. 이러한보안통제가구축되면장치의관리자는물품공급업체와적절한 장치성능의점검및훈련 어회사의중장기발전계획서에대한자산소유자는계획을입안한기획부문의관리책임자이다. 산의관리자가아니다. 따라서자산의소유자를중요자산별로명확하게정의하는것이가장중요하다고할수있다. 대개자산소유자는자산의도입, 작성, 개선, 변경, 갱신등을수행하는자이다. 자산소유자는자 특히정보처리설비, 영업기밀+설계기밀등민감한정보, 어플리케이션등의핵심자산에대해서는합당한 예를들 자산소유자를지정하여야한다. 제9절 보안 조직 58
정보처리설비인가프로세스(Authorization 신규정보처리설비를위한관리자인가프로세스를정의하고이행하여야한다 1세부통제항목 process for information 1. 내부조직(Internal 2해설 facilities) [ISO/IEC organization)[ 27001 A.6.1.4] ISO/IEC 27001 A.6.1 ] 다음의지침들을인가프로세스를위해고려하여야한다. 관리자인가프로세스를정의하고이행하여야한다는요구사항이다 정보처리설비는회사의중요한정보자산을생성, 갱신, 삭제, 전송하는역할을수행하는핵심자산이므로적절한 1)새로운설비들은그들의목적과사용을인가하는적절한사용자관리인가를가지고있어야한다. 2)필요한곳에서는하드웨어와소프트웨어가타시스템컴포넌트들과작동하는지를점검하여야한다.; 3)업무정보처리를위해개인또는개인적으로소유한정보처리설비(예, 인가는관련된보안정책과요구사항을충족하는것을보장하기위해단위정보시스템의보안환경을유지하 는데책임이있는관리자로부터또한획득하여야한다. 3실행지침 치)의사용은새로운취약점이존재할수있으며필요한통제를파악하고이행하여야한다 랩탑, 가정용컴퓨터또는휴대용장 새로운정보처리설비에대한인가프로세스의핵심은해당설비의보안위험평가를통해적절한보안통제를 될수있다. 이러한보안통제는사용자에업무에활용하기위해필요한기능과성능이발휘되는지, 구현하는지에대한관리를위해필요하다. 따라서정보처리설비의인가프로세스에는보안위험평가또는취약성점검등의활동이선행되어야한다. 는과정이해당자산의보안요구사항을충족하는지, 외부의공격에대해취약점이존재하는지등을모두포함 민감한정보를처리하 또한인가권한은사용조직의관리책임자, 보안부서의관리책임자가동시에갖는것이바람직하다. 제9절 보안 조직 59
기밀성협정(Confidentiality 정보보호를위한조직의요구사항을반영한기밀성또는누설방지협정의요구사항을식별하고정기적으로 1세부통제항목 검토하여야한다. agreements) [ ISO/IEC 27001 A.6.1.5] 내부조직(Internal organization)[ ISO/IEC 27001 A.6.1 ] 위해사업에종사하는조직구성원과자산을관리하거나사용하는모든당사자와기밀협약을체결하여야한다 보안서약은조직의핵심자산을보호하기위한중요한수단이다. 2해설 는요구사항이다 법적, 계약적, 윤리적요구사항을충족하기 기밀성또는누설방지협정은법적으로강요되는조건들을사용하여기밀정보를보호하기위한요구사항들을 포함하여야한다. 1)보호대상정보정의(예, 2)협정기간(무기한포함) 3)협정종료시필요한조치; 기밀성또는누설방지협정에대한요구사항들을파악하기위해서는다음사항들을고려한다. 4)비인가정보유출( Need ; 기밀정보) to know 와같은)을피하기위한서명자의책임과조치; ; 5)정보, 6)기밀정보의허가된사용,그리고정보사용에대한서명자의권리; 7)기밀정보에수반되는활동을감사,감시하기위한권리; 8)비인가누설또는기밀정보위반을통지하고보고하는프로세스; 거래비밀그리고지적자산소유권그리고이것을기밀정보보호에연계하는방안; 9)협정중지시파괴또는회수되어야하는정보에대한약정; 10)협정위반시취할것으로예상되는조치. 부합하여야한다.(A.15.1.1 기밀협정그리고비공개협정은그것에적용될수있는사법권에대해적용가능한모든법률과규제와 조직의보안요구사항에기초하여기타다른요소들이기밀또는비공개협정에필요할수있다. 기밀성그리고누설방지협정에대한요구사항들을주기적으로그리고이들요구사항들에영향을미치는변경 이발생시검토한다. 참고) 보안서약은채용시, 3실행지침 기밀협정에는회사에서요구하는보안정책과관련사규를준수하는것뿐만아니라, 한다. 특히개인정보를다루거나정보처리시설을운영하는등의당사자에게기밀협정은필수적이다. 비밀취급인가시, 중요시설출입시, 중요정보취급시등다양한시점에당사자와체결 구사항, 보안서약의기간은방문자, 관련법규의요구사항을준수하여야함을포함하여야한다. 임시출입자등에게도필요할수있다. 또한그들이중요정보를다루고나서반환 계약서에명시된보안요 또는폐기하여야하는의무사항에대해서도약정에포함하여야한다. 제9절 보안 조직 60
관련기관접촉(Contact 관련기관에대한적절한연락을유지하여야한다 1세부통제항목 2해설 with authorities) [ ISO/IEC 27001 A.6.1.6] 내부조직(Internal organization)[ ISO/IEC 27001 A.6.1 ] 조직은인터넷으로부터공격을당할때공격출처에대한적절한조치를취하기위해서외부의제3자(인터넷서 경우적시에보안사고보고에대한절차를유지하여야한다. 조직은누가, 언제관련기관(예. 법집행, 소방, 감독기관등)과연락을취하여야하는지와위법으로의심되는 지원하기위한요구사항일수있다. 이러한연락을유지하는것은보안사고관리(A.13.2 비스제공자또는통신운영자)의지원이필요할수있다. 를위해필요하다. 참조) 도는사업연속성및비상계획수립프로세스(A.14)를 3실행지침유틸리티, 비상서비스, 규제기관과의연락은조직이준수하여야하는법/규제의변경에대한준비 의료및안전등의기타기관과의연락도필요하다. 1) 보안관련기관은대개다음과같다. 보안관련기관과의연락은반드시창구를지정하여일관된소통이이루어질수있도록한다. 2) 3) 4) 사이버경찰청 5) 감독기관(금융위원회, 의료기관 소방기관 지역경찰서 소방방재청등) 6) 7) 8) 9) 전력, 국토지리원 지역자치단체(구청, 가스공급업체 10)보안전문회사(안철수연구소등) 11)통신회사 인터넷진흥원 시청등) 제9절 보안 조직 61
전문기관접촉(Contact 특별한이해집단이나기타전문보안포럼, 1세부통제항목 with special interest groups)[ ISO/IEC 1. 내부조직(Internal 2해설 전문협회에대한적절한연락을유지하여야한다 27001 A.6.1.7] organization)[ ISO/IEC 27001 A.6.1 ] 인의도움이필수적이다. 악성코드, 특별이해집단또는포럼의멤버십을다음의수단으로고려하여야한다. 이동코드, 전염병등에의한보안통제를이행하기위해서는전문적인지식을갖고있는단체와개 a) 최신의보안정보를확보하고모범관행에대한지식을개선; 따라서전문단체에가입하여정보를공유, 교환하는접촉이필요하다는요구사항이다. d) e) c) b) 조기경보, 전문적인보안조언을획득 현재와완비된보안환경을이해하는것을보장 f) 조언그리고공격과취약점에대한패치등을확보 3실행지침 보안사고를다룰때적절한연락창구제공(A.13.2.1 새로운기술, 제품, 위협또는취약점에대한정보를공유하고교환 참고). 현실적으로불가능하므로전문단체와개인과의협업을위한연락체계를유지하여야한다. 국내의보안관련전문기관또는협회는다음과같다. 보안은광범위하고다양한전문지식을필요로한다. 그러한전문지식을회사에서모두확보하는것이 4)국정원산업기밀보호센타(service4.nis.go.kr)-산업보안실태진단 2)사이버테러대응센터(www.netan.go.kr) 3)한국인터넷진흥원(www.kisa.or.kr) 1)사이버경찰청(cyber112.police.go.kr) 인터넷침해대응 5)국정원111콜센터(potal.nis.go.kr) 산업스파이신고 사이버범죄신고 7)한국정보화진흥원(www.nia.or.kr) 6)한국산업기술보호협회(www.kaits.or.kr) 국가정보화정책수립, 산업기술보호교육, 보안통제지침수립 진단등 제9절 보안 조직 62
정보보안의독립적검토(Independent 보안을관리하는조직의접근방법과그것의이행은(즉보안을위한통제목표와통제, 1세부통제항목 review of information 1. security)[ 내부조직(Internal 독립적으로계획된간격이나보안구현에대한중대변경사항발생시검토하여야한다. ISO/IEC 27001 organization)[ A.6.1.8] ISO/IEC 27001 A.6.1 ] 2해설 정책,. 프로세스와절차) 함한다. 위해필요하다. 독립적인검토는경영자에의해착수된다.그러한검토는보안관리접근의적절성과적합성, 검토는정책과통제목표를포함하여개선기회, 보안접근법의변경필요성을평가하는것을포 효과성보장하기 에의해이루어져야한다. 검토는독립적인내부조직(예. 독립적인검토의결과는기록되고검토를시행한경영자에게보고하여야한다. 이들검토를이행하는개인들은적절한기술과경험을가지고있어야한다. 내부감사조직), 독립적인관리자또는그러한검토를전문으로하는제3자기관 독립적인검토에서조직의보안관리에대한접근법과구현이부적절하거나보안정책문서에언급된보안지침 이들기록들은지속적으로유지 과일치하지않은경우에는(A.5.1.1 각영역에서경영자는정기적으로검토하기도하고독립적으로검토할수도있다. 기록의점검또는보안정책문서검토등을포함한다. 참고) 경영자는시정조치를고려하여야한다. 로그램의구축및이행을포함한독립적인검토를수행하기위한지침으로유용하다. 운영에대한독립적검토와시스템감사툴의사용에대한통제를명시하고있다. ISO 19011:2002 (품질/환경경영시스템감사)도검토프 검토기법은경영자인터뷰, 3실행지침 A.15.3에서정보시스템의 는점이다. 경영자검토는품질경영시스템(ISO 포함되어있다. 하고있다는것이다. 검토가객관적이고공평하게진행되어보안관리체계를개선할수있도록하여야한다는점을강조 모두동일한목적으로갖는검토를의미하고있으나차이점은 독립적인 검토를요구하고있다 9001), 환경경영시스템(ISO 14001)과같은경영시스템의요구사항에모두 독립적인검토는대개년1회이상보안위원회등을통해실시하여공통적인안건은다음과같다 2)보안통제이행성과측정결과 1)전회보안검토결과시정조치사안의진행상황 6)관련법규와규제사항의변화추세 5)신규/변경중요자산에대한위험평가결과 3)중요보안사고발생현황, 4)보안감사결과 원인, 영향등 7)관련보안표준또는도구의발전추이 상기독립적인검토는제3의보안전문조직에의한침투시험등으로진행할수있다 8)보안전문인력육성성과 9)보안교육/훈련성과 제9절 보안 조직 63
통제항목 외부조직(External parties)[ ISO/IEC 27001 A.6.2] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 조직의정보처리설비에대한모든접근과외부조직에의한정보처리와의사소통을통제하여야 조직의정보와정보처리설비보안은외부조직제품/서비스도입으로줄어들지않는다. 외부조직에의해접근, 처리, 소통, 관리되는정보및정보처리설비들의보안을유지하기위함 제요구사항을결정하기위하여위험평가를실시하여야한다. 근이요구된다. 한다. 외부조직과업무를수행하여야하는필요가있는경우에는조직의정보와정보처리설비에접 외부조직과관련된외부조직으로부터획득하거나, 제공되는제품과서비스에대한보안영향과통 통제항목 세부 위험식별 A.6.2.1] 외부조직이참여하는업무프로세스로부터조직의정보와정보처리설비의 고객거래시보안 위험을식별하고, 접근을허가하기전에적절한통제를이행하여야한다. ISO/IEC 27001 A.6.2.2] 식별된모든보안요구사항은고객에게조직의정보와자산에 제3자보안협정 대해접근을허가하기전에다루어져야한다 [ ISO/IEC 27001 A.6.2.3] 조직의정보나정보처리설비에접근, 처리설비에제품이나서비스를추가하는협정은적정한 모든보안요구사항들을포함하여야한다. 처리, 소통, 관리를수반하거나정보 통제항목 1) 가를통해실질적인위험을파악한다. 수행과정에서회사의정보자산을활용또는갱신하거나중요한설비에접근하는경우위험평 외부조직은고객, 계약자, 제3의사용자, 협력업체, 물품제공업체등이포함되며그들이업무 해설 2) 3) 것이불가피하다. 통해합의한다. 제3자조직에대한보안협정도고객과동일한방법으로해결되어야한다. 고객과사업을수행하는과정에서그들에게조직의정보자산을공유또는갱신, 따라서회사자산의보호를위한고객의책임이상호간의계약또는협정을 대개계약서의조 항또는특별약관, 기밀서약서등으로협정을체결하는방식을적용하고있다 제9절 보안 조직 64
외부조직과관련된위험식별(Identification 외부조직이참여하는업무프로세스로부터조직의정보와정보처리설비의위험을식별하고, 1세부통제항목 of risks related to external 2. 외부조직(External 접근을허가하기전에적절한통제를이행하여야한다. parties) [ ISO/IEC parties)[ 27001 A.6.2.1] ISO/IEC 27001 A.6.2] 조직의정보처리설비/정보에대해외부조직의접근을허용할필요가있는경우에는, 구사항들을파악하기위해서위험평가를실시하여야한다(A.4 2해설 다음사항들을고려하여야한다. a) 외부기관이접근해야하는정보처리설비; 참조).외부조직접근에관련된위험파악은 구체적인통제에대한요 b) 외부기관에게허용하여야하는정보와정보처리설비에대한접근유형; 2) 3) 1) 4)접속이온사이트상또는오프사이트에서이루어지는지; 조직의네트워크와외부기관과의네트워크접속,예)영구적인연결,원격접속; 물리적접근, 논리적접근, 조직의데이터베이스, 사무실, 컴퓨터실, 파일링캐비닛; c) 수반된정보의가치와민감성, 그리고업무운영에대한중요성; 정보시스템; e) f) g) d) 접근해야하는인가된조직/개인을파악하는방법, 조직정보를다루는데수반되는외부조직원; 정보를저장, 외부기관접근으로부터정보를보호하기위해필요한통제; h) i)보안사고와잠재적피해를취급하는관행과절차, 외부조직이필요한경우가용하지않은접근, 처리, 소통, 공유, 교환할때외부조직에적용된상이한수단과통제; 그리고부정확/왜곡된정보를입력하고수령시영향 인가검증, 재확인방법; k) j) 외부기관에연관된법률/규제요구사항들과기타계약적인의무사항들을고려하여야한다.; 약정과조건 이해관계자의관심이그약정에의해영향을받는정도 보안사고경우에외부조직지속적인접근을위한 반영하여야한다.(A.6.2.2 일반적으로외부기관과의작업또는내부통제로부터귀결되는모든보안요구사항들은외부기관과의협정에 이러한접속과접근, 조직정보에대한외부조직의접근은타당한경우적절한통제가이행될때까지제공되지않아야한다. 업무배정을위한약정과조건을정의하고서명되어야한다. 계약에 관리에수반되는책임과의무수용이보장되어야한다. 외부조직이그들의의무를적절히이해하고있는지, &A.6.2.3참고) 3실행지침 그리고조직의정보,정보처리설비에대한접근, 처리, 소통, 조직의정보와정보처리설비에접근이필수불가결하다. 전자상거래의급속한확대와다양한조직의협력과소통을통한사업영위가불가피한상황에서는외부조직의 사항도포함되어야한다. 책임과의무, 또한외부조직이조직의보안통제의이행모니터링, 관련보안통제의준수등을명확히정의하여계약서에반영하여야한다. 이러한계약조건을서비스수준협약에포함할수있다. 감사등의활동에적극지원하고참여하여야한다는요구 외부조직의접근에대해서는접근범위와방법, 기간, 여건이허락되는경우에는외부조직의접속이필요한정보시스템을별도로구축하여조직의정보를보호하는 수단이가장바람직하다. 제9절 보안조직 65
고객거래시보안(Addressing 식별된모든보안요구사항은고객이조직정보/자산에접근하기이전에다루어져야한다 1세부통제항목 security when dealing with customers) 2. 외부조직(External 2해설 [ ISO/IEC 27001 A.6.2.2] parties)[ ISO/IEC 27001 A.6.2] 고객과업무를수행하는경우에는적절한보안통제방안을수립하여이행할수있도록하는준비가완료된이 주어지기전에보안을다루기위해다음항목들을고려하여야한다.: 후에접근을허용하여야한다는요구사항이다 a) 고객들에게조직의자산(주어진접근유형과범위에따라그들모두가적용되지않을수도있음)에대한접근이 자산보호, 3) 1) 2) 무결성; 조직자산을보호하기위한절차(정보와소프트웨어알려진취약점의관리를포함); 자산의훼손여부를결정하는절차, 다음의내용을포함한다: b) 제공될상품이나서비스에대한설명; 4) 정보의복사와유출제한; 예) 데이터의손실또는수정발생 c) d) 고객접근에대한사유, 접근통제정책은다음을포함한다: 1) 2) 사용자접근과권한에대한인가프로세스; 허용된접근방법, 사용자ID와패스워드와같은고유한식별자의통제와사용; 요구사항그리고이익; e) 3) 4) 접근권한회수나시스템간의접속을방해하는것에대한통제; 명확히허가되지않은모든접근을금지하는문구; g) h) f) 가용한각서비스에대한설명; 부정확한정보, 서비스목표수준과수용할수없는수준 보안사고와보안불일치보고, 통지, 조사; j) i) 법률적문제와관련된책임, 조직과고객각각의책임; 조직자산에연관된활동을감시하고철회할권리; 법률요구사항을충족하고있음을보장하는방법, 예) 데이터보호법률, 특히 조직자산에접근하는고객에관련된보안요구사항은접근하는정보처리설비와정보에따라다양하게고려할 k) 협정이다른나라의고객과협력이수반되는경우각나라의상이한법률을고려(A.15.1.1참고); 지적재산권(IPRs) 그리고저작권지정(A.15.1.2참고) 그리고공동작업에대한보호(A.6.1.5참조) 룰수있다. 3실행지침 이들보안요구사항은식별된모든위험과보안요구사항(A.6.2.1)을포함하는고객협정을적용하여다 고객이조직의정보와정보처리설비에접근은계약서또는서비스수준약정서에보안요구사항을명시하고해당 특히보안위반사례에대해서는가능한빨리피드백하여재발을방지할수있도록하여야한다. 되는보안통제를상호이행하여야한다. 제반절차를준수하도록요구하여야한다. 조직의보안통제정책에따라접근이허용될수있도록상호인식하고 정보시스템을고객이사용하는경우에는사용자교육과홍보를통해보안의식을고취할수있도록한다. 보호하여야하는조직의지적재산권과저작권에대해서는사전에인식훈련을통해보호될수있도록한다. 또한법적으로 제9절 보안 조직 66
제3자보안협정(Addressing 조직의정보나정보처리설비에접근, 1세부통제항목 security in 처리, third 소통, party 관리를수반하거나정보처리설비에제품이나서비스를추가하 agreements) [ 2. 는협정은적정한모든보안요구사항들을포함하여야한다 ISO/IEC 외부조직(External 27001 A.6.2.3] parties)[ ISO/IEC 27001 A.6.2] 협정은조직과제3자간에서로잘못이해한부분이없는지확인하여야한다. a) 해야한다. 2해설 b) 보안정책; 자산보호를위한통제,다음을포함: 1) 정보, 다음항목은파악한보안요구사항들을충족하기위해협정에포함하는것을고려한다(A.6.2.1참고): 소프트웨어그리고하드웨어를포함한조직의자산보호를위한절차; 조직은제3자의면책에대한그들스스로만족 2) 3) 4) 5) 6) 요구되는물리적보호통제와매커니즘; 7) 악성소프트웨어로부터보호를위한통제(A.10.4.1 정보+소프트웨어+하드웨어의손실/수정등과같은자산이훼손되었는지를결정하기위한절차; 협정합의시점, 자산의기밀성, 정보의복사와유출제한,기밀협정의적용(A.6.1.5참고); 종료시점등에정보와자산의반환/파괴등을보장하는통제; 무결성, 가용성그리고다른관련자산(A.2.1.5참고); c) d) e) f) g) 하드웨어+소프트웨어설치와유지보수와관련책임; 방법, 적절한경우,인원을대체하는규정; 보안책임에대한사용자인식보장; 명확한보고구조와협정된보고양식; 과정, 보안사용자와관리자훈련; i) h) 접근통제정책, 명확하고구체화된변경관리프로세스; 2) 3) 4) 1) 가용한서비스사용하기위해인가된개인의목록유지를위한요구사항, 상이한사유+요구사항+이익이제3자필요에의해접근하게됨; 허가된접근방법,그리고사용자ID와패스워드같은고유한식별자의통제와사용; 사용자접근과권한에대한인가처리; 다음을포함: j) k) 계약요구사항위반,보안사고와보안취약점에대한보고, 제공될상품또는서비스에대한설명,보안등급에따른정보의설명(A.7.2.1참고); 5) 6) 명확히허가되지않은모든접근을금지한다는조항; 접근권리의취소또는시스템간의접속방해에대한처리; 통지,조사에대한조항; 그러한사용관련개인의권리와권한; n) o) p) m) l) 서비스목표수준과수용불가수준; q) 조직자산에관련된모든활동의감시와철회에대한권리; 계약에정의된책임에대한감사, 검증가능한성과기준정의, 성과의감시와보고; r) s) 계약에대한각각의기관에대한책임; 법률과관련된책임그리고계약서가다른나라의고객과협력을포함한다면각각의나라의상이한법률시스템을 문제해결을위한승격프로세스의정립; 조직사업우선순위에따른, 가용성과책임성의대책을포함한서비스의연속성에대한요구사항; 제3자에의해수행되는감사, 감사자의규정적권한의열거권리 t) u) v) 지적재산권(IPRs) 고려하면서데이터보호법률과같은법률요구사항을어떻게만족시키는가를확인(A.15.1.1 재협상/계약만료에대한조건; 외주업체를가진제3자의참여, 1) 계약의만료전에두기관이계약종료를원하는경우비상계획이수립되어야함.; 그리고저작권지정(15.1.2참고) 이들외주업자들이보안구현을위해필요로하는보안통제; 그리고공동작업에대한보호(A.6.1.5 참고); 참고); 2) 3) 조직의보안요구사항들이변경되는경우계약의재협상; 제3자와의보안협정은회사의조직원과동일하게적용하는것을원칙으로하는경우가일반적이다. 3실행지침 자산목록, 라이센스, 계약서나권한에관한현행문서; 원의역할이보안통제를위한절차와지침의어떤직무와일치하는가를명확히지정할필요가있다. 통제를적용할수없는경우에는상기해설서의항목들을참조하여협정을체결하여야한다. 리, 보안위반에대한징계, 계약위반에따른피해보상등에대해서는명확한규정을계약에명시하여야한다 특히보안감사, 단, 만약조직원과동일한 제3자조직의구성 보안사고의처 제9절 보안 조직 67
통제항목 자산에대한책임(Responsibility for assets)[ ISO/IEC 27001 A.7.1] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 조직자산을적절히보호하고유지하기위함. 모든자산은책임을갖는소유자(Owner)를가져야한다. 소유자는모든자산에대해식별하고적절한통제의유지보수를위한책임이배정되어야한다. 특정통제의구현을위임할수있으나자산의적절한보호책임이면제되는것은아니다 소유자는 통제항목 세부 자산의소유권 자산의목록 A.7.1.1] A.7.1.2] 모든자산은명확하게식별하고, 정보처리설비와관련된모든정보와자산은조직이지정한조직이 소유하여야한다 유지하여야한다 중요한자산의모든목록을기록하고 자산의수용가능한사용 [ 1) ISO/IEC 27001 A.7.1.3] 정보처리설비와연관된정보와자산의사용을수용하는규칙을식별, 문서화, 이행하여야한다 통제항목 관점의자산관리목록과는상이하다. 자산의목록은보안위험평가를위한입력으로사용하는것을고려하여작성한다. 예를들어정보시스템, 서버에탑재된모든자산, 대개재무 보안캐 해설 2) 한자산관리조직과협업이필요할수있다. 수있지만재무적자산관리관점에서그러지아니하다. 비닛이나금고에보관하고있는모든자산등은보안관점에서는1세트의자산목록으로정의할 요구사항을제시하는주요한역할을수행한다 하고소유자(Owner)를지정한다. 자산의소유권은법적책임의분쟁, 자산소유자에게는소유자산의보안책임이부과되며보안 자산에대한보안요구사항의제시등을위해명확히정의 또한자산의최신목록을유지하기위 3) 용되어야한다. 반적이다. 대개이러한규칙은업무수행절차또는지침, 정보처리설비또는정보를업무적으로사용하는데대한명확한규칙을수립하고이행한다. 특히자산의정보를변경하거나위치를조정하는경우에는이러한규칙이엄격히적 정보시스템사용자가이드에정의하는것이일 제10절 자산 관리 68
1세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 자산의목록(Inventory 모든자산은명확하게식별하고, of assets) [ 중요한자산의모든목록을기록하고유지하여야한다. ISO/IEC 270011. 2해설 A.7.1..1] 자산에대한책임(Responsibility for assets)[ ISO/IEC 27001 A.7.1] 요한모든정보, 그목록은다른불필요한목록들과중복되지않아야하지만연관되는내용을보장하여야한다. 조직은모든자산을식별하고자산의중요성을문서화하여야한다. 자산유형, 형식, 위치, 백업정보, 라이센스정보, 사업가치등을포함한다. 자산목록은재해로부터복구하기위한필 가치를파악하는방법에대한상세정보는ISO/IEC 기초하여업무가치및보안분류,자산의중요성에걸맞는보호수준을식별하여야한다(중요성을토대로자산 소유권(A.7.1.2 참조)및정보분류(A.7.2 참조)는각자산에대해합의하고문서화하여야한다. TR 13335-3참조). 다음과같은다양한자산유형이존재한다 3) 2) 1) 운영및지원절차서, 물리적자산: 소프트웨어자산: 정보: 데이터베이스, 컴퓨터장치, 어플리케이션소프트웨어, 사업연속성계획, 데이터파일, 통신장치, 계약서및협정서, 삭제가능한저장매체, 원상복구계획, 시스템소프트웨어, 시스테문서, 감사추적, 기타장비 개발도구및유틸리티 이관정보 조사정보, 사용자매뉴얼, 교육교재, 4) 5) 서비스: 사람, 자격, 컴퓨팅및통신서비스, 기술및경험 일반유틸리티예) 보온, 조명, 전력, 공기조절기등 정의하는프로세스는위험관리를위해중요한선결요건이다 자산목록은효과적인자산보호와의료+안전+보험+재정적이유의기타사업목적으로필요하다. 6) 무형자산:: 조직의평판및이미지 3실행지침 자산목록을 자산목록을작성하는것은보안을위한첫째관문이다. 유지하고있다. 해서는추가가필요하다. 보안관리를위한자산목록은재무관리를위한자산목록과상이하다. 대부분의기업에서재무관리목적으로자산관리대장을 1)종이문서및기록, 등)은재무관리에서사용하는자산목록을사용할수있으나, 전자문서 이와같이별도로추가되어야하는자산유형은다음과같다 재무관점에서자산으로인정하지않은자산에대 물리적인자산(장비, 시설 4)사람: 5)저장매체: 2)정보처리용데이터베이스, 3)소프트웨어: 경영자, 이동식저장매체, 어플리케이션, 관리자, 기술자, 파일 시스템소프트웨어(운영체제), 휴대용저장매체등 운영자등 유틸리티등 2) 3) 자산목록작성시유의사항은다음과같다 1) 동일한보호통제가적용되는자산은동일한목록에작성한다(예. 동일한자산소유자에대한자산을동일한목록에작성한다 자산의위치가동일한경우에는동일한목록에작성한다. 서버에탑재된자산, 대외비, 1급비밀등) 캐비닛에보관된자산 제10절 자산 관리 69
자산의소유권(Ownershipof 1세부통제항목 모든정보와정보처리설비관련자산은조직이지정한조직이소유하여야한다 assets)[ ISO/IEC 27001 1. 자산에대한책임(Responsibility 2해설 A.7.1.2] for assets)[ ISO/IEC 27001 A.7.1] b) a) 자산소유자다음에책임이있다.: 소유권을다음에게배정할수있다 정보와정보처리설비관련자산의적절한분류; a) 업무프로세스; 접근통제정책을고려한접근제한과분류를정의하고주기적으로검토 b) c) d) 어플리케이션; 기정의된활동집합; 자산소유자는정형화된타스크를자산관리자에게위임할수있으나관리책임은여전히자산소유자에게있다 기정의된데이터집합; 책임이있다. 용할수있다. 복잡한정보시스템에서는서비스의특정기능을제공하기위한활동을고려하여자산그룹을정의하는것이유 3실행지침이러한경우, 서비스소유자는서비스제공하기위해자산을활용하는것을포함한서비스인도에 자산은소유자, 자산의소유자는다음사항에관계가있는인원을지정하는것이타당하다 1)자산을직접작성한자(예. 관리자, 사용자가존재한다. 중장기계획입안자) 일부기업에서는자산의관리자를소유자로인식하는경우가있다. 2)자산의개발책임자(예. 3)자산의조달책임자(예. 자산의소유자는자산의보안요구사항을제시하고적절한보안통제를개발하고이행하는중요한역할을수행 구매관리정보시스템개발책임자) 한다. 자산의보안을위해선정된보안통제의일부정형화된활동을관리자에게위임할수있다. 그룹웨어시스템, 공개키) 정관리등). 정보시스템과같은복잡한자산은 재고관리정보시스템자산 등으로자산그룹을하나의자산처럼관리하는것 그러나자산의보안책임은여전히자산소유자에게있다. (예. 사용자계 을권고하고있다. 그룹을서비스기능별로구분하여자산소유자를지정할수있다. 자산의소유자도그러한그룹으로정의할수있다. 특정서비스에대해서도일부하위자산 제10절 자산 관리 70
자산의수용가능한사용(Acceptable 1세부통제항목 useof assets)[ 1. 자산에대한책임(Responsibility 정보와정보처리설비관련자산의사용규칙을식별, 2해설 ISO/IEC 문서화, 27001 이행하여야한다. A..7.1.3] for assets)[ ISO/IEC 27001 A.7.1] a) 종업원, b) 전자우편및인터넷사용을위한규칙; 이동장치의사용, 계약자및제3의사용자는정보와정보처리설비사용을위해다음을포함한규칙을따라야한다. 적정관리자는구체적인규칙/지침을제공하여야한다. 정보+정보처리설비관련자산+자원사용에존재하는제한사항을인식하여야한다. 특히조직건물의외부사용에대한지침. 용하는데책임이있다 종업원, 계약자및제3의사용자는조직자산의접근이 그들은정보처리자원을사 정보처리설비에대한사용규칙은사용자매뉴얼/지침서등에정의하여활용하는것을권장한다. 3실행지침 특히정보처리설비에대한접속을위한권한배정과계정관리는별도의지침으로정립하여야한다. 다음과같은정보자산에대한사용규칙은관련법규의요구사항을반영하여제정하여야한다. 4) 2) 3) 1) 영업기밀: 통신정보: 개인정보: 산업기술및국가핵심기술: 부정경쟁방지및영업비밀보호에관한법률 통신비밀보호법 정보통신망이용촉진및정보보호에관한법률 산업기술의유출방지및보호에관한법률 7) 6) 8) 5) 위치정보: 지적재산권정보: 주민등록정보: 전자상거래정보: 위치정보의보호및이용등에관한법률 주민등록법저작권법 전자상거래등에서의소비자보호에관한법률 제10절 자산 관리 71
통제항목 정보분류(Information classification)[ ISO/IEC 27001 A..7.2] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 정보는정보의취급시기대되는보호수준에대해필요성, 정보가적절한보호수준을받는것을보장하기위함 필요성의소통을정의하기위해사용되어야한다. 보호수준과특별한취급이요구될수있다. 정보는다양한민감성(Sensitivity)과중요도(Criticality)를가진다. 정보분류기준은적절한보호수준과특별한대책의 우선순위를암시하도록분류되어야 일부항목은추가적인 통제항목 세부 분류지침 정보표시및취급 A..7.2.1] 정보는조직에대한정보의가치, 요도에따라분류하여야한다 법적요구사항, 민감도, 중 [ ISO/IEC 27001 A..7.2.2] 정보표시와취급을위한적절한절차를개발하고조직이채 택한분류기준에따라이행하여야한다. 통제항목 1) 정보의분류는정보의가치, 법적요구사항, 민감도, 위험도에따라분류된다. 이를위해서는 해설 2) 기밀성, 대개각기업에서문서또는디지털데이터에대해서는비밀등급(1급, 무결성, 가용성보안요구사항을고려하여자산의중요도를결정하는것을권고한다. 의한다. 록한다. 설비또는사무실등은보안통제구역으로지정하여보호하는정책을적용하고있다. 정보는분류지침에따라표시하여해당되는분류등급에따라보안통제가적용될수있도 특히디지털데이터에대해적절한표시방법을정의하여야한다. 보안통제등급의표시만으로그자산에대한보안통제의식을고취할수있음에유 2급, 디지털데이터가문 대외비) 등으로, (예. 서로출력될때워마크를사용하거나저장매체로반출입시저장매체에적용하는보호수준 DRM, 암호화)이모든이해관계자가손쉽게이해할수있도록표시하는것이중요하다 제10절 자산 관리 72
분류지침(Classification 정보는조직에대한정보의가치, 1세부통제항목 2. 정보분류(Information classification)[ ISO/IEC 27001 A.7.2] Guidelines)[ 법적요구사항, ISO/IEC 27001 민감도, A.7.2.1.] 2해설 중요도에따라분류하여야한다. 무상의영향을고려하여야한다. 분류지침은일부사전에정의한접근통제정책에따라(A.11.1.1 정보분류및관련보호통제는정보를공유하거나제한하기위한업무상의요구와그러한요구와관련된업 해규칙을포함하여야한다. 자산의분류와주기적인검토에대한자산소유자(A.7.1.2 참조)의책임을정의하고적절한수준으로갱신됨 참조)최초분류와시간경과후재분류를위 귀찮으며비경제적이될수있거나비실용적이될수도있다. 을보장하여야한다. 분류범주의수와그것을사용함으로써얻어지는이익을고려해야한다. 이분류는A.10.7.2에서언급한총체적인영향을고려하여야한다. 한판단을할수있는타조직에서흘러온문서에부착된분류라벨을해석하는데주의를기울여야한다. 동일하거나유사한이름이붙은라벨에대해상이 지나치게복잡한계획은사용하기에 한다. 기밀성, 무결성, 가용성의분석에따라평가될수있는보호수준과그정보에대한모든기타요구사항을고려 우이다. classification)로서고려하여야한다. 정보는종종일정기간이경과되면민감성과중요도의효력이중지된다. 이러한양상은추가적인비용을야기하는불필요한통제의이행을요구하는과잉분류(Over- 예를들어정보가외부에공개되는경 데도움을줄수있다. 분류등급을지정하는것과함께유사한보안요구사항을갖는문서를고려하는것은분류작업을단순화하는 일반적으로정보에주어진분류는정보의취급과보호방법을결정하는속기방식이다. 류등급에따라취급과보호에대한통제규칙이마련된다. 3실행지침 을가능하게하는방법을채택하는기업도종종있다. 정보분류의대표적인사례는1급비밀, 2급비밀, 대외비, 사내공유, 1,2급비밀에대해서는비밀취급인가자에게만취급 외부공유등으로구분하는것이다. 각분 부기업, 이해할수있는형태로하는것이바람직하다. 정보분류는보호와취급수준을결정하는것이므로모든이해관계자가정보에붙여진보호등급을통해쉽게 협력업체등과도원활하고명확한소통이가능하도록라벨을결정하여야한다. 그리고보호등급은회사내에서뿐만아니라사업관계가있는외 제10절 자산 관리 73
정보표시및취급(Information 1세부통제항목 2. 정보분류(Information classification)[ ISO/IEC 27001 A.7.2] 정보표시와취급을위한적절한절차를개발하고조직이채택한분류기준에따라이행하여야한다. labeling and Handling)[ ISO/IEC 27001 A.7.2.2.] 민감하거나중요한것으로분류된정보를갖고있는시스템의출력은적절한분류표시를(출력에) 2해설 표시는A.7.2.1에서수립된규칙에따른분류를반영하여야한다. 디스플레이, 정보의표시절차는물리적이고전자적인형태의정보자산을포함하는것을필요로한다. 각각의분류수준에대해안전한처리,저장,전송, 기록된매체(테이프, 디스크, CD), 전자메시지및파일전송을포함된다. 비밀해제,파괴등에대한취급절차를정의하여야한다.이 고려해야할항목으로는인쇄된보고서, 붙여야한다. 는또한모든보안관련사건의보관과로깅연계를위한절차를포함하여야한다. 화면 해석하는절차를포함하여야한다 정보공유를포함하고있는타조직과의협정은그정보의분류를식별하는것과타조직에서분류한표시의 한경우에는다른정보분류방식을고안하여적용할수있다. 인형태이다. 단을사용할필요가있다. 분류된정보의표시와안전한취급은정보공유제도를위한핵심요구사항이다. 그렇지만전자적형태의문서와같은일부정보는물리적으로표시하기가곤란하여전자적인수 예를들어통지표시를화면이나디스플레이에나타나도록하는것이다. 예) 절차서또는메타데이터를통해. 물리적표시는표시의공통적 3실행지침 표시가곤란 다양한표시방법이있다 1)비밀문서보관봉투 2)도장또는스템프 정보표시는분류등급(보호등급/기밀등급)을문서, 책자, 서류, 전자문서등에부착하는것이다. 다음과같은 3)문서작성기의머리글/바닥글기능활용 4)전자문서출력/다운로드시워터마크기능활용 을곁들일수있다. 한목적이다. 정보분류의표시는정보를관리또는사용하는자에게사용보호와취급방법을쉽고명확하게소통하기위 이행할계약적의무가있으며폐기시에는분쇄하거나소각하여야합니다 등의설명을추가하는것이다 고명확한소통이가능하도록표시방법을결정하여야한다. 따라서보호등급은회사내에서뿐만아니라사업관계가있는외부기업, 예를들면 이정보는당사에서1급비밀로취급하고있으며폐사에서도당사의보호방침을 외부조직에대해서는분류등급에따라상세한설명 협력업체등과도원활하 제10절 자산 관리 74
통제항목 고용이전(Prior to employment)[ ISO/IEC 27001 A..8.1] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 위해고려된그들의역할이적합하다는것을보장하기위함. 보안책임은직무기술서와고용계약의조항및조건에고용이전에적절히다루어야한다. 직원, 계약자, 제3의사용자가그들의책임을이해하고, 도난+사기+설비오용위험을줄이기 직원+계약자+제3의사용자등의모든후보자는적절히확인하여야하며, 대해서는엄격히적용하여야한다. 보안역할과책임에대해협정에서명하여야한다 정보처리설비에대한직원+계약자+제3의사용자는그들의 특히민감한직무에 통제항목 세부 선발 ISO/IEC 27001 A..8.1.1] 조직정보보안정책에따라직원, 할과책임을정의하고문서화하여야한다. 계약자, 제3의사용자의보안역 고용약정및조건 ISO/IEC 27001 A..8.1.2] 리, 따라이행하여야한다. 직원, 사업요구사항과의조화, 계약자, 제3의사용자등모든지원자의검증은연관법률과규제, 접근되어야하는정보의분류, 지각된위험에윤 1) [ ISO/IEC 직원, 계약자, 27001 A..8.1.3] 제3의사용자의보안역할과책임은업무수행절차와지침, 직원, 과조건들에합의하고서명하여야한다. 보보안에대한조직과그들의책임이기술된고용계약의각약정 계약자, 제3의사용자들은그들의계약적의무의일부로정 서구체적으로정의하고, 시징계에대해기술하는것을권고 2) 임시직및단순고용직임용예정자는신원검증을하며모든직원에게보안서약서를징구한 계약서또는기밀서약서에서는그러한역할과책임의이행과미이행 직무기술서등에 통제항목 퇴직시사용한자산에대하여모두반납하며회사관련중요사항들에대해비밀을지킬 해설 -지원자의이수과정약력의(완성도와정확도에대한) 것을협의및서명한다. 3) -전문자격의확인 -독립적인신원확인(여권혹은유사한서류) 신원검증방법은다음사항을고려한다. -신용확인혹은범죄기록확인 조사; -비인가접근, -개개의보안프로세스와행동을이행 -책임을보증하는것은취해진행동에대해개인적으로할당 4) 보안규칙과책임은다음의요구사항을포함한다. -보안사건또는잠재적인사건, 유출또는누설, 변경, 또는또다른조직에대한위험보고 파고또는방해로부터자산을보호 제11절 인적 자원 보안 75
역할과책임(Role 1세부통제항목 1. 고용이전(Prior to employment)[ ISO/IEC 27001 A.8.1] 조직정보보안정책에따라직원, 2해설 and responsibilities)[ 계약자, ISO/IEC 제3의사용자의보안역할과책임을정의하고문서화하여야한다. 27001 A..8.1.1] 보안역할과책임은다음과같은요구사항을포함하여야한다. a) b) c) d) 각보안프로세스도는활동을수행한다.; 조직의정보보안정책에따라서이행하고행동한다(A.5.1참조).; e) 조직에대한보안사건,잠재적인사건또는기타보안위험을보고한다. 비인가접근, 취해진행동에대한개인에게책임이부과됨을보장한다.; 유출, 수정, 파괴또는방해로부터자산을보호한다.; 안역할과책임(예. 보안역할과책임을고용이전채용과정에서직무지원자들에대해정의하고명확하게소통하여야한다. 보안역할과책임을정의하는데직무기술서를활용할수있다. 조직의고용프로세스를거치지않은개인의보 3실행지침 제3자조직) 또한명확하게정의하고소통하여야한다 관리하는인원이다. 리, 첫째회사의전조직에영향을미치는직무에대한역할과책임이다. 보안의역할과책임은크게2개유형의조직으로구분하여각직무에대해정의하는것이효과적이다. 위험의사소통, 보안관련제도의정립및공표, 그들은사업에종사는모든인원과관련있는보안성과모니터링및검토, 보안교육및훈련, 보안감사등의역할과책임을갖는다. 대개보안관리팀원이나정보처리설비를 위험평가및처 은직무기술서또는팀업무분장서에기술한다. 들은보안관리관련절차서또는지침서에역할과책임을정의하여모든인원이인식할수있도록하는것이 좋다. 또한관련된모든인원에게인식할필요성은없으나내부팀원간의명확한업무분장을위한역할과책임 이 는데따른개인의역할과책임을정의하며직무기술서또는팀업무분장서에기술한다. 추가적으로정보시스템에접근하는사용자계정과, 둘째상기보안전담조직이외의인원에대한보안역할과책임을정의하는것이다. 중요시설접근을위한출입증등을관리하는조직이보안 주로정보자산을사용하 관리팀과분리되어있는경우에는첫번째와동일한방식으로역할과책임을정의한다. 제11절 인적 자원 보안 76
선발(Screening) 1세부통제항목 고용이전(Prior to employment)[ ISO/IEC 27001 A.8.1] 직원, 야하는정보의분류, 계약자, 제3의사용자등모든지원자의검증은연관법률과규제, [ ISO/IEC 지각된위험에따라이행하여야한다. 27001 A..8.1.2] 2해설 윤리, 사업요구사항과의조화, 접근되어 항을포함하여야한다. (설명)여기서고용이란용어는이하모든다른상황을의미한다. 무규칙약속, 검증체크는관련모든사생활, 직무규칙변경, 계약의준수와이열거된어떤것의종료 개인정보보호와법률에따른고용을참작하여야하며허가된경우다음사 a) b) 만족할만한인물조회가용성, 지원자의이수과정약력의(완성도와정확도에대한) 예를들면한업무한개인(One 조사; Business : 사람들의고용(일시적혹은지속적), and one person); 직 c) d) e) 서술된학력과전문자격의확인; 최초의채용혹은승진에서직무는정보처리설비로접근하는사람을포함하며, 신용확인혹은범죄기록확인과같은더상세한체크. 독립적인신원확인(여권속은유사한서류); 밀정보와같은민감한정보를다루고있다면조직은또한더상세한체크를추가적으로고려하여야한다. 특히재무적정보혹은고기 서대리인을통한그계약은만약심사가완료되지않았거나, 지등에대한표준과제약사항을정의하여야한다. 심사프로세스는계약자와제3의사용자에대해서도이행하여야한다. 절차는검증체크를위해누가사람들을심사할자격이있는지, 그리고어떻게언제왜검증체크를수행하는 면심사와그들이필요로하는통지절차를위한대리인의책임을분명하게명기하여야한다. 3자의임용은심사를위한모든책임과통지절차를분명하게명기하여야한다. 그결과가의심을불러일으키고이해관계가있다 대리인을통해제공되어지는계약에 수집되고취급하여야한다. 같은방법으로제 3실행지침 조직에서직책보임을고려하고있는모든지원자의정보는적절한권한에존재하는모든관련법률에따라 적용법률에따른지원자는심사활동을사전에전달하여야한다. 인데이터베이스에접근하여야하기때문에관련법률에저촉되지않도록하여야한다. 개인의신용도또는범죄이력등을포함할수있다. 채용직원또는계약자에대한심사는입사지원서, 이러한경우에는개인정보, 이력서, 자기소개서의내용을확인하는것뿐만아니라 전에지원자에게설명하거나통지하여야한다. 무의중요도에따라그러한심사활동이이루어진다는사실과채용이외의타목적으로사용하지않는다는사 금융정보, 이를위해서는해당직 범죄정보등의공적 의책임에대해서도언급하여야한다. 이루어져야한다는조항이관련협정서또는계약서에명기되어야한다. 제3자를통해채용하는계약자또는제3의사용자에대해서는회사의심사정책과동일한방식으로심사가 또한그러한조항을위반하였을경우 제11절 인적 자원 보안 77
고용약정및조건(Terms 1세부통제항목 고용이전(Prior to employment)[ ISO/IEC 27001 A.8.1] 직원, 고용계약의각약정과조건들에합의하고서명하여야한다. 계약자, 제3의사용자들은그들의계약적의무의일부로정보보안에대해조직과그들의책임이기술된 and conditions of employment) [ ISO/IEC 27001 A..8.1.3] a) 2해설 b) 고용약정과조건은다음사항을명확히하고기술하는추가적인조직의보안정책을반영하여야한다. 기밀누설방비협정에서명하여야한다.; 민감한정보에접근하는모든종업원, 15.1.2 참고)에관한.; 계약자, 기타사용자의법적책임과권리.예를들면저작권법또는데이터보호법률(A.15.1.1과 계약자와제3의사용자는정보처리설비접근이전에기밀성또는 e) c) d) 조직의자산관리책임; 조직의고용의결과로혹은, 타회사/외부조직으로부터수령한정보의취급에대한종업원, 계약자또는제3의사용자가다루는(A.7.2.1과10.7.3 조직의고용동안에창조된개인적정보를포함한개인정보의취급에대한 참고)정보의분류, 계약자또는제3의사용자책임; 정보시스템과서비스관련 f) g) 예를들면자택근무경우와같이기업건물외부와정상근무시간이외의확장된책임 조직의책임; (A.9.2.5와A.11.7.1 만약종업원, 계약자혹은제3의사용자가조직보안요구사항을무시했을경우취하여지는행동; 참고); 안에포함된책임은고용종료후정의된기간동안지속되어야한다(A.8.3 범위와본질에정보보안에대한약정과조건에동의한것을보장하여야한다. 조직은종업원, 계약자그리고제3의사용자가그들이가질정보시스템과서비스에관련된조직의자산접근 필요한경우고용의약정과조건 련된책임에대해종업원, 조직에서기대하는평판있는관행뿐만아니라기밀성, 데이터보호, 조직의장비와설비의적절한사용에관 참고). 부조직과관련된경우에는계약된개인의계약조항에포함하는것이요구된다 3실행지침 계약자, 제3의사용자의행동강령을사용할수있다. 계약자또는제3의사용자가외 야한다. 고용약정과조건에는보안관련정책과제도, 상세한모든보안약정과조건을모두명시하는것이어렵기때문에조직에서정하고지시한모든사규를이 고용계약서또는협약서, 채용규칙등에이러한조항을포함한다. 관련법규, 사전에정한역할과책임을준수하는것을포함하여 행하는것을골자로하는조항으로삽입하고, 보안관련정책과사규위반시형사적, 민사적, 직무기술서/업무분장서등을참조하는방식이유용하다. 회사내의인사적으로취하는징계조항에대해서도명기한다. 제11절 인적 자원 보안 78
통제항목 고용(During employment) [ ISO/IEC 27001 A.8.2] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 모든직원, 그들의정규업무과정에서조직의보안정책을지원하고인간적인실수위험을줄이기위한준 비를갖추어야한다. 계약자, 제3의사용자는정보보안위협과관심사항, 그들의책임과의무를인식하고 보안위반을다루기위한공식적인징계프로세스를정리하여야한다. 보안절차와정보처리설비의정확한사용에대한인식+교육+훈련을적절한수준으로모든직 원+계약자+제3의사용자에게가능한보안위험을최소화하기위해제공되어야한다. 보안이조직의고용을통해적용됨을보장하기위한경영자책임을정의하여야한다. 통제항목 세부 경영자책임 정보보안인식, ISO/IEC 27001 A..8.2.1] A..8.2.2] 교육및훈련 경영자는직원, 조직의직원, 과절차에따라서보안을적용하는것을요구하여야한다 조직의정책과절차에대한적절한훈련과정기적인갱신사항 계약자, 계약자, 제3의사용자가그들의업무기능에따른 제3의사용자에게수립된조직의정책 징계프로세스 [ ISO/IEC 27001 A..8.2.3] 가존재하여야한다. 보안위반으로확정된직원들에대한공식적인징계프로세스 을수령하여야한다. 통제항목 2) 1) 정보보안교육훈련프로그램은보안성과측정결과, 모든조직구성원의업무수행에필요한절차와지침에보안통제실행을통합한다. 보안사고발생교훈, 외부경영여건의 해설 보안사고교훈전파등다양한방법을혼합하는것을권고한다. 3) 변화, 4) 보안교육훈련은임직원정기/수시소양교육, 임직원의보안의식수준등을고려하여수립한다. 5) 수시소양교육은퇴직, 정기소양교육은신규채용, 비밀취급인가, 승진절차에필수과정으로편성한다. 해외출장등의이전에보안주의사항안내서, 전문보안역랑향상교육, 보안캠페인, 보안심사위또는인사위원회를통해적절한징계가이루어지도록한다. 6) 교육자료, 회사의보안정책에대한위반으로인한법적책임, e러닝등을활용한다. 회사와고객에대한피해등이발생할때 동영상 제11절 인적 자원 보안 79
경영자책임(Management 1세부통제항목 2. 고용중(During employment)[ ISO/IEC 27001 A.8.2] 경영자는직원, 한다. 계약자, 제3의사용자에게수립된조직의정책과절차에따라보안을적용하는것을요구하여야 responsibilities) [ ISO/IEC 27001 A..8.2.1] a) 2해설 b) 역할과책임에대해적절하게설명.; 경영자책임은종업원, 종업원계약자,제3의사용자는조직안에서그들의역할의보안기대치를기술하는지침의제공.; 계약자,제3의사용자는민감한정보또는정보시스템으로접근을허가받기전에그들의정보보안 제3의사용자에게다음사항을보장하는것을포함하여야한다 d) c) f) e) 계약자,제3의사용자는적절한기술과자격을지속적으로유지; 계약자,제3의사용자는조직의보안정책을충족하기위한동기부여; 계약자,제3의사용자는조직의정보보안정책과적절한업무방법이포함된고용약정과조건확인; 계약자,제3의사용자는그들의역할과조직안의책임과관련된보안인식수준의제고.; 될수있다. 종업원, 계약자,제3의사용자가보안책임을인지하지않은경우, 동기가부여된인원은더욱신뢰가있고정보보안사고를줄이는요인이된다. 그들은조직에게피해로간주되는원인이 를들어미숙한관리는조직자산을소홀히취급하거나잠재적인오용을가져오게한다. 3실행지침 미숙한관리는조직에게부정적보안영향을초래하는가치를하락하는결과초래하는인원이될수있다. 예 필수불가결한요인임을자각할수있는대책을마련하고이행하여야한다. 경영자는조직의보안정책과제도, 보안사고가조직의성공적인사업영위에미치는피해를인식하고각조직원과회사의발전을위해 관련법규를준수하기위한보안의식을고취하는데결정적인역할을하 2) 3) 1) 보안에대한대표적인동기부여대책은다음과같다. 보안사고가각개인의자기계발과신분상승기대에미치는영향 보안사고예방에따른재정적이익, 보안사고가회사의재정적목표에미치는직접또는간접의영향 6) 5) 4) 정기적인보안성과측정결과의공유 보안유지를위해투자하는회사의비용과예상되는기대효과 보안우수조직과개인에대한보상 7) 보안위반에따른징계및교훈 제11절 인적 자원 보안 80
1세부통제항목 2. 고용중(During employment)[ ISO/IEC 27001 A.8.2] 적인갱신사항을수령하여야한다. 정보보안인식, 조직의직원, 계약자, 교육및훈련(Information 제3의사용자가그들의업무기능에따른조직의정책과절차에대한적절한훈련과정기 security awareness, education and training) [ ISO/IEC 27001 A.8.2.2] 하기위해기획된공식적인도입과정과함께시작하여야한다. 2해설 인식훈련은정보또는서비스에대한접근을승인받기위해접근하기전에조직의보안정책과기대를소개 포함한다. 보안인식, 상시훈련은정보처리설비의정확한사용을위한훈련뿐만아니라보안요구사항, 예)로그온절차, 교육과훈련활동은개인의역할과책임, 소프트웨어패키지의사용, 기술에적합하고적정하여야하며보안조언을받기위한 징계프로세스에필요한정보(A.8.2.3 법적책임, 참조) 사업통제등을 것을허용하는의도로실시된다 접촉창구와보안사고(A.13.1참조) 보고채널, 알려진위협정보를포함하여야한다. 3실행지침 인식개선을위한훈련은개인이정보보안문제점과사고를인식하고그들의역할의필요에따른대응하는 가장모범적이라고인정하는교육및훈련, 1) 2) 보안교육및훈련의실시, 조직의보안성과측정을통한보안의식수준의추정 인식을개선하는방법은매우다양하다. 3) 설문/시험을통한보안인식도측정 보안사고데이터의추이분석을통한보안의식수준의측정 인식의개선절차는다음과같다 4) 1) 보안교육및훈련은조직원의보안역할과책임에따라다음과같이다양한수준으로실시하여야한다. 보안인식, 국제수준의보안관리전문가자격획득프로그램 교육및훈련프로그램의개발 5) 2) 3) 4) 사내비밀취급인가자격획득프로그램 6) 사내중요정보시스템사용자자격획득프로그램 7) 보안의식고취외부전문가특강 보안의식고취월간/주간캠페인프로그램 직원정기교육프로그램(입사, 보안사고예방우수자선발및포상프로그램 승진, 전출등) 8) 보안사고교훈전파프로그램 제11절 인적 자원 보안 81
중소기업의기술보호를위한 1세부통제항목 2. 고용중(During employment)[ 세부보안통제실행지침서 ISO/IEC 27001 A.8.2] 징계프로세스(Disciplinary 보안위반으로확정된직원들에대한공식적인징계프로세스가존재하여야한다 process)[ ISO/IEC 27001 A.8.2.3] A.13.2.3 2해설 공식적인징계과정은보안위반을저지른것으로의심되는직원에대한정확하고공정한처리를확실하게 징계프로세스는보안위반발생을사전에검증하지않고시작되어서는안된다. 참고). (증거의수집을위한 위반의중대성그리고그것의사업에의효과, 포함하여종합적으로대응하여야한다. 하여야한다. 공식적징계프로세스는처음또는반복된위반이든, 관련법규, 사업계약과다른요구되는요소와같은고려요소를 위반자가적절하게훈련되었든, 그본질과 시외부로배치하는것도고려하여야한다. 프로세스의위반행위가심각한경우에는임무, 징계프로세스는직원, 계약자, 제3의사용자가조직의보안정책과절차를위반하는보안사고를억제하는수 접근권한과특권을일시적으로제거하는것과필요한경우즉 단으로사용되어야한다. 그증거에대한확인이끝난후에진행되는절차를포함하여야한다. 3실행지침 징계프로세스수립시고려사항은다음과같다. 보안위반에대한징계는최후의보안사고억제수단이다. 따라서명확한보안위반의증거를확보하고또한 3) 2) 1) 고취하는등의부가가치를가지고있다. 보안위반의결과(영향) 보안위반자에게소명기회를제공한다. 보안위반사실에대한증거의수집, 뿐만아니라원인의심각성도고려한다. 수집된증거의최종확인절차를포함한다. 이는자기반성을가능하게하고타직원에대한보안의식을 5) 4) 제도, 징계결과에대해보안위반자의수용의사를확인하는절차를포함한다. 징계를위한심사가공평하고객관적인인원에의해실시되는것을보장한다 교육및훈련, 도구, 업무환경, 업무부하등의개선이필요한가를파악하기위해필요하다 사람에대한징계도중요하지만어떠한 7) 6) 징계의효과를최소한년1회분석하여징계프로세스자체개선을유도한다 징계수위를낮추기위한특별조건을포함한다. 예) 보안캠페인참여등 제11절 인적 자원 보안 82
통제항목 고용종료또는변경(Termination or change of employment)[ ISO/IEC 27001 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 직원+계약자+제3의사용자가조직에서나가는것을관리하고, 직원+계약자+제3의사용자가정한방식으로퇴직/고용변경을보장하기위함. 모든장비의회수와접근권한 A..8.3] 의제거를보장하기위한책임을이행하여야한다.. 조직에서책임과고용의변경을각자의책임또는부서내고용종료에따라관리하여야한다. 책임종료 통제항목 세부 자산반환 A.8.3.1] 고용종료또는변경을수행하는책임을명확히정의하고배정하 ISO/IEC 27001 A.8.3.2] 종료에따라그들이소유했던조직의모든자산을반환하여야한 다. 모든직원, 계약자, 제3의사용자는그들의고용, 계약또는협정이 접근권한의제거 [ ISO/IEC 27001 A.8.3.3] 접근권한은그들의고용, 정보와정보처리설비에대한모든직원, 변경의경우에는조정하여야한다. 계약또는협정의종료에따라제거하고, 계약자, 제3의사용자의 통제해설 1) 고용종료및변경승인이전에필요한보안통제절차는다음과같다 2) 특히사용자의업무종료, -퇴직후회사에서취득한정보의유포및누설금지서약 -정보처리설비및데이터에대한접근권한의제거 -업무인수인계및중요문서이관 -출입증또는열쇠, 노트북등개인지급자산반납 3) 부서간전출, 해외전출등의경우에는기존부서에적용하는보안통제를고려한다. 계약자의계약종료시상기보안통제의적용을고려한다 제11절 인적 자원 보안 83
중소기업의기술보호를위한 1세부통제항목 3. 고용종료또는변경(Termination or change of employment)[ 세부보안통제실행지침서 ISO/IEC 27001 A.8.3] 책임종료(Termination 직원의고용종료또는변경을수행하는책임을명확히정의하고배정하여야한다. responsibilities)[ ISO/IEC 27001 A..8.3.1.] 는적절한책임, 2해설 (A.8.1.3 책임의종료의사소통은상시보안요구사항과법적책임,적용되는경우기밀협정(A.6.1.5 참고)을모두포함하여야한다. 고용자+계약자+제3의사용자의고용종료후일정기간지속되는고용의약정및조건 참고) 에포함되 A.8.1에기술된것처럼통제하여야한다. 책임또는고용의변경은각각의책임또는고용종료로서관리하여야하고, 고용의종료후에도계속유효한책임과의무는고용자+계약자+제3의사용자의계약을포함해야한다. 인사부서는관련절차서의보안양상의관리를벗어나는인원의관리자의감독하는프로세스와업무의전반 새로운책임또는고용은조항 적인종료에대한책임이있다. 될수있고기타사용자의경우에는그들의조직에의해다루어진다. 계약자의경우책임종료프로세스는계약자에게책임이있는조직에의해수행 3실행지침 따라서인원과운영배치의변경에대해직원, 고객, 계약자, 제3의사용자에게전달할필요성이있을수있다 정확히종료하거나일정기간유지하거나하는등의상세사항을명확히할수있도록관련절차를정의하여야 한다. 고용의종료(퇴직또는계약기간만료)와변경(전출, 직무변경, 부서이동등)은보안에관련된책임과의무를 는것으로정의된산업기술은1년이경과되면산업기술로인정하지않게될것이다. 에대해서는정보의가치가시간이경과함에따라변하는기준에근거한다. 사에서다루었던개인정보등에대한기밀서약에관련되는것들이다. 고용종료후에일정기간동안책임과의무가수반되는경우는회사의산업기밀, 종료후어느정도의기간으로할것인가 예를들어1년후에외부에공개되 국가핵심기술, 영업기밀, 회 여야한다. 고용의변경시에는정보와정보처리설비에대한접근권한, 이러한관리는대개정보처리설비의접근과정보의사용관련절차서에포함하는것이바람직하다. 비밀취급에대한인가등에더많은주의를기울 제11절 인적 자원 보안 84
1세부통제항목 3. 고용종료또는변경(Termination or change of employment)[ ISO/IEC 27001 A.8.3] 자산을반환하여야한다. 자산반환(Return 모든직원, 계약자, of 제3의사용자는그들의고용, assets)[ ISO/IEC 27001 A..8.3.2.] 2해설 계약또는협정종료에따라그들이소유했던조직의모든 야한다. 같이모든조직적자산은또한회수되는것이필요하다. 종료프로세스는사전에배부한모든소프트웨어, 이동컴퓨팅장치, 신용카드, 접근카드, 소프트웨어, 법인의서류와장비의회수를포함하는것을공식화하여 고용자, 계약자또는제3의사용자가조직의장비를구매하거나그들이소유한개인적장비와절차서를사용 사용설명서, 그리고전자매체에저장된정보와 하는경우에는조직에게관련정보를조직에게전달하고그장비로부터안전하게제거하는절차가이행되어야 한다. 에게전달하여야한다. 고용자, (A.10.7.1 계약자,제3의사용자가상시운영에대한중요지식을보유한경우에는그정보를문서화하여조직 참고) 적된중요경험에대한유실을방지하기위한목적으로절차를수립하여야한다. 3실행지침 자산의회수를위해서는자산의배부또는공유에대한목록을철저하게관리하는절차의정립및이행이 고용종료에따른업무인수인계에대한절차에자산과지식의반환을포함하여야한다. 자산을보호하고축 선결요건이다. 고이행하여야한다. 개인이축적한중요한경험또는지식에대한지적자산화는종료시점에서뿐만아니라고용과정에서도정기적 따라서회수의절차와함께조직원에게제공한자산목록을최신정보로관리하는절차를수립하 으로이루어질수있도록하는절차를필요로한다. 함하여야한다. 고용종료프로세스에서는종료승인이전에업무인수인계가명확하고완전하게완료됨을확인하는절차를포 제11절 인적 자원 보안 85
1세부통제항목 3. 고용종료또는변경(Termination or change of employment)[ ISO/IEC 27001 A.8.3] 료에따라제거하고,변경의경우에는조정하여야한다. 접근권한의제거(Removal 정보와정보처리설비에대한모든직원, of access rights)[ 계약자, ISO/IEC 제3의사용자의접근권한은그들의고용, 27001 A.8.3.3.] 2해설 계약또는협정의종 시에반영하여야한다. 가필요한것인지아닌지를결정한다. (A.11.2.4 종료시에정보시스템과서비스에관련된자산의개인적접근권한을재고하여야한다.이것은접근권한제거 고용자, 계약자또는제3의사용자가남아있는활동계정을위한패스워드를알고있다면, 참고) 서명, 그리고그조직의현재멤버로서동일시된서류로부터의제거를포함한다. 제거되고조정된접근권한은물리적이고논리적인접근, 고용의변경은새로운고용을위해승인되지않은모든접근권한의제거 협정의종료또는변경시에변경하여야한다. 열쇠, 신분증, 이것은고용, 정보처리설비 만약떠나는 다음과같은위험요소의평가에근거하여정보자산그리고정보처리설비에대한접근권한은고용종료또는 계약, b) 변경전에감소되거나제거하여야한다. a) c) 관리자에의해시작되었는지; 현재접근가능한자산의가치; 종료또는변경그리고종료의이유가직원, 고용자, 계약자또는제3의사용자의현재의책임; 계약자또는제3의사용자에의해시작되었는지, 다.관리자에의해착수된종료의경우에는불만을품고있는직원+계약자+제3의사용자가의도록으로정보를 며떠나는인원과더이상의정보공유가필요로하지않은모든직원+계약자+제3의사용자에게전달하여야한 경우가있을수있다. 특정한상황에서접근권한은떠나는직원+계약자+제3의사용자보다더많은인원에게가용하도록배정된 예) 그룹IDs, 이러한상황에서는떠나는인원을각그룹의접근목록에서제외하여야하 훼손하거나정보처리설비를사보타지할수있다. 유혹을가질수있다. 3실행지침 이렇게사직한인원은향후사용을위해정보를수집하여는 높아질수있다. 종료이후사직승인이전까지는상당한시간적인여부가있을수있기때문에자산의유출및훼손가능성이 민감한정보와자산에대한접근권한은업무종료시점에가능한빨리제거될수있도록하여야한다. 업무의 한이제거된경우에도평소에친분이두터운동료의권한을악용하는경우가있을수있기때문에별도의사무 실에서사직절차를진행할수있도록조치를취하여야한다. 또한조직을떠나는인원이권고사직, 구조조정에따는해직등으로강한불만을갖고있는경우에는접근권 제11절 인적 자원 보안 86
중소기업의기술보호를위한 통제항목 정보보안사건과취약점보고(Reporting information security events and weaknesses) 세부보안통제실행지침서 [ ISO/IEC 27001 A.13..1] 통제목표 정보시스템과관련된정보보안사건과취약점이적시에시정조치가취하는것이라는방식으로 자산에보안상의영향을미칠수있는상이한사건과취약점을보고하는절차를인식하여야한 공식적인사건보고와승격절차가이행되어야한다. 전파되는것을보장하기위함. 그들은지정한접촉포인트에서가능한빨리모든정보보안사건과취약점을보고하여야 모든직원, 계약자와제3의사용자가조직 통제항목 세부 정보보안사건보고 보안취약점보고 [ ISO/IEC 27001 A.13.1.1] A.13.1.2] 하여야한다. 정보보안사건은가능한빠르게적절한관리경로를통하여보고 1)정보보안사건(Event)과사고(Incident)를엄격히구분한다. 모든보안취약점들을기록하고보고하여야한다. 시스템과서비스에서관찰되었거나의심되는 정보시스템과서비스에대한모든직원, 계약자, 제3의사용자는 통제항목 2)사건의포착에따라밝혀진취약점은즉시전문조직에보고하여시정또는예방조치를통한사고발 취약점을포함하며, 대응조치는상이하게진행되는것이업무효율성을높일수있다. 사고는실체적인피해를수반하는위협의발생을의미한다. 사건은이벤트로서사고로이어질수있는 따라서사건과사고의 해설 3)정보보안사건의예는다음과같다 -외부공격자의흔적발견 생을예방할수있는신속한조치에초점을두어야한다. -사용자의실수를초래할수있는사용자인터페이스탐지 -보안통제요구사항의불충족업무관행의발견등 -정보처리설비의오동작또는설비저하 4)보안취약점조치에서고려사항은다음과같다 -과거에발생한취약점의경우에는시정및예방조치의효과성재평가 -조직전반의취약점인경우조직차원의대책을강구하고이행 -특정설비에서다수의취약점이발견된경우별도의위험평가실시고려 제12절 보안 사고 관리 87
정보보안사건보고(Reporting 정보보안사건은가능한빠르게적절한관리경로를통하여보고하여야한다. 1세부통제항목 information security (Reporting events)[ information 2해설 ISO/IEC security 27001 events A.13.1.1] andweaknesses)[ 1. 정보보안사건과취약점보고 ISO/IEC 27001 A.13.1] 정보보안사건보고절차가수립되어야한다.정보보안사건보고를위한접촉창구를수립하여야한다. 고적절하고적시에대응할수있는조직을통하여이들접촉창구가알려지는것을보장하여야한다. 사고대응및격상(Escalation)절차, 정보보안사건보고를받고나서취하여야하는행동설정과함께공식적인 모든고용인, 계약자그리고제3사용자는가능한빨리모든정보보안사건보고에대한그들의책임을인식하여 항상가용하 야한다. a) b) 있는내용으로구성되어야한다; 정보보안사건보고이후조치, 정보보안사건보고는보고조치를지원하고정보보안사건의경우,사람들이필요한모든조치를파악할수 그들은또한정보보안사건보고절차서와접촉창구를인식하여야한다. 완료를보장하는적절한피드백프로세스; 보고절차는다음을포함한다: c) 정보보안사건의경우취해야할올바른행동, 2)자신이조치를수행하는것이아니고즉시접촉창구에보고. 1) 모든중요한세부사항(예. 즉시전달; 부적합또는위반유형, 즉: d) 보안위반직원, 계약자,제3의사용자를다루기위해수립한공식적인징계프로세스참조; 오작동발생, 스크린에뜬메시지, 이상한행동)의 위험경보에대한대응절차는그러한경보가나타내는고위험상황을반영하여야한다. 3실행지침 고위험환경에서, 위험경보는위험에처한사람이그러한문제를인식할수있도록제공되어야할것이다. 외부전문가, 보안사건의보고채널은업무수행과정의의사결정경로가아닌보안관리부서또는담당자, 보안사건은즉각적인조치보다는즉각적인보고가우선되어야한다. 관련협력조직의도움없이는해결이불가능하기때문이다. 대부분의보안사고는치밀한조사또는 피해를유발하는사고로발전가능성을예방하기위함이다. 영자등으로설정하여야한다. 사업수행에책임을갖고있는조직에서보안사건을은폐또는축소, 보안책임자, 변조하여더큰 최고경 에조사를통해보안사고로관리할것인지를결정하게된다. 한상황이발생한모든것을말하며, 이국제표준에서는보안사건(Event)과사고(Incident)를구분하여사용하고있다. 사고는명백한피해가발생한것을지칭하고있다. 사건은보안위반이나불명확 보안징계절차에는보안사건을인지하였음에도보고하지않은책임에대한징계수위를높여야한다. 따라서사건을인지한후 패한군인을용서할수있어도경계에실패한군인은용서할수없다 는격언과상통하는경우이기때문이다. 작전에실 제12절 보안 사고 관리 88
보안취약점보고(Reporting 정보시스템과서비스에대한모든직원, 1세부통제항목 security weaknesses)[ (Reporting 모든보안취약점들을기록하고보고하여야한다. 계약자, 제3의사용자는시스템과서비스에서관찰되었거나의심되는 ISO/IEC information 27001 A.13.1.2] security events andweaknesses)[ 1. 정보보안사건과취약점보고 ISO/IEC 27001 A.13.1] 그들의서비스제공자에게가능한한빨리보고하여야한다. 2해설 수있어야한다. 알아야한다. 모든직원, 계약자, 그들은어떤상황에서도그들이의심되는취약점을증명하는것을시도해서는안된다는것을 제3의사용자는정보보안사고를예방하기위하여취약점들을그들의관리자나직접적으로 보고매커니즘은되도록쉽고, 접근하기쉽고, 이용할 취약점에대한시험자체가시스템의잠재적오용으로해석될수있고정보시스템또는서비스에피해를야기할 수있고시험을수행하는개인에대해법적책임이부과될수있기때문이다 의심되는보안취약점을증명하려고해서는안된다는점을직원, 계약자, 제3의사용자에게조언하여야한다. 3실행지침 1) 2) 3) 정보시스템과서비스의취약점은아래의영역에서파악할수있다(A.12.6.1 설비내주요설정이잘못됨으로인한취약점 설비내운용되는기본프로그램에대한취약점 설비운영체제상의취약점 참조) 6) 4) 5) 설비내사용자및파일시스템의취약점 정보시스템과서비스의취약점은조사권한을갖고있는독립적인조직의보안전문가가수행하여야한다. 설비내설치된응용프로그램의취약점등 시스템의네트워크서비스및데몬프로그램관련취약점 조사과정에서는침투, 된자의조사가불가피하다. A.13.1.1의보안사건의보고와동일한절차를적용할수있으나보고서에포함되는내용이상이하기때문에 유출, 변조, 훼손등다양한시험을통해취약점을확인하여야하기때문에법적으로인가 별도의보고서템플리트를정립하여사용하는것을권고한다. 제12절 보안 사고 관리 89
중소기업의기술보호를위한 통제항목 정보보안사고와개선관리 세부보안통제실행지침서 통제목표 일관적이고효과적인접근이정보보안사고관리에적용됨을보장하기위함. (Management 보고된정보보안사건과취약점을다루기위한책임과절차가이행되어야한다. of information security incidents and improvements)[ ISO/IEC 27001 A.13.2] 증거가요구되는경우, 프로세스가정보보안사고에대응, 그것은법적요구사항에부합하도록수집되어야한다. 감시, 평가등종합적관리에적용되어야한다. 지속적인개선 통제항목 세부 책임과절차 정보보안사고로부터의학습 A.13.2.1] A.13.2.2] 정보보안사고에대해빠르고, 정보보안사고의유형, 행하여야한다. 장하기위한관리책임과절차를수립하여야한다. 크기, 비용을정량화하고감시하는매커니즘을이 효과적이고, 순서적으로대응하는것을보 증거수집 1)침해사고에대한책임과절차는보안관리조직, [ ISO/IEC 27001 A.13.2.3] 법적조치가수반되는정보보안사고이후개인이나조직에대한사후조 치가필요한경우(민사또는형사적인), 할사법기관의증거제출규칙에따라제출하여야한다. 증거를수집하여보유하고, 관 통제항목 2)침해사고의보고는신속성을최우선으로고려하되, 의유기적인협업을고려하여정의한다 업무수행조직, 신속한조치를위한사고현상규명, IT관리조직, 외부보안전문조직등과 원인분석, 대 해설 3)침해사고는피해규모보다더많은이익을줄수있는반면교사임을고려한다. 응조치강구들을이차적으로고려한다. 4)법적조치가수반되는사고에대해서는법원에증거를수집하여제출하는원칙과규칙을명확히인식 향을분석하여조직구성원및이해관계자의보안의식을고취하고, 투자를통해미래의더큰피해를예방할수있음에유의한다. 보안인식을제고하며, 사고의발생원인과영 하여야한다. 이러한증거수집활동에대해서는변호사또는법률고문의도움을통해절차또는지침으 재발을위한 5)침해사고는회사에미치는영향에따라등급을분류하여대응한다. 로제정하여이행한다. (예. 중대사고, 일반사고) 제12절 보안 사고 관리 90
책임과절차(Responsibilities 정보보안사고에대해빠르고, 1세부통제항목 and (Management procedures)[ of 야한다. 효과적이고, 순서적으로대응하는것을보장하기위한관리책임과절차를수립하여 ISO/IEC information 27001 security A.13.2.1] incidents and improvements)[ 2. 정보보안사고와개선관리 ISO/IEC 27001 A.13.2] 보보안사건을탐지하기위해사용하여야한다. 2해설 a) 정보보안사고와취약점(13.1 절차는정보다른형태의보안사건을다루기위해성립하여야하며다음을포함한다.: 1) 정보시스템오류와서비스손실; 참고)에대한보고에더하여, 정보보안사고관리절차에관한다음지침은고려하여야한다. 시스템, 경보, 취약점(10.10.2 참고)에대한감시는정 4) 2) 5) 3) 불완전하거나부정확한비즈니스데이터로인한오류; 악성코드(10.4.1 기밀유지와무결성의오류; 서비스거부; 참고); b) 보통의긴급사태에더하여(14.1.3 2) 1) 6) 차단 사건원인에대한식별과분석; 정보시스템의오용; 3) 필요할경우, 재발방지를위해개선된행동에대한계획과실행; 참고), 절차는다음것을포함하여야한다. (13.2.2 참고): c) 감사증적과유사한증거는다음것을위해적당히수집되고(13.2.3참고) 4) 1) 5) 사건발견과관련되거나영향을미친것과통신; 내부문제분석; 적절한권위에대한동작보고; 보안하여야한다.: d) 보안오류를개선시키고시스템오류를올바르게하기위한행동은조심스럽고공식적으로통제하여야한다. 사회적이거나범죄의진행사건에서의법적인증거로써의사용; 2) 3) 소프트웨어와서비스공급자로부터보상을위한협상; 잠재적인계약오류나규제조건과관련되거나컴퓨터오용또는데이터보호법률하에서 그절차는다음것을보장한다.: 받는다. 1) 2) 오직분명히범주화되고권한을부여받은인사만이시스템과데이터를살리는접근을허락 모든취한비상행동은세부적으로문서화하여야한다; (외부접근에관해서는6.2 참고); 사건을다루는데있어조직의우선권을이해한다는것을보장받아야만한다. 3) 비상행동은관리에보고되고정해진방식으로검토된다; 3실행지침 정보보안사건관리의목적은관리와일치해야하며, 4) 비즈니스시스템과통제의무결성은최소한의기간안에승인된다. 그런정보보안사건관리에책임이있는것들은정보보안 -보안사고의정의및범위, -보안사고보고서, -보안사고선포절차및방법, 보안사고대응계획은다음과같은사항을포함하여야한다 -보안사고복구장비및자원조달, 긴급연락체계 -기타보안사고예방및복구를위해필요한사항 대응절차, 보안사고복구조직의구성 보안사고발생시기록, 보안사고대응및복구훈련실시 보고절차 -교육계획, -외부전문가나전문기관의활용방안 주기적인평가 제12절 보안 사고 관리 91
정보보안사고로부터의학습(Learning 정보보안사고의유형, 1세부통제항목 (Management from information of information 크기, 비용을정량화하고감시하는매커니즘을이행하여야한다. security security 2해설 incidents)[ incidents ISO/IEC and improvements)[ 2. 정보보안사고와개선관리 27001 A.13.2.2] ISO/IEC 27001 A.13.2] 성, 정보보안사고의평가로부터얻은정보는사고재발또는큰영향을식별하는데사용하여야한다. 3실행지침 정보보안사고의평가는향후발생시빈도, 보안정책검토프로세스(A.5.1.2 참조)에서고려하여야할점을파악할수도있다 피해, 비용을줄이기위한개선된또는추가적인통제에대한필요 천에좌우된다. 사고의평가를통한학습을위해서는 사람 보다는 프로세스 에초점을맞추어원인을규명하고개선하는방식 사고는위협이었으나곧기회로둔갑시킬수있다. 이는조직이사고로부터무엇을개선하려고하는의지와실 을채택하여야한다. 3) 1) 2) 왜우리가사고의신속한대응이어려웠는가에대한관련프로세스를파악 왜우리가그사고의초동단계대처가부실하였는가에대한관련프로세스를파악 왜우리가그사고의징후를인식할수없었는가? 사고의학습을통한개선을위해서는다음사항을고려하여야한다. 또는징후인식이늦었는가에대한관련프로세스를파악 1) 2) 3) 상기2)-4)의질문에따른프로세스가파악되는경우에는다음을고려한다 4) 해당프로세스에전달되어야하는정보의정확성, 해당프로세스의활동순서가조정되어야하는필요성파악 해당프로세스의활동이보완되거나추가되거나삭제하여야하는필요성파악 해당프로세스에투입되는인적자원의역량향상의필요성파악 신속성, 완전성을파악 5) 6) 7) 해당프로세스에투입되는도구의적정성파악 보안사고의교훈은별도로정리하되민감한정보를제외하여모든직원, 해당프로세스에서활용하는기법의적정성파악 해당프로세스의결과를검증하는활동의적절성파악 는것도바람직한관행중의하나이다. 한다. 또한보안사고로인해징계를받는자에대해서는이러한학습에기여한공헌도를참작하여그수위를낮추 계약자, 제3의사용자에게전파하여야 제12절 보안 사고 관리 92
증거수집(Collection 법적조치가수반되는정보보안사고이후개인이나조직에대한사후조치가필요한경우(민사또는형사적인), 1세부통제항목of evidence)[ (Management 증거를수집하여보유하고, 관할사법기관의증거제출규칙에따라제출하여야한다. ISO/IEC 27001 of information A.13.2.3] security incidents and improvements)[ 2. 정보보안사고와개선관리 ISO/IEC 27001 A.13.2] 한다. 2해설 일반적으로, 조직내에서다루는징계조치를위한목적으로증거를수집하고제출하는내부절차를수립하고준수하여야 b) a) 증거의능력: 증거의중요성: 증거에관한법칙은다음을포함한다.: 증거능력을달성하기위해, 증거는법정에서사용될수도안될수도있다.; 를산출하는행동강령을따른다는것을보장하여야한다. 증거의품질과완전성. 제공된증거의중요성은적절한요구사항에부합하여야한다. 조직은그들의정보시스템이공표된모든표준이나법정에서채택될수있는증거 적에의해입증되어야한다. 증거를보고하기위해적용된통제의질과완전성은발견된증거가저장되고처리되는기간동안강력한증거추 일반적으로, 그런강력한추적은다음의조건에따라성립될수있다: 증거의중요성을달성하기위해, 정확하고일치된 a) b) 함께보관된다; 하드디스크나메모리내의정보는가용성을보장하여야한다.; 종이문서의경우: 컴퓨터매체정보의경우: 모든조사는원본이변경되지않았음을보장하여야한다.; 원본은문서를발견한사람, 제거가능한매체의거울이미지나복사본(적용가능한요구사랑에의존하는), 발견된장소, 발견된시간과발견을입증할사람의기록과 이미지나복사본) 여야하고그과정은입증되어야한다.; 손을대지않고안전하게보관하여야한다. 원본매체와기록은(만일이것이불가능하다면최소한첫거울 복사과정에서모든행동의로그를유지하 증거자료를복사하는것은믿을만한사람에의해감독되어야하고언제어디서복사과정이진행되었는지, 복사행위를했고어떤도구와프로그램이사용되었는지기록하여야한다. 모든수사작업은증거자료의복사본으로수행하여야만한다. 모든증거자료의무결성이보호되어야한다. 정보보안사건이처음발견되었을때는재판에회부되어야하는지아닌지를명확하지않다. 그러므로필요한 누가 모든법적조치의초기에변호사또는경찰의참여를요청하고요구되는증거에대한조언을받아야한다. 증거가사고의심각성이밝혀지기전에의도적으로또는우연적으로파괴될수있는위험이존재한다. 증거가조직적또는관할경계를벗어나는경우가있다. 이러한경우에는조직은증거로서요구되는정보를수 생각되는 또한고려하여야한다. 집하기위한권리를부여하여야한다. 다른관할의요구사항은관련관할에걸친승인기회를최대화하는것을 제12절 보안 사고 관리 93
3실행지침 (Management of information security incidents and improvements)[ 2. 정보보안사고와개선관리 ISO/IEC 27001 A.13.2] 송에서자백, 재판과정에있어'증거'란사실관계를확정하기위하여사용되는자료를말한다. 증거능력이란증거가엄격한증명의자료로써사용되기위하여필요한법률상의자격을말한다. 전문증거, 위법수집증거등의증거능력은엄격하게제한된다. 특히형사소 는엄격한증명주의를말한다. 우리법원은형사소송에있어"사실의인정은증거에의하여야한다"라고하여'증거재판주의'를채택하고있 여기서'증거능력'이란증거가엄격한증명의자료로써사용되기위하여필요한법률상의자격을말한다. 즉, 법원은피고인에게유죄를인정할때는적법한증거조사에따라확보된증거능력이있는증거에의한다 거능력이없는증거는사실인정의자료로써채용될수없을뿐만아니라공판정에서증거로제출하는것도허 용되지않는다. 증 형사소송에있어증거능력은증명력과는구별된다. 증거의증거능력의유무는법률상일정하게규정되어있으며, 증거의증명력은어떤사실을입증할수있는증거의실 원칙적으로법관의자유로운판단을허용하지 를들면강제에의하여얻어진임의성이없는자백은진실과합치된다하더라도법률에의하여증거능력이없 는것은사실인정의자료로할수없다. 질적가치로서법관의자유로운판단(자유심증주의)에맡기고있다. 그러나아무리증명력이있는증거라도, 예 술이아닌진술조서나다른사람의증언)도원칙적으로증거능력이없다. 시문서, 임의성이없는자백은증거능력이없다. 즉, 우리나라의현행형사소송법은영미법의전통을받아들여증명력의평가를잘못하기쉽고(전문증거), 예를들면공소장등도증거능력이없다. 반대신문권을행사할수없는전문증거( 또당해사건에관하여작성된의사표 傳 聞 證 據, 피해자의법정진 있는경우에는그증명력의여하를불문하고증거능력을박탈하고있다. 진실발견을다소희생시키더라도타의목적, 예를들면소송절차의공정이나인권의보장등을앞세울필요가또 민사소송에있어서는형사소송과달리증거능력에제한이없음이원칙이다. 제12절 보안 사고 관리 94
통제항목 사업연속성관리의정보보안관점 중소기업의기술보호를위한 (Information security aspects of business continuity management)[ ISO/IEC 27001 세부보안통제실행지침서 로세스를보호하고, 업무활동의중단을해소하고, 그들을적시에재개하는것을보장하기위함 정보시스템의중요고장이나재난의영향으로부터중요업무프 A.14.1] 통제목표 사항과기타연속성요구사항(운영, 재난, 구현하여야한다. 손실을(자연재해+돌발사고+장치고장과고의적행동) 사업연속성관리프로세스는예방과복구통제의조합을통해수용할만한수준으로정보자산의 업연속성계획은적시에필수불가결한운영을재개하기위해수립하고이행하여야한다. 이프로세스는핵심업무프로세스를파악하고, 채용, 자료, 수송과설비등과같은측면) 복구하여조직에영향을최소화하기위해 보안은종합적인사업연속성프로세스와조직의기타경영프로세스에통합된부분이어야한다. 보안고장, 서비스손실, 서비스가용성의결과는사업영향분석의주제가되어야한다. 사업연속성의정보보안요구 통합하여야한다. 사업연속성관리는위험을식별하고감소하는통제와추가적으로일반적인위험평가프로세스, 사고의피해결과의축소, 업무프로세스을위해요구되는정보를쉽게가용함을보장등을 사 포함하여야한다. 사업연속성프로세스에 정보보안을포함 A.14.1.1] 을통해사업연속성을위하여관리되는프로세스를개발하고유지하 조직의사업연속성을위해필요한정보보안요구사항을다루는조직 여야한다. 통제항목 세부 사업연속성과위험평가 정보보안을포함한연속성계획 [ ISO/IEC 27001 A.14.1.2] 업무프로세스의중단을유발할수있는사건들을그러한중단의발 수립및이행 생가능성과중단으로인한영향, 께식별하여야한다. 정보보안에대한중단의결과와함 [ ISO/IEC 27001 A.14.1.3] 운영의유지또는회복을위해계획을수립, 의정보가용성과핵심업무프로세스의중단또는고장에따른복구 시간을보장하여야한다. 이행하여요구되는수준 사업연속성계획수립프레임워크 [ ISO/IEC 27001 A.14.1.4] 모든계획들이일관적임, 고시험과유지보수우선순위식별을보장하기위하여사업연속성 계획의 단일프레임워크를유지하여야한다. 정보보안요구사항의일관적인처리, 그리 사업연속성계획시험, 1)사업연속성계획은재난대책으로이행하는것이다. 평가[ ISO/IEC 27001.14.1.5] 유지및재 사업연속성계획은최신의유효한것임을보장하기위해정기적으로 시험하고갱신하여야한다. 통제항목 계정의가필요하다. 예를들어일주일이상의정보시스템중단이발생한경우재난으로다룰것인가에 무엇을재난으로규명할것인가에대한명확한경 설명 2)재난은조직의힘으로불가항력적인자연재해, 3)사업연속성계획은업무의복구와정보처리설비의복구양자를포함한다. 대한적용범위. -자연재해: -인공재해: 홍수, 테러, 도난, 폭우, 화재, 강풍, 전염병, 장애발생등 지진등인공재해등을포함한다 4)사업연속성계획은정기적인(대개년1회) (BCP)와IT서비스연속성계획(ITSCP)로구분하여계획을수립하고이행한다. 템을구축하고운영하는경우에는대개ITSCP에따르는것이다. 시나리오별로평가하여복구기준을충족하는지를분석하고개선한다. 모의훈련또는실제상화가상훈련을통해복구시간을 일반적으로사업연속성계획 재해복구센터와이중시스 제13절 사업연속성 관리 95
사업연속성프로세스에정보보안을포함(Including process)[ 1세부통제항목 ISO/IEC 27001 A.14.1.1] (Information security information aspects of business 조직의사업연속성을위해필요로하는보안요구사항을다루는조직은사업연속성을위한관리프로세스를 수립하고유지하여야한다. security continuity the 1. business management)[ 사업연속성관리의정보보안관점 continuity ISO/IEC management 27001 A.14.1] a) 2해설 b) 이프로세스는사업연속성관리에대한다음의핵심요소들을포함하여야한다. c) 정보보안사고에의해초래되는사업상의방해에따른영향의이해(조직의활력에위협을가할수있는 핵심업무프로세스(A.14.1.2 핵심업무프로세스들에수반되는모든자산들을식별(A.7.1.1 대한이해; 참조)의식별과우선순위를포함하여조직이직면한위험의발생가능성과영향에 큰사건뿐만아니라작은영향들에의한사건들의해결책을찾는것은중요)와정보처리설비의업무목표를 수립하는것; 참조); e) f) d) g) 추가적인예방과완화통제의이행을파악하고고려; 운영위험관리의일부로서만이아닌포괄적인사업연속성프로세스의일부로서적절한보험가입을고려; h) 합의된사업연속성전략과일치하는정보보안요구사항을다루는사업연속성계획을공식화하고문서화 개인의안전,정보처리설비와조직자산의보호를보장; 식별된정보보안요구사항을다루기위한충분한재정적,조직적,기술적,환경적자원의식별; i) j) 계획과프로세스의정기적인시험과갱신(A.14.1.5 (A.14.1.3 참조); 참조); 3실행지침 사업연속성관리가조직의프로세스와구조에반영됨을보장;사업연속성관리프로세스에대한책임성이 조직에적절한수준으로배정되어야함(A.6.1.1 참조); 1)침해사고가사업의지속적인영위에영향을미치는재해수준으로발전한경우사업연속성관리가필요하다. 2)조직의내 외부역량을결집하여해결할수없는자연재해는사업연속성관리를필요로한다. 사업연속성관리와보안관리는다음과같은측면에서매우밀접한관계를맺고있다 침해사고가발생하여1개월이상의복구기간을필요로하는재해수준의사고로발전한경우에는조직과이해관 별도로구분하여제시하고있다. IT서비스관리에대한국제표준(ISO/IEC 재해와보안사고의공통점은핵심자산의기밀성, 20000-1)에서는정보보안관리프로세스와사업연속성관리프로세스를 계를맺고있는정부기관, 향을미치는위협이라는점이다. 그러나재해와보안사고의관리전략은전혀다른양상을가지고있다. 무결성, 가용성에치명적인영 문화적피해가최소화되도록하고최선의복구대책을수립하여이행하여야한다. 업체, 주주, 시민사회, 대중, 언론등에대해신속한의사소통을통하여경제적, 예를들어 보안요구사항중에재해로인해발생하는침해사고는정부기관, 소방기관, 의료기관, 치안기관, 지역자치단체, 심리적, 가능한재해/위기시나리오를예상하여복구대책을수립하고, 시민단체등의다양한기관과의협력을통해복구하여야하는경우가있다. 정기적인모의훈련을통해대비하고있다. 기업에서는대개이러한복구전략을 제13절 사업연속성 관리 96
사업연속성과위험평가(Business 업무프로세스의중단을유발할수있는사건들을그러한중단의발생가능성과영향, 1세부통제항목 (Information continuity security and risk aspects 함께식별하여야한다. assessment)[ of business ISO/IEC continuity 1. 27001 management)[ 사업연속성관리의정보보안관점 A.14.1.2] ISO/IEC 27001 A.14.1] 2해설 정보보안에대한결과를 을파악하는것에기초하여야한다.예)장비의고장, 가능성과영향과중단시간, 사업연속성의정보보안관점들은조직의업무프로세스에대한중단을야기할수있는사건(혹은사건의연속) 사업연속성위험평가는업무자원과프로세스의소유자의참여를바탕으로수행되어야한다. 피해규모와복구기간을결정하기위한위험평가에따라야한다. 인간의실수, 도난, 화재, 자연재해,테러.이는중단의발생 중요하다. 포함하여야한다. 업무프로세스를고려하여야하며정보처리설비에제한을두어서는안되지만정보보안에미치는구체적인결과는 평가는중요자원, 조직의사업연속성요구사항의완전한그림을얻기위해서상이한위험양상과연계하는것이 중단의영향, 중단허용시간,복구우선순위를포함하여조직에적정한기준과목표 이평가는모든 그러한전략이수립되면경영자에의해승인하고전략을이행하기위한계획을수립하고승인한다. 대비위험의우선순위와크기를식별하여야한다. 3실행지침 위험평가의결과에따라, 사업연속성에포괄적인접근을결정하기위한사업연속성전략을수립하여야한다. 다. 1)위협 화재 설비가위치하고있는데이터센터의소실의경우를가정하는경우위협, 사업연속성위험평가는보안위험평가와동일한방법으로진행한다. 예를들어화재의발생으로인해정보처리 2)취약성 근접건물의누전/내부자또는외부자의고의적인방화/내부건물의누전/자체소방장비의미구비등 취약성, 영향, 복구대책등은다음과같 3)영향 데이터센터완전소실로인한사업중단6개월(인명과재정적피해영향무시) 4)복구대책 데이터센터건물임대및정보처리설비구축(단기), 사업연속성위험시나리오는보안사고시나리오와동일하게 위협+취약성+영향 으로정의된다. 재해복구센터및시스템구축(중기) 수있다. 나리오는 근접건물의누전으로(취약성) 데이터센터화재가발생하여(위협) 6개월의사업중단을초래 로정의할 상기사례의시 취약성, 업무프로세스소유자이며데이터센터책임자는중요자원의소유자이다. 하다. 보안위험평가와동일하게사업연속성위험평가에업무자원과프로세스소유자(Owner)의참여가필수불가결 상기데이터센터의경우에는데이터센터에서관리하고있는정보시스템을활용하는사업부서의책임자가 위협발생시사업에미치는영향을그누구보다잘알고있는인원이기때문이다 그들은데이터센터에상존하는위협과 제13절 사업연속성 관리 97
information 정보보안을포함한연속성계획수립및이행(Developing 1세부통제항목 (Information security aspects 또는고장에따른복구시간을보장하여야한다. 운영의유지또는회복을위해계획을수립, security)[ ISO/IEC 27001 A.14.1.3] 이행하여요구되는수준의정보가용성과핵심업무프로세스의중단 and of business implementing continuity 1. continuity management)[ 사업연속성관리의정보보안관점 plans ISO/IEC including 27001 A.14.1] a) 2해설 b) c) 사업연속성계획수립프로세스는다음사항을고려하여야한다. 요구된시간내에업무운영과정보가용성의복구와회복을위한절차의이행; 모든책임과사업연속성프로세스의식별과합의; d) 정보와서비스의수용가능한손실의파악; e) f) 위기관리를포함한합의한절차와프로세스에대한직원의적절한교육; 합의한절차와프로세스의문서화; 회복과복구가완료될때까지따르기위한운영절차; 내부와외부업무의존성과계약의평가에주어지기위해필요한특별한주의; 의회복.이를촉진하는서비스와자원은정보처리설비의폴백계획뿐만아니라직원, g) 계획수립프로세스는요구되는사업목표에초점을두어야한다. 계획의시험과갱신; 하여식별하여야한다. 것이다. 폴백계획은상업용신청서비스나상호협정의형태로제3자조직의계획을포함할수있을 예) 수용가능한시간내에고객의통신서비스 비정보처리자원들을포함 사업연속성계획들은조직의취약성을다루고있기때문에계획들은적절한보호를필요로하는민감한정보를 수준의보안으로보호하여야한다. 포함할수있다. 있는곳에보관되어야한다. 사업연속성계획의복사본은주사이트의재해에따른피해를피하기위해충분한거리에떨어져 관리자는사업연속성계획의복사본이갱신되고주사이트에서적용되는것과같은 사업연속성계획을실행하기위한기타필요한계획들도먼곳에보관되어져 차에서도발생할수있다. 만약대체가능한임시지역을사용하는경우그지역에구현되는보안통제는주사이트와동등하여야한다. 3실행지침 위기관리계획과활동은(A.14.1.3 f 참조) 사업연속성관리와다르게기술할수있다. 즉위기는정상적인관리절 는피해가포함되기때문이다. 사항을파악하여적절한보안통제를이행하여야한다. 보안은재해와위기가발생하는경우에도유지되어야한다. 따라서사업연속성계획에는재해발생후, 재해로인한피해에는보안통제를상실하여발생하 사업연속성계획은교육과훈련을필요로한다. 특히모의훈련은목표복구시간이내에보안을유지하여복구할 재해복구과정에이르기까지보안요구 수있는역량을확보하기위해실시하고그결과를분석하여관련계획과프로세스를개선하게된다. 제13절 사업연속성 관리 98
사업연속성계획수립프레임워크(Business 모든계획들의일관성과정보보안요구사항을일관적으로다루고, 1세부통제항목 (Information continuity security aspects planning of 위해사업연속성계획은단일프레임워크로유지하여야한다. framework)[ business continuity 1. 시험과유지보수우선순위식별을보장하기 ISO/IEC management)[ 사업연속성관리의정보보안관점 27001 A.14.1.4] ISO/IEC 27001 A.14.1] 접근을설명하여야한다. 위한조건과에스컬레이션계획을또한정의하여야한다. 2해설 백계획) 각사업연속성계획은예를들면정보/정보시스템가용성과보안을보장하기위한접근과같이연속성을위한 장하기위해조직의변경관리프로그램안에포함되어야한다. 기존의절차서를적절히보완하여야한다. 계획은각각의컴포넌트를실행하는데대한개인의책임뿐만아니라그것을추진하기 절차는사업연속성문제가항상적절하게다루어지는것을보 새로운요구사항이식별되는시점에는(예, 피난계획/폴 개서비스제공자에게책임이있다. 절차의소유자의책임을포함하여야한다. 각계획은구체적인소유자가있어야한다. 정보처리와통신설비와같은대체기술서비스를위한폴백계획은대 비상절차, 수작업폴백계획,회복계획은수반되는적절한업무자원/ a) b) 사업연속성계획수립프레임워크는식별된정보보안요구사항을다루고다음을고려하여야한다. 각계획들이실행되기전에따라야하는프로세스를기술한계획의실행조건 업무운영을위험에빠뜨리는사고가일어났을때행동을기술한비상절차들 (예. 상황의평가방법, 참여하여야하는인원) d) e) c) 필수적인업무활동의이동,대체임시장소에서의서비스제공,요구시간내에업무프로세스를운영으로 f) 정상적인업무운영으로돌아갈때의행동을기술한회복절차들 회복과복구가완료될때까지따라야하는임시운영절차 가져가기위한행동을설명한폴백계획 g) h) i) 비상,폴백,회복절차를수행하게하는핵심자산과자원 계획의유지를위한프로세스와그계획이언제어떻게시험될것인지를명시한유지보수스케듈 사업연속성프로세스의이해와프로세스가효과적으로지속되는것을보장하기위한인식, 교육,훈련활동 3실행지침 계획의컴포넌트를실행하기위한책임자와개인의책임을기술, 필요한경우대체인력의지명 여야만이기대하는결과를획득할수있기때문에단일의계획수립프로세스에따라수립되고유지보수하여야 한다. 이병행또는순차적으로발생하는복잡한구조를갖고있다. 사업연속성계획은업무환경구축, 대체인력확보, 정보시스템복구, 따라서각활동들이상호긴밀하게협력하고소통하 복구과정의보안통제유지등다양한활동들 진행하는방식이다. 주문을접수하여주문접수대장에기록하고주문데이터베이스등록프로그램을활용하여접수를완료하는형태로 폴백(Fallback)계획은대체수단이존재하는경우에수립하게된다. 자동주문접수에서반자동주문접수로대체하는계획이다. 예를들어주문처리업무의경우유선으로 제13절 사업연속성 관리 99
사업연속성계획시험, [ 1세부통제항목 유지및재평가(Testing, (Information security maintaining aspects 사업연속성계획은최신의유효한것임을보장하기위해정기적으로시험하고갱신하여야한다. ISO/IEC 27001 A.14.1.5] and of business re-assessing continuity 1. business management)[ 사업연속성관리의정보보안관점 continuity plans) ISO/IEC 27001 A.14.1] 구사항에대한그들의책임,계획이작동될때그들의역할을인식하는것을보장하여야한다. 2해설 BCP 사업연속성계획(이하 BCP )시험은복구팀원과기타관련직원등모든구성원들이계획,사업연속성과보안요 자주시험되어져야한다. 기법들의다양성은실제생활에서계획이운영될것이라는보증을제공하기위해사용되어야한다. 시험스케줄은언제어떻게계획의각요소들이시험되어져야하는지적시하여야한다. 계획의각요소는 a) 다음을포함한다. b) 다양한시나리오의table-top 시뮬레이션(특히그들의사고후/위기관리역할훈련을위한); 시험(중단사례를적용하여업무회복계획을논의); 이것들은 d) c) e) 기술적복구시험(정보시스템이효과적으로복원될수있음을보장); 공급자설비및서비스시험(외부적으로제공되는서비스와제품들이계약조건과부합할것이라는것을보장); 대체장소에서의복구시험(주사이트에서떨어진곳에서복구운영과병행하여실행중인업무프로세스들); 의결과를기록하고필요한경우,계획의개선을위한조치가취해져야한다. f) 완전한리허설(조직, 이들기법은모든조직에의해사용될수있다. 개인, 장비, 설비,프로세스들은중단을극복할수있는지를시험); 그들은특정복구계획과관련된방법을적용해야만한다. 시험 보완된계획이완전한계획의정기적인검토에의해강화되고배부됨을보장하여야한다. 은업무제도의변경을확인한경우에는계획의적절한보완이필요하다. 각사업연속성계획의정기적인검토를위한책임을배정하여야한다. 사업연속성계획내에아직반영되지않 3실행지침 이러한공식적인변경통제프로세스는 b) a) c) 업무전략; 인원; 주소또는전화번호; 사업연속성계획의갱신이필요한변경사례는다음과같다. g) e) f) d) 계약자, 법률제정; 위치, 설비과자원; h) i) 시스템업그레이드 위험(운영적또는재정적) 프로세스,신규또는폐기프로세스; 공급자그리고주요고객; j) 새로운장비의취득 제13절 사업연속성 관리 100
중소기업의기술보호를위한 통제항목 법적요구사항과준거성(Compliance with legal requirements)[ ISO/IEC 27001 세부보안통제실행지침서 통제목표 정보시스템의설계, 모든법률, 법령, 규제또는계약적의무와모든보안요구사항위반을피하기위함. 운영, 사용, 관리는모든법률, 법령, 규제및계약적보안요구사항에 A.15.1] 다른국가로전송되는경우다양할수있다 갖춘변호사를통해야한다. 영향을받을수있다. 적용가능한법률의식별특정법적요구사항에대한조언은조직의법률고문또는적절한자격을 법적요구사항은국가별로다양하고한국가에서생성된정보가 지적재산권 ISO/IEC 27001 A.15.1.1] 충족시키기위한조직의접근을명확히정의하고문서화하여 관련모든법률, 각정보시스템과조직을위해최신으로유지하여야한다. 법령, 규제및계약적요구사항과그요구사항을 통제항목 세부 조직의기록보호 ISO/IEC 27001 A.15.1.2] 장하기위한적절한절차를이행하여야한다 권을사용하는데있어법률, 지적재산권이될수있는자료의사용과소프트웨어제품의소유 ISO/IEC 27001 A.15.1.3] 중요한기록은법령, 규제, 계약, 규제및계약요구사항에부합함을보 개인정보의프라이버시및 데이터보호 변조로부터보호하여야한다. 업무요구사항에따라손실, 파손, 정보처리설비오용의차단 A.15.1.4] A.15.1.5] 데이터보호와프라이버시는관련법규, 사용자가인가되지않은목적으로정보처리설비를사용하는것을 항의요구에따라보장하여야한다. 규제, 적용가능한계약조 암호통제의규제 [ 1)정보통신의급속한발전에따라보안관련법률이제정또는개정된다. ISO/IEC 27001 A.15.1.6] 저지하여야한다 암호통제는관련모든협정, 법, 규제를준수하여사용하여야한다. 2)법의보호를받기위해서는법이정하는절차에따라보호대상으로등록하고법에서요구하는조치를 법률의제개정변화추이를면밀히파악하고경영자에게보고한다. 보안관리조직에서는이러한 통제항목 이행하여야한다. 설명 3)개인정보와프라이버시는법적으로엄격히보호하고있다. 요구하고있다 -개인정보를안전하게취급하기위한내부관리계획의수립ㆍ시행 -개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치ㆍ운영 -접속기록의위조ㆍ변조방지를위한조치 예를들어개인정보는다음과같은조치를 4)정보처리설비의오용을차단하기위해서는물리적, -개인정보를안전하게저장ㆍ전송할수있는암호화기술등을이용한보안조치 -백신소프트웨어의설치ㆍ운영등컴퓨터바이러스에의한침해방지조치 -그밖에개인정보의안전성확보를위하여필요한보호조치 설비는겹겹의보호를통해보안을유지하는원칙을적용한다. 예를들어정보처리시설의인가와출입통제, 관련설비의접근통제등을혼용하는것이다. 기술적, 관리적보호방안을혼용하는것을고려한 중요한 제14절 준거성 101
적용가능한법률의식별(Identification 관련모든법률, 1세부통제항목 1. 법적요구사항과준거성(Compliance with legal requirements)[ ISO/IEC 27001 A.15.1] 문서화하여각정보시스템과조직을위해최신으로유지하여야한다. 법령, 규제및계약적요구사항과그요구사항을충족시키기위한조직의접근을명확히정의하고 of applicable legislation) [ ISO/IEC 27001 A.15.1.1] 이러한요구사항을충족하기위한특정통제와개인책임을(법률과) 2해설 3실행지침 유사하게정의하고문서화하여야한다. 국내보안관련법률은다음과같다. 번호 1 산업기술의유출방지및보호에관한법률 법률명(상세사항은부록1 참조) 2 부정경쟁방지및영업비밀보호에관한법률 산업기술의부정한유출방지 타인의영업비밀을침해하는행위를방지 제정취지 345 통신비밀보호법 정보통신기반보호법 정보통신망이용촉진및정보보호에관한법 률 전하게이용 통신비밀보호및자유신장 6 전자적침해행위에대비하여주요정보통신기반시설의보호 정보통신서비스를이용개인정보를보호와정보통신망을건전하고안 7 공공기관의개인정보보호에관한법률 공공기관의컴퓨터 폐쇄회로텔레비전등정보의처리또는송 수신기 8 신용정보의이용및보호에관한법률 전자금융거래법 능을가진장치에의하여처리되는개인정보의보호 신용정보업을건전하게육성하고신용정보의효율적이용과체계적 관리로신용정보의오용 남용으로부터사생활비밀등을적절히보호 10 9 전자서명법 전자금융거래의안전성과신뢰성을확보 11 위치정보의보호및이용등에관한법률 전자문서의안전성과신뢰성을확보 12 전자상거래등에서의소비자보호에관한법률 유비쿼터스도시의건설등에관한법률 으로써소비자의권익을보호 위치정보의유출 오용및남용으로부터사생활의비밀등을보호 전자상거래및통신판매등에대한공정한거래에관한사항을규정함 13 국가공간정보에관한법률 도시의경쟁력을향상 유비쿼터스도시의효율적인건설및관리등에관한사항을규정하여 14 15 국가정보화기본법 국가공간정보체계의효율적인구축과종합적활용및관리에관한사 16 컴퓨터프로그램보호법 정보보호시스템평가 인증지침과공통평가기준제시 17 저작권법 프로그램저작권보호 18 주민등록법 지적재산권보호 19 전기통신기본법 전기통신사업법 주민등록번호오용, 허위통신예방 사업자의통신비밀누설및통신방해등금지 도용, 유포방지 20 21 반도체집적회로의배치설계에관한법률 형법 반도체기밀보호 비밀침해, 전자기록침해, 도박, 명예훼손, 사기등예방 제14절 준거성 102
지적재산권(IPR: 지적재산권이될수있는자료의사용과소프트웨어제품의소유권을사용하는데있어법률, 1세부통제항목Intellectual property 1. 법적요구사항과준거성(Compliance 항에부합함을보장하기위한적절한절차를이행하여야한다 rights)[ ISO/IEC 27001 A.15.1.2] with legal requirements)[ ISO/IEC 27001 A.15.1] 2해설 규제및계약요구사 a) c) b) 다음지침이지적재산으로고려하는모든자료의보호를위해고려하여야한다: 의도를고시함; 지적재산권보호정책에대한인식을유지함, 소프트웨어및정보제품의법적사용을규정한지적재산권준수정책을공표함; d) 적절한자산등록을유지, 저작권이위반되어지지않아지켜진알려지고이름높은소스만을통하여얻어진소프트웨어; e) 라이센스, 마스터디스크, 매뉴얼등의소유권증거및증명을유지함; 그리고지적재산권보호에요구사항에대한모든자산식별; 그리고, 이를위반하는개인에대한징계조치를취하려는 f) g) h) i) 소프트웨어를다른사람에게배치하거나전달하기위한정책을제공함; 허가된사용자의최대수가초과되지않음을보장하는통제를구현함; j) 적절한감사도구를사용함; 적절한라이센스조건을유지하기위한정책을제공함; 인가된소프트웨어및라이센스를가진제품만이설치되는지점검을이행함; l) m) k) 공공네트워크로부터획득한소프트웨어및정보에대한약정및조건을준수함; 3실행지침 다른형식또는저작권으로허가된상업적녹화된(영화, 저작권으로허가된책, 기사또는다른문서전체또는부분이복사되지않음. 음악) 것에서추출하여변환된것과중복되지않음; 련국제법으로는공업소유권보호협약(파리조약), 문화창달을목적으로하는저작권으로분류된다. 지적재산권이란지적활동으로인하여발생하는모든재산권. 공업소유권에는특허권, 크게산업발전을목적으로하는공업소유권과 술에서소프트웨어비중이커지면서소프트웨어에대한지적재산권도보호되고있다. 상호권등이있으며, 미국에서는사업비밀보호를위한부정경쟁방지법으로도보호된다. 저작권에는저작인접권, 저작자재산권(복제권, 특허협력조약(워싱턴조약), 출판권, 실용신안권, 방송권) 세계저작권협약(파리조약) 최근에는컴퓨터나통신기 등이있다. 의장권( 意 지적재산권관 匠 權 ), 상표권, 산권을침해하지않도록관련절차를수립하여이행한다. 지적재산권의목록은관련직원이쉽게접근할수있도록공표하고비치하여야한다 지적재산권에대한관리는법무부서에서전담관리하여야한다. 회사의지적재산권을보호하고타사의지적재 제14절 준거성 103
조직의기록보호(Protection 중요한기록은법령, 1세부통제항목 1. 법적요구사항과준거성(Compliance with legal requirements)[ ISO/IEC 27001 A.15.1] 2해설 규제, 계약, of 업무요구사항에따라손실, organizational records)[ ISO/IEC 파손, 27001 변조로부터보호하여야한다. A.15.1.3] 회계기록, 암호화된모든기록이나전자서명(A.12.3 기록은보유기간과저장매체유형(예, 데이터베이스기록, 거래로그, 종이, 감사로그및운영절차서)으로분류하여야한다. 참조)과연관된암호키자료와프로그램은보유되는기록의기간만 마이크로필름, 마그네틱, 광학) 등의세부사항과함께기록유형(예, 라이행하여야한다. 큼기록의복호화가가능하도록보관되어야한다. 전자저장매체가선택되는경우, 기록의저장에사용된매체의손상가능성에대하여고려하여야한다. 장기간보관을위해종이와마이크로필름카드로사용을고려하여야한다. 향후기술변경으로인한손실로부터보호하기위하여보유기간동안데이터 저장및취급절차는제조자의권고에따 에접근하는능력(매체및형식의인식)을보장하는절차를포함하여야한다. 템을선택하여야한다. 충족되어야하는요구사항에따라수용가능한기간과형식으로데이터가검색될수있도록데이터저장시스 여야한다.만일기록이조직에의해필요하지않다면, 저장및취급시스템은국가/지역의법률과규제에정의된바에따라기록과보유기간의명확한식별을보장하 이시스템은그기간후기록의적절한파괴를허가하여야 c) a) 이러한기록보안목표를충족시키기위하여조직내에서다음의단계가취해져야한다. d) b) 기록및정보의보유, 기록및보유해야할기간을식별하는보유스케줄이작성하여야한다. 저장, 취급및처분에대한지침이발행하여야한다. 3실행지침 중요한정보의출처목록이유지하여야한다. 손실, 파괴및변조로부터기록및정보를보호하기위하여적절한통제가구현하여야한다. 1) 기록은다음과같은목적으로활용될수있기때문에관리와보전에만전을기하여야한다 4) 2) 3) 자신이특정사고에최선의대응을수행하였다는증거로활용하기위해 주주, 민사또는형사적조치에따른증거로활용하기위해 회사의업무프로세스에따라수행하였다는증거로활용하기위해 이해관계자, 감사자에대한회사의재정상태를확인하기위해 보유/보존하여야하는기록과보유기간은국가의법규와규제에따라야한다 제14절 준거성 104
개인정보의프라이버시및데이터보호(Data [ 1세부통제항목 1. 법적요구사항과준거성(Compliance 데이터보호와프라이버시는관련법규, ISO/IEC 27001 A.15.1.4] 규제, 적용가능한계약조항의요구에따라보장하여야한다. protection and privacy with of legal personal requirements)[ information) ISO/IEC 27001 A.15.1] 모든개인들과소통하여야한다. 2해설 조직의데이터보호및개인정보정책을수립하고이행하여야한다. 이정책과관련데이터보호법률및규제와의준거성은적절한관리구조와통제를요구한다. 이정책은개인정보의처리에참여하는 야하는특정절차서와관리자+사용자+서비스제공자의책임에대한지침을제공하는데이터보호관리자와같은 률과규제에따라정의하여야한다. 책임을갖는인원을지정하여달성한다. 개인정보보호를위한기술적그리고조직적대책을이행하여야한다. 개인정보의취급과데이터보호원칙의인식을보장하는책임은관련법 이는준수하여 수집, 송에대한통제를실시하는법률을도입하고있다. 대다수국가에서개인데이터(일반적으로그정보로부터확인할수있는살아있는개인정보) 의수집, 처리, 전 3실행지침 처리, 유포의무를부과할수있고다른나라로그데이터의전송능력을제한하고있다 국가법률에서기대하는것에따라, 그러한통제는개인정보의 제2조(정의)1. 국내의개인정보보호지침(고시제2002-3호)의내용을요약하면다음과같다 제3조(적용범위)이지침은서비스제공을목적으로정보통신망을통하여수집 이용 제공또는관리되는개인정 인을알아볼수있는부호 문자 음성 음향 영상및생체특성등에관한정보(당해정보만으로는특정개인을알 아볼수없는경우에도다른정보와용이하게결합하여알아볼수있는것을포함한다)를말한다. 개인정보 라함은생존하고있는개인에관한정보로서성명 주민등록번호등에의하여당해개 보뿐만아니라서면등정보통신망이외의수단을통하여수집 이용 제공또는관리되는개인정보에관해서도적 용된다. 제4조(개인정보보호를위한일반원칙)1누구든지자신의의사에반하여자신의개인정보가위법하게침해되거 나공개되지않을권리를가지며, 2개인정보를수집, 보호하기위하여적극노력하여야한다. 제5조(개인정보의수집)1서비스제공자가이용자로부터개인정보를수집하는경우에는당해이용자의동의를얻 이용, 제공또는관리하는자는제1항의규정에의한개인정보보호원칙을따르고개인정보를 개인정보를자율적으로통제할수있어야한다. 어야한다. 1. 2. 3. 서비스이용계약의이행을위하여필요한경우 서비스제공에따른요금정산을위하여필요한경우 정보통신망이용촉진및정보보호등에관한법률또는다른법률에특별한규정이있는경우 다만, 다음각호의1에해당하는경우에는예외로한다. 녹취할수있다. 2제1항의규정에의한동의는당해이용자의서명날인, 대한표시등의방법에의한다. 이하같다. 이경우전화에의한동의는향후입증을위하여상대방과의합의하에통화내용을 전자서명, 전자우편, 전화또는홈페이지상의동의란에 제14절 준거성 105
정보처리설비오용의차단(Prevention 1세부통제항목 1. 법적요구사항과준거성(Compliance with legal requirements)[ ISO/IEC 27001 A.15.1] 사용자가인가되지않은목적으로정보처리설비를사용하는것을저지하여야한다. 2해설 of misuse of information processing facilities) [ ISO/IEC 27001 A.15.1.5] 리자에게주의를주어야한다. 또는인가되지않은목적으로사용하는것은설비의부적합한사용으로간주하여야한다. 감시또는기타수단으로식별되는경우,이활동은적절한징계및법적조치를고려하기위해우려되는개별관 관리자는정보처리설비의사용을승인하여야한다. 설비를관리자의승인(A.6.1.4 참조)없이비업무목적으로 인가되지않은활동이 는사용자에게서면허가서를제공하는방법으로이루어질수있으며,사용자에의해사본에서명하고그사본은 법률적조언은감시절차를이행하기전에들어야한다. 3의사용자에게통지하여야한다 조직이안전하게보유하여야한다. 모든사용자는허가된접근과인가되지않은사용을탐지하기위한감시의정밀한범위를인식하여야한다. 인가된것외에는어떠한접근도허가되지않음을조직의종업원, 계약자및제 이 나타나야한다. (A.11.5.1 3실행지침 로그온시, 참조). 정보처리설비는조직에소유되고인가되지않은접근은허가되지않음을나타내는경고메시지가 사용자는계속해서로그온프로세스를하기위하여화면상의경고메시지에대응하여야한다 제2조(정의)1. 비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신또는수신하는정보통신체 제를말한다. 국내의정보통신망이용촉진및정보보호에관한법류의내용을요약하면다음과같다 제6장정보통신망의안정성확보등 "정보통신망"이란 전기통신기본법 제2조제2호에따른전기통신설비를이용하거나전기통신설 2방송통신위원회는제1항에따른보호조치의구체적내용을정한정보보호조치및안전진단의방법ㆍ절차ㆍ수 망의안정성및정보의신뢰성을확보하기위한보호조치를하여야한다. 수료에관한지침(이하"정보보호지침"이라한다)을정하여고시하고정보통신서비스제공자에게이를지키도록 제45조(정보통신망의안정성확보등)1정보통신서비스제공자는정보통신서비스의제공에사용되는정보통신 치ㆍ운영등기술적ㆍ물리적보호조치 권고할수있다. 3정보보호지침에는다음각호의사항이포함되어야한다. 3. 2. 1. 정보통신망의지속적인이용이가능한상태를확보하기위한기술적ㆍ물리적보호조치 정보의불법유출ㆍ변조ㆍ삭제등을방지하기위한기술적보호조치 정당한권한이없는자가정보통신망에접근ㆍ침입하는것을방지하거나대응하기위한정보보호시스템의설 통신망에침입하여서는아니된다. 2누구든지정당한사유없이정보통신시스템, 제48조(정보통신망침해행위등의금지)1누구든지정당한접근권한없이또는허용된접근권한을넘어정보 4. 정보통신망의안정및정보보호를위한인력ㆍ조직ㆍ경비의확보및관련계획수립등관리적보호조치 3누구든지정보통신망의안정적운영을방해할목적으로대량의신호또는데이터를보내거나부정한명령을 용을방해할수있는프로그램(이하"악성프로그램"이라한다)을전달또는유포하여서는아니된다. 처리하도록하는등의방법으로정보통신망에장애가발생하게하여서는아니된다. 데이터또는프로그램등을훼손ㆍ멸실ㆍ변경ㆍ위조하거나그운 제14절 준거성 106
암호통제의규제(Regulation 암호통제는관련모든협정, 1세부통제항목 of 1. cryptographic 법적요구사항과준거성(Compliance 2해설 법규, 규제를부합하게사용하여야한다. controls)[ ISO/IEC 27001 A.15.1.6] with legal requirements)[ ISO/IEC 27001 A.15.1] c) b) a) 다음의항목은관련모든협정, 암호의사용의제한; 암호기능이행을위한컴퓨터하드웨어및소프트웨어의수입및/또는수출의제한; 컴퓨터에추가되는암호기능을갖도록설계된컴퓨터하드웨어및소프트웨어의수입및/또는수출의제한; 법, 규제를준수하기위해고려되어져야한다.: d) 한강제적인또는임의의접근방법; 내용의기밀성을제공하기위해서하드웨어나소프트웨어에의해암호화된정보에대해국가의권한에의 다른국가로이동되기전에, 3실행지침 국법및규정을준수하고있음을보장하기위하여법적자문을구해야한다. 법적자문이또한취해져야한다 암호화된정보또는암호통제가 취지: [ 암호와기술및프로그램적용대상] 기술및프로그램이중요정보자산에적절히적용될수있도록한다 정보자산의가중치및저장형태, 사례 분류기준 시스템환경등에따라자산을분류함으로써다양한형태의암호화 물리적/네트워크환경 외부네트워크에서접속가능한정보자산 내부인트라넷을통해서만접근가능한정보자산 적용대상분류 정보자산이용 관리형태 정보자산의내 외부시스템으로송 수신관리등 저장된정보자산에대한접근관리 내부시스템내정보자산에대한저장관리 정보자산이용 관리형태 사내데이터베이스 개인용PC/노트북 정보자산의가중치 고객개인정보등제휴사와정보공유가가능한정보 영업정보등의사내1급기밀정보 이동식저장매체등 1) 암호화기술및프로그램의안전한관리와운영을위해서는다음과같은정책이필요하다 암호화기술및프로그램승인절차(이용및변경포함) 인가된일반사용자에공개가능한정보등 3) 2) 프로그램무결성케크등암호화기술및프로그램에대한주기적인감사실시 예외사항및오류발생시조치절차및내용 제14절 준거성 107
중소기업의기술보호를위한 통제항목 보안정책과표준준거성, 기술적준거성 세부보안통제실행지침서 통제목표 정보시스템의보안은정기적으로검토하여야한다. 시스템이조직적보안정책과표준의준거성을보장하기위함. (Compliance with security policies and standards, and technical 그러한검토는적절한보안정책과기술적 compliance) [ ISO/IEC 27001 A.15.2] 세부 플랫폼에준하여수행하여야하며, 준수하는것에대한감사가실시되어야한다. 정보시스템은적용되는보안구현표준과문서화된통제의 통제항목 보안정책및표준과의준거성 기술적준거성점검[ [ ISO/IEC 27001 A.15.2.1] 관리자는책임영역내의모든보안절차가보안정책과표준과의준거성 1)보안정책및표준과의준거성데이터수집요령 27001 A.15.2.2] ISO/IEC 정보시스템의보안이행표준과의준거성을정기적으로점검하여야한다. 을달성하기위해정확하게수행됨을보장하여야한다 통제항목 정보처리설비를관리하고사용하는활동의로그기록을활용한준거성데이터수집 설명 2)준거성데이터분석및조치요령 침입탐지시스템, 침투시험, 미준수시발생할수있는예상피해규모의산정및공유 불시의보안실사등을통한준거성데이터수집 침해사고발생, 보안감사결과등을토대로준거성데이터수집 미준수원인에따른근본적인대책강구 미준수직원, (때로는직원의실수, 대책을마련하는데초점을두어조치를강구하여야함 계약자, 태만보다는자동화된보안도구의미활용이원인이될수있음) 제3의사용자에대한비난보다는재발방지를위한 제14절 준거성 108
보안정책및표준과의준거성(Compliance 관리자는책임영역내의모든보안절차가보안정책과표준과의준거성을달성하기위해정확하게수행됨을보장 1세부통제항목 with security with security policies and 하여야한다 policies standards, standards)[ 2. technical 보안정책과표준준거성, ISO/IEC compliance)[ 27001 A.15.2.1] ISO/IEC 기술적준거성 27001 A.15.2] 으로검토하여야한다. 2해설 관리자는관리영역내에서정보처리에대한적절한보안정책, 만약검토결과부적합이발견되는경우관리자는다음사항수행하여야한다: 표준, 기타모든보안요구사항의준거성을정기적 a) b) c) d) 적당한시정조치의결정및이행; 부적합원인결정; 부적합재발방지를위한조치의필요성평가; 조)를수행하는인원에게그들의책임영역에대한검토를실시하는시점에그결과를보고하여야한다. 검토결과와관리자에의해수행된시정조치를기록하고유지하여야한다. 취해진시정조치의검토. 시스템사용에대한운영감시는A.10.10을참조한다 관리자는독립적인검토(A.6.1.8 참 책임을부여하는방식으로권장한다. 3실행지침 준거성을정기적으로검토하는방법은다음사항을고려한다. 관리책임자는부서의보안관리자를지명하여보안정책과표준에따른업무수행을촉진, 교육, 훈련, 감시하는 1) 2) 3) 4) 부서에서준수하여야하는보안정책과표준의목록과주요내용에대한인식고취 5) 준거성체크리스트작성및각개인별배부와설명 부적합에따른보안사고의발생가능성및영향에대한인식고취 7) 6) 준거성인식수준에대한정기/수시평가 준거성에대한정기/수시점검 개선점에대한시정조치대책수립및이행 인식도평가및점검결과분석, 개선점파악 제14절 준거성 109
기술적준거성점검(Technical 1세부통제항목(Compliance compliance with security 정보시스템의보안이행표준과의준거성을정기적으로점검하여야한다. 2해설 checking)[ policies ISO/IEC and standards, 27001 A.15.2.2] and 2. technical 보안정책과표준준거성, compliance)[ ISO/IEC 기술적준거성 27001 A.15.2] 한다. 지원으로) 기술적준거성점검은경험있는시스템엔지니어에의해수작업으로(필요하다면, 또는기술전문가의차후해석을위한기술보고서를생성하는자동화도구의보조에의해실행하여야 적절한소프트웨어도구의 의를기울여야한다. 기술적준거성점검은숙련된인가자나그사람의감독하에서이행하여야한다. 만약침투시험또는취약성평가를사용하는경우,경고는시스템보안을훼손할수있는행동과같이조사에주 위와같은시험을계획하고, 문서화하고반복하여한다. 수반한다. 준거성점검은(예, 기술적준거성점검은하드웨어와소프트웨어통제가정확하게구현됨을보장하기위해운영시스템의조사를 있다. 이는시스템의취약성을발견하고이들취약성으로인해비인가접근을예방하는통제의유효성을점검하 이러한준거성점검은전문기술자를필요로한다 침투시험, 취약성평가) 이러한목적으로특별히계약된독립적인전문가에의해수행될수 로시험된것에한정된다. 는데유용하다. 3실행지침 침투시험과취약성평가는특정시간에특성상태에대한스냅샵을제공한다. 침투시험과취약성평가는위험평가를대신할수는없는것이다. 그스냅샷은침투시도동안에실제 를실시하는시험과시스템의정보보호기능의취약점을찾아내기위하여시도하는시험을말한다. 침투시험이란정보시스템에취약성이존재하여실제로악용될수있는지를확인하기위해평가자가직접침투 이터에대한보안을유지할수있는통제가필요하다 침투시험은보안전문조직에게위탁하여실시하는것이일반적이지만시험과정에서기업의민감하고중요한데 제14절 준거성 110
중소기업의기술보호를위한 통제항목 정보시스템감사고려사항(Information systems audit considerations)[ ISO/IEC 세부보안통제실행지침서 통제목표 극대화하기위함 정보시스템감사프로세스로인한간섭을최소화하고정보시스템감사프로세스를효과성을 27001 A.15.3] 운영시스템의보호를위한통제와정보시스템감사과정의감사도구가있어야한다. 세부 또한감사도구의오용을예방하고보존하기위한보호가요구된다. 통제항목 정보보안감사도구보호 정보시스템감사통제 ISO/IEC 27001 A.15.3.1] 하여야한다. 로세스의중단위험을최소화하기위해주의깊게계획하고합의 운영시스템의점검을수반하는감사요구사항과활동은업무프 1)보안감사통제고려사항 [ ISO/IEC 감사는관리자의보안감독책임을대신하는모니터링활동의일환임을고려한다 27001 A.15.3.2] 정보시스템감사도구에대한접근은가능한모든오용과훼손을 예방하기위하여보호하여야한다. 통제항목 감사는공명정대하고객관적인증거에따라지적사항을파악하되, 개선기회를발견한경우 설명 2)보안자재및시스템보호 감사는현재조직이안고있는현안과보안취약성영역등을고려하여범위와일정을 감사결과는반드시경영층에보고하고지적사항은종결될때까지사후관리한다. 관련모든데이터를수집하여개선대책수립시반영할수있도록한다 보안시스템이보호되지않은경우조직에게잘못된경보와데이터를제공하여커다란손실을 탄력적인계획을수립한다. 보안시스템이보유하고있는보안데이터에대해서도보안시스템과동일한방식으로 보안시스템은지정한관리자이외의접근을제한하고지정한관리자의로그를유지한다 보안시스템은적절한백업을통해재난등에대해서도복구할수있어야한다 보호하여야한다 줄수있으므로엄격한보호가이루어져야한다. 제14절 준거성 111
정보시스템감사통제(Information 운영시스템의점검을수반하는감사요구사항과활동은업무프로세스의중단위험을최소화하기위해 1세부통제항목 systems audit controls)[ (Information 주의깊게계획하고합의하여야한다. ISO/IEC 27001 systems A.15.3.1] audit considerations)[ 3. 정보시스템감사고려사항 ISO/IEC 27001 A.15.3] a) 2해설 b) c) 다음과같은지침을준수하여야한다.: d) 점검은소프트웨어및데이터에대해읽기전용접근으로제한하여야한다.; 감사요구사항은적절한경영자와합의하여야한다.; 될때삭제하여야할것이며, 점검범위를합의하고통제하여야한다.; e) 절하게보호하여야한다. 점검를이행하기위한IT 읽기전용이외의접근은시스템파일의격리된사본에대해서만허락하여야하고, 자원은명백히파악하여야할것이고사용가능하여야한다.; 또한만약감사증거자료의요구사항아래에파일과같은유지의의무로적 이파일은감사가완료 f) g) h) 특별한또는추가된처리에대한요구사항은파악되고협정하여야한다.; i) 감사를수행하는인원은감사를실시하는활동에독립적이어야한다. 모든절차, 모든접근은참고추적기록을만들기위하여감시하고기록하여야한다; 타임스탬프된참조추적의사용은핵심데이터및시스템이고려하여야한다. 3실행지침요구사항및책임은문서화하여야한다.; 3) 2) 1) 보안감사의전형적인유형은다음과같다 특별보안감사: 수시감사:보안침해의징후가있어확인이필요한경우 정기감사: 연간보안감사계획에따라실시(년1회) 로구분하여실시할수있다. 보안감사는정보시스템의취약성을파악하는기술적보안감사와시설과인적보안에초점을둔비기술적감사 보안사고발생시또는경영자의요청 도록사전에면밀한검토가필요하다. 감사의범위는과거감사결과와보안사고발생결과를분석하여취약한보안통제영역, 기술적보안감사는운영시스템의정상적인작동에영향을주는사례가발생하지않 선택과집중 전략을활용하여정할수있다 감사자은피감사영역의활동과책임이무관한자로구성하여야한다. 특히외부전문가가참여하는경우에는 부서를초점으로하는 또는 의심사항 으로분류하여피감사부서자체적으로개선하도록권고한다. 보안통제가이행될수있도록보안서약을하여야한다. 보안감사의결과는명백한증거를토대로개선사항을파악하여야하며증거가불충분한경우에는 관찰사항 제14절 준거성 112
정보보안감사도구보호(Protection 정보시스템감사도구에대한접근은가능한모든오용과훼손을예방하기위하여보호하여야한다. 1세부통제항목 of information systems (Information audit tools)[ systems 2해설 ISO/IEC audit 27001 considerations)[ A.15.3.2] 3. 정보시스템감사고려사항 ISO/IEC 27001 A.15.3] 수준의추가적인보호가제공되지않는한, 감사에제3자조직이참여하는경우에는그들에의한감사도구와접근정보의오용위험이존재할수도있다. 시스템감사도구, 즉소프트웨어또는데이터파일은개발및운영시스템으로부터분리하여야하며, 테이프라이브러리또는사용자영역에남겨두지않아야한다. 적절한 이러한위험을다루기위해고려할수있다. A.6.2.1(위험평가)와A.9.1.2(물리적접근제한)과감사자에게노출된패스워드의즉각적인변경과같은통제를 험한도구중의하나이다. 3실행지침 사용을물리적, 정보시스템과데이터에적용하는기술적보안감사도구는침투, 또한감사증적에필요한데이터를일시에수집할수도있다. 훼손, 변조, 유출, 파괴등을시도하는매우위 또한감사자에게노출된계정은감사이후즉시변경하여감사자가악의적으로사용할수없도록하여야한다. 기술적으로제한하는통제를이행하여야한다. 따라서인가자이외의 내부/외부의모든감사자는이러한감사행위보안통제에대한서약에서명하여야한다. 제14절 준거성 113
제5장 물리적 보안통제 실행 지침 제15절 물리적 환경적 보안 1. 보안 지역 2. 장비 보안
중소기업의기술보호를위한 통제항목 보안지역(Secure areas)[ ISO/IEC 27001 A.9.1] 세부보안통제실행지침서 통제목표 중요하거나민감한정보처리설비는안전한지역에위치하여야하며, 조직의재산과정보에대한비인가물리적접근, 훼손, 방해하는것을예방하기위함. 제공되는보호는식별된위험에상응하여야한다 통제를실시하는보안구역으로보호되어야한다. 비인가접근, 훼손, 방해로부터물리적으로보 적절한보안장벽과출입 27001 물리적출입통제 물리적보안경계[ A.9.1.1] ISO/IEC 보안경계(카드로통제하는입구나안내데스크와같은방책들) 이정보와정보처리설비를포함하는지역을보호하기위해사용 통제항목 세부 사무실, 방, 설비의보안 A.9.1.2] A.9.1.3] 입통제를통해보호하여야한다. 보안지역은오직인가된사람들만접근이가능하도록적절한출 외부와환경적위협보호 ISO/IEC 27001 A.9.1.4] 사무실, 화재, 홍수, 방, 설비를위한물리적보안을설계하여적용하여야한 보안지역에서의업무 에대한물리적보호를설계하고적용하여야한다. 지진, 화산폭발, 시민소요, 기타자연적/인위적재해 지역 공개적접근, ISO/IEC 27001 인도및선적 A.9.1.5] 고적용하여야한다. 보안지역내에서의업무를위한물리적보호와지침을설계하 [ ISO/IEC 27001 A.9.1.6] 인도및선적지역과같은접근지역, 구내로들어오는지점을통제하여야하며, 접근을피하기위하여정보처리설비로부터격리하여야한다. 기타비인가된사람들이 가능한경우비인가 통제항목 2) 1) 식할수있도록방책또는라인으로정의한다. 보안구역은통제구역, 물리적출입통제는출입증, 제한지역, 출입카드, 비밀구역등으로구분한다. 출입관리대장, RFID 등을활용한다. 보안경계는출입자가명확히인 특히보안구역출 해설 3) 4) 입은2중의통제를실시한다(예. 건물출입과별도로중요사무실, 외부환경적위협에대해서는법적으로요구되는시설(예. 경비원동행, 창고등에대해서는잠금장치등을통해보안을유지한다. 비취인가자동행등) 5) 6) 확인한다. 보안지역에서업무수행절차와지침을별도로수립하여이행한다. 외부에공개된지역(예. 고객과협업하는프로젝트사무실)에서중요한자산의보호필요성 소화기, 비상통로)의확보여부를 적절한보안통제가적용되어야한다. 는그룹웨어, 이있는경우보안통제절차와지침을수립하고이행한다. 가상사설통신망(VPN), 회사의업무정보시스템에연결되는컴퓨터에대해서는 특히회사의자산에접근할수있 제15절 물리적, 환경적 보안 116
물리적보안경계(Physical 1세부통제항목 1. 보안지역(Secure areas)[ ISO/IEC 27001 A.9.1] 하기위해사용하여야한다. 보안경계(카드로통제하는입구나안내데스크와같은방책들)가정보와정보처리설비를포함하는지역을보호 security perimeter)iso/iec 27001 A..9.1.1] a) 2해설 b) 결과내의자산의보안요구사항에의존하여야한다.; 다음과같은지침을물리적보안경계로적절한경우고려되고구현하여야한다.: 보안경계를명확하게규정하여야하고, 정보처리설비를갖춘빌딩또는부지의경계는물리적으로견고하여야한다(예: 할것이며, 쉽게침입할수있는구역이없어야한다). 각경계의배치와각각의강점의경계는경계및위험요구사항의 자물쇠등; 모든외부의문은통제기구로비인가접근으로부터적절히보호하여야한다. 비어있는사무실의문/창문은잠겨야한고외부보안은창문지반의단계에부분적으로 부지의외부장벽은견고한구조로되어있어야할것 경계에는빈틈이없어야 c) 고려하여야한다.; 부지또는건물에대한물리적인접근을통제하는유인안내구역또는다른수단을적절히갖추어야한다. 예를들어, 차단봉, 경보, d) e) 부지또는건물에대한접근은인가된인원으로만제한하여야한다.; 연결안에경보, 실행하여야한다.; 보안경계에대한모든방화문은적절한지역, 가능하면, 물리적장벽은인가되지않은물리적접근및환경적오염방지를위해세워져야한다.; 누출및시험장치가되어있어야한다.; 국가및국제표준에따라서저항의단계가요구되어벽과의 이중안전장치조건안에지역화재코드에따라 g) f) 규정에따라설치하여야한다.; 적절한침입탐지시스템은국가, 소유자가없는지역은항시경고하여야한다.; 지역또는국제표준및모든외부문과접근할수있는창문에대해시험된 3실행지침 또한다른지역을위해제공하여야한다, 조직으로부터관리되는정보처리설비는제3자의관리로부터물리적으로분리하여야한다. 예를들면, 컴퓨터방또는통신방; 1) 회사정보통신시설의보호구역은정의와통제사례는다음과같다 제한구역: -제한구역을출입하는임직원과방문자는반드시출입증을패용한다. -제한구역에는비인가된접근이나손상을방지하기위하여별도의출입통제장치및감시시스템등을설 치하여운영한다. 통신장비실, 기지국, 관문국등 2) 통제구역: -통제구역은제한구역의통제항목을모두적용한다. -출입증을타인과공유해서는안된다. -통제구역출입자격자는최소인원으로하고통제구역관리책임자가승인한인원으로한정한다. -협력업체직원의제한구역내출입시내부직원이동행한다 -통제구역별출입자격자명단을관리하고명단에대한적합성을분기1회점검한다. 전산실, 데이터센터, 네트워크운영센터, 시스템운영및개발사무실 -통제구역비자격자에대한방문일자, 방문목적, 출입/퇴실시각등을기록하고1년이상보관한다. 제15절 물리적, 환경적 보안 117
물리적출입통제(Physical 보안지역은오직인가된사람들만접근이가능하도록적절한출입통제를통해보호하여야한다. 1세부통제항목 1. 보안지역(Secure areas)[ ISO/IEC 27001 A.9.1] 2해설 entry controls)[ ISO/IEC 27001 A.9.1.2] a) 아니라면감독하여야한다.; 보안요구사항과비상절차에대한지시를받아야한다.; 다음과같은지침을고려하여야한다. b) 방문자출입날짜및시간은기록하여야한다, 민감한정보가처리되고저장되는지역에대한접근은통제되고인가된사람으로제한하여야한다. 그들은특별히인가된목적을위해서만접근이허가하여야할것이며, 그리고모든방문자는그들의접근이사전에승인된것이 예를들어, 핀이입력된접근통제카드와같은인증통제가모든접근을인가하고확인하기위하여사용하여야 구역의 c) 한다. 요구하여야할것이며, 사람은보안인원에게신고하여야한다.; 모든종업원, 모든접근의감사추적은안전하게유지하여야한다.; d) 제3자지원서비스인원은요구되어질때만보안지역또는민감한정보처리설비에제한된접근을 계약자및제3의사용자및모든방문자는어떤형태의가시적인신분증명서를착용하도록 즉시만약만나는않은방문자와만나거나가시적인신분증명서를착용하지않은 e) 3실행지침 보안지역에대한접근권한은정기적으로검토, 제공하여야한다.; 이접근은인가되고감시하여야한다.; 갱신하고, 필요시취소하여야한다(A.8.3.3 참조). c)생체특성기반신원확인방식: a) b) 출입통제를위한신원확인방식은다음과같다 소지기반신원확인방식: 지식기반신원확인방식: 인가자는본인의신원확인을위해IC카드와같은도구를항상휴대해야하는방식 인가자가별도의도구를휴대하지않고패스워드처럼기억하여입력하는방식 a) 정보처리설비등중요보안구역의출입은다음과같이통제하여야한다 출입할수있는자격을정한정책, 인가자의생체특성(홍채, 정책에따라출입허가를받는절차, 정맥, 지문등)을이용하여신원을확인하는방식 c) b) 출입하기위한절차가문서화되어있어야한다. 출입허가자명단이문서화되어존재하여야하며이들의자격이정책에합당하여야한다. 직원및방문자는정책과절차에따라출입하여야한다 그리고허가인원과그외의방문자가 e) d) 있는지확인하여야한다. 출입허가자명단또는출입증배부명단을관리자가주기적으로검토하여현재의출입필요에따르고 출입기록은물리적보안관리자가정기적으로점검하여서명하여야한다. 제15절 물리적, 환경적 보안 118
사무실, 1세부통제항목 1. 보안지역(Secure areas)[ ISO/IEC 27001 A.9.1] 2해설 방, 설비를위한물리적보안을설계하여적용하여야한다. 설비의보안(Securing offices, rooms and Facilities)[ ISO/IEC 27001 A.9.1.3] a) b) c) 다음의지침은사무실, 적용되는경우,건물은건물내외에정보처리활동이발생하고있음을보여주는뚜렷한표시가없어야하며 관련된건강및안전규정및표준을설명하여야한다.; 핵심설비는일반인에의한접근을피하도록위치하여야한다. 방,설비의보안을위해고려하여야한다. d) 건물사용목적이최소한으로나타나야한다. 3실행지침 없어야한다. 민감한정보처리설비의소재를파악할수있는디렉토리와구내전화번호부는일반인이쉽게접근할수 a) b) c) 민감하고중요한자산을다루는전산실, 건물은내화건축물이어야하며적정하중에따라구축되어야한다. 물리적,환경적위험이적은곳에위치하고구조의안정성을확보하여야한다. 화재, 진동, 먼지, 유독가스, 염분, 홍수, 누수, 데이터센터, 침수등의위험을고려하여야한다. 시스템운영및개발사무실등은다음을고려하여야한다 a) d) 내부설비에대한고려사항은다음과같다 온습도조절기, 보안요구사항이만족하지못할경우관련된위험을평가하여경영층에게보고하여야한다. d) b) c) 누수감지기 화재감지및진압설비 CCTV등의침입감지및경보설비 에어컨 e) f) 소방법에따른자동화재탐지설비및경보장치, 전압유지기, UPS 등 h) g) 경보가연결되도록하여야한다. 일정한전압을유지하고단전시컴퓨터를안전하게셧다운할수있도록전원을공급할수있어야한다. 적절한간격으로누수감지기가설치되어있어야하며경보가연결되어야한다. 수/자동진압장치를설치하고당직실이나소방서로 i) 대피/진압통로를확보하고물리적방화벽등을확보하여야한다. 제15절 물리적, 환경적 보안 119
외부와환경적위협에대한보호(Protecting 화재, 1세부통제항목 against external and environmental 1. 보안지역(Secure 홍수, 지진, 화산폭발, 시민소요, 기타자연적/인위적재해에대한물리적보호를설계하고적용하여야한다. threats) [ ISO/IEC areas)[ 27001 ISO/IEC A.9.1.4] 27001 A.9.1] 문으로의누수, 2해설 다음의지침은화재, 이웃하고있는건물에서보고된모든보안위협을고려하여야한다. 지하층의침수, 홍수, 지진, 거리의폭발등. 폭발, 민간폭동, 기타자연적/인위적형태로부터충격을피하기위해고려하여 예를들면이웃건물의화재, 천장또는창 야한다: a) b) c) 필수품은보안지역에보관되지않아야한다. 위험하거나연소하기쉬운자료는보안지역으로부터안전한거리에서보관하여야한다. 문구류와같은대량의 3실행지침 화재진압장비를제공하고적절한위치에배치하여야한다. 대체시스템장비와백업매체는주사이트에서의재난을피할수있도록안전한거리에위치하여야한다. b) a) c) 민감하고중요한자산을다루는전산실, 건물은내화건축물이어야하며적정하중에따라구축되어야한다. 물리적,환경적위험이적은곳에위치하고구조의안정성을확보하여야한다. 화재, 진동, 먼지, 유독가스, 염분, 홍수, 누수, 데이터센터, 침수등의위험을고려하여야한다. 시스템운영및개발사무실등은다음을고려하여야한다 d) a) 내부설비에대한고려사항은다음과같다 온습도조절기, 보안요구사항이만족하지못할경우관련된위험을평가하여경영층에게보고하여야한다. d) b) c) 누수감지기 화재감지및진압설비 CCTV등의침입감지및경보설비 에어컨 e) f) 소방법에따른자동화재탐지설비및경보장치, 전압유지기, UPS 등 h) g) 경보가연결되도록하여야한다. 일정한전압을유지하고단전시컴퓨터를안전하게셧다운할수있도록전원을공급할수있어야한다. 적절한간격으로누수감지기가설치되어있어야하며경보가연결되어야한다. 수/자동진압장치를설치하고당직실이나소방서로 i) 대피/진압통로를확보하고물리적방화벽등을확보하여야한다. 제15절 물리적, 환경적 보안 120
보안지역에서의업무(Working 보안지역내에서의업무를위한물리적보호와지침을설계하고적용하여야한다.. 1세부통제항목 1. 보안지역(Secure areas)[ ISO/IEC 27001 A.9.1] 2해설 in secure areas)[ ISO/IEC 27001 A.9.1.5] b) c) a) 다음의지침을고려해야만한다.: d) 비어있는보안지역은물리적으로잠겨있어야할것이며, 인원은알아야할필요가있는보안지역의존재또는보안지역내의활동만을인식하여야한다.; 보안지역에서의감독되지않은작업은안전상이유와악의적행동의기회를막기위하여피해야한다.; 사진, 한다. 비디오, 오디오또는다른기록장비, 카메라와같은이동식장비는인가받지않는한사용되지않아야 정기적으로점검하여야한다.; 업원, 3실행지침 보안지역내의작업을위한협정은보안지역에서일어나는다른제3자활동뿐아니라그곳에서작업하는종 계약자및제3자사용자에대한통제도포함된다. a) b) c) 상기해설에추가적인지침은다음과같다 d) 보안지역내에서지켜야하는규칙을잘보이는곳이비치하여야한다; 보안지역에서인가된작업을수행하는외부인을식별할수있도록보안지역방문증을착용하여야한다; 보안지역내의업무는기록을남기도록하여야한다. 외부인의보안지역은출입은출입기간내내직원의동행을요구하여야한다; 제15절 물리적, 환경적 보안 121
공개적접근, 인도및선적지역과같은접근지역, 1세부통제항목 1. 보안지역(Secure areas)[ ISO/IEC 27001 A.9.1] 한경우비인가접근을피하기위하여정보처리설비로부터격리하여야한다. 인도및선적지역(Public 기타비인가된사람들이구내로들어오는포인트는통제하여야하며, access, delivery and loading areas)[ ISO/IEC 27001 A.9.1.6.] 2해설 가능 a) b) 다음의지침은고려하여야한다.: c) 설계하여야한다. 인도및선적구역의외부문(들)은내부문이열릴때안전하여야한다. 건물의외부로부터인도및선적구역에접근은신원이확인되고인가된인원으로제한하여야한다.; d) 인도및선적구역은배달인원이건물의다른부분에접근하지않고제공하는물건을내려놓을수있도록 f) e) 조사하여야한다(A.7.2.1 유입된자재는인도및선적구역에서사용지점까지이동되기전에잠재적인위협(A.9.2.1d d 참조). 참조)을위하여 3실행지침 유입되고출고된선적은가능하면물리적으로분리하여야한다. 유입된자재는자산관리절차(A.7.1.1 또한참조)에따라서사이트에들어올때등록하여야한다. 유출될수있는지역중의하나이다. 외부의접근이가능한인도및선적지역은설비를손쉽게싣고나를수있는장소이므로회사의중요설비가 가이행되어야한다. 들어오는자산에대해서도도난가능성이존재한다. 따라서그러한위험에상응하는보안통제가이행되어야한다. 형태를가질수있다. 예를들어인도자산은출입구에서관리하고입고자산은내부창고또는정문에서관리하는 인도자산과입고자산을동시에비교체크할수있는통제 시스템, 중요자산의도난또는유실위험이상당한경우에는 겹겹의보안 원칙을적용하거나RFID를활용한차량인식 CCTV 등을활용할필요가있다. 제15절 물리적, 환경적 보안 122
통제항목 장비보안(Equipment Security)[ ISO/IEC 27001 A.9.2] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 장비의보호는(외부사용과자산제거포함) 장비는물리적그리고환경적위협으로부터보호되어야한다. 자산의분실, 훼손, 도난또는손상과조직활동의방해를예방하기위함. 특별한통제가요구될수있다. 과기반구조의케이블링과같이지원설비를보존하는등, 으로부터보호하기위해필요하다. 이는장비의위치선정과처분을고려하여야한다. 정보에대한비인가접근위험을줄이고분실/손상 장비장소와보호 물리적위협으로부터보호하기위해 전기공급 A.9.2.1.] 장비는환경적위협과장해, 비인가접근기회로부터위험을줄이 지원유틸리티 A.9.2.2] 중단으로부터보호하여야한다 도록배치하고보호하여야한다. 장비는전원공급고장이나기타유틸리티지원의고장으로인한 통제항목 세부 케이블링보안 장비유지보수 A.9.2.3] 케이블링은방해또는피해로부터보호하여야한다. 데이터를보내거나정보서비스를지원하는전력또는전기통신 건물외부의장비보안 A.9.2.4] 장비는지속적으로가용성과무결성을보장하기위해정확하게 ISO/IEC 27001 A.9.2.5] 유지하여야한다. 장비의안전한처분 보안을적용하여야한다 조직의건물외부의작업에따른위험을고려하여외부장비에대한 또는재사용 저장매체를가진모든장비는모든민감한데이터와지적재산권이 자산의반출 A.9.2.6.] 있는소프트웨어가제거되었는지, 워졌는지확인하여야한다. 혹은처분하기전에안전하게지 [ ISO/IEC 27001 A.9.2.7] 안된다. 장비, 정보또는소프트웨어는사전허가없이건물밖으로나가선 통제항목 해설 2) 1) 조직의자산의보호에영향을미치는주요장비는다음과같다 3) 장비의반출입은지정된운송및적하지역에서규정된절차에따라실시한다. 모든장비는제조업체에서제시한명세에따라유지보수한다. -통신케이블, -비상전력공급장치(UPS), 전력공급선망, 항온항습기, 전화통신선로 자동소화장치, 소화기, 소방장비, CCTV 제15절 물리적, 환경적 보안 123
중소기업의기술보호를위한 1세부통제항목 세부보안통제실행지침서 장비장소와보호(Equipment siting and Protection)[ ISO/IEC 2. 장비보안(Equipment 2해설 장비는환경적위협과장해물, 비인가접근기회로부터위험을줄이도록배치하고보호하여야한다. 27001 A.9.2.1] Security)[ ISO/IEC 27001 A.9.2] a) b) 위험을감소하도록배치하고, 다음과같은지침을장비보호에고려하여야한다. c) 특별한보안을요구하는장비는일반적으로요구되는보호수준을줄이기위하여격리하여야한다. 장비는작업구역으로의불필요한접근을최소화하도록배치하여야한다.; d) 민감한정보를다루는정보처리설비가정보를사용하는동안인가되지않은사람으로부터보여지는것의 다음을포함한잠재적인물리적위협, 제한하여야할것이고, 예를들면도난, 저장설비는비인가접근을피하기위해보호하여야한다. e) 전기공급방해, 정보처리설비근처에서먹는것, 통신방해, 전자기방사및야만적행위의위험을최소화하기위한통제가채택하여야한다.; 마시는것과흡연하는것을위한지침을확립하여야한다.; 화재, 폭발, 연기, 물(또는단수), 먼지, 진동, 화학적영향, ; h) i) f) g) 모든건물에는낙뢰보호가적용하여야할것이며, 정보처리설비의운영에악영향을줄수있는온도및습기와같은환경적조건을감시하여야한다.; 피뢰필터가모든외부통신라인에공급하여야한다.; 3실행지침 민감한정보처리장비는소산으로인한정보유출위험을최소화하기위하여보호하여야한다.; 산업환경의장비에대하여키보드덮개와같은특별한보안방법의사용이고려하여야한다.; a)입주환경 전산실의입지여건의적합성고려사항은다음과같다 -대상지역주변에위험물이나가스배관이매설된곳은피한다. -대상지역이자연재해의발생빈도가높은곳은피한다. -대상지역에진동이발생되는산업이나교통지역은피한다. -대상건물이저지대거나과거침수경험이없는곳으로한다. b)건물 -대상건물주변의지반이침하된흔적이있는지역은피한다. -건물은시설및전산장비의하중에도견딜수있도록설계가되어야한다 -모든유리는강화유리를사용해야한다. -지진과같은자연재해에견딜수있는내진설계가되어있어야한다. -가능하면전산실과설비실의천정에는급수배관이지나가지않아야한다. (일반적인전산센터의권고하중은m2당750kg이다). -대형화물차가들어올수있는장비반줄입구가확보되어야한다. -대형장비의층간이동이가능한대형엘리베이터가있어야한다. -전원, -충분한층고가확보되어야한다(일반적인전산센터권고층고는4.5m이상). -전산실과일반사무실이소방구획이구분되어있어야한다. 통신, 배관용으로사용할비트가있어야한다. 제15절 물리적, 환경적 보안 124
1세부통제항목 중소기업의기술보호를위한 세부보안통제실행지침서 2해설 지원유틸리티(Supporting 장비는전원공급고장이나기타유틸리티지원의고장으로인한중단으로부터보호하여야한다. utilities)[ ISO/IEC 27001 A.9.2.2] 2. 장비보안(Equipment Security)[ ISO/IEC 27001 A.9.2] 공급을제공하여야한다. 적으로면밀하게하게살펴져야되고적절히검사하여야한다. 전기, 물공급, 지원유틸리티는그들의적절한기능및고장또는차단으로부터모든위험을줄이고지키기위해정기 하수오물, 열/환기및공기조건과같은모든지원유틸리티는지원하는시스템을위해충분하여 순서대로종료하거나연속적으로가동하기위해무정전전원공급장치(UPS)는중대한업무운영을보조하는 장비제조자의명세에부합되도록적절한전기 장비로서추천된다. 중전원자원또는사이트가크다면, 에처리가요구되어계속하여야한다면, 있음을보장하기위하여적절한연료공급이가능하여야한다. 장하기위하여정기적으로점검하여야할것이고제조자의권고에따라검사하여야한다. 전원비상계획은UPS가차단될경우취해야할조치를포함하여야한다. 전원변압소가분리되어주어질것이다. 예비발전기가고려하여야한다. 장비및발전기는적절한용량을갖는지를보 이발전기가연장된기간동안작동될수 게다가, 정전이연장될경우 비상전원차단스위치는비상시에빨리전원을내리기쉽게하기위하여장비실의비상구근처에위치하여야 고려사항은다 템의고장은효과적으로활동으로부터장치또는화재진압차단에충격일것이다.유틸리티에서지원하는고장 한다. 물공급은공기조건, 비상등은주전원차단시에제공하여야한다. 감지경고시스템은만일요구된다면, 가습장치및화재진압시스템(사용된)의적용에안정되고충분하여야한다. 평가되고설치하여야한다. 물공급시스 공자유틸리티에연결하여야한다. 3실행지침 원거리전기통신장비는음성서비스에연결경로제거고장을예방하려적어도두개다른종류의경로로제 음성서비스는위급한통신을위해서충분한지역법적요구사항에타협하여 전기 시설 보안통제를필요로하는일반적인지원유틸리티는다음과같다. 분야 분전반 UPS대상 상용전원에서발생가능한전원장애에대비하여양질의안정된교류전력을 메인배전반으로부터공급된전기를각각부하로분기하는역할을담당하는배전반의일종 공급하는장치 내용(접근통제유틸리티는제외함) 축전지 발전기 접지 상용전기가정상적으로공급되는동안축전지에충전하고상용전기의정전발생시충전 된전기를전산장비에무중단으로공급하기위한장치 공조 디젤엔진또는터빈엔진등을이용하는비상시전원을공급하기위한설비 시설 항온 항습기 지구와의전위차위를줄이고전류( 으로써각종전산장비및통신장비를접지저항으로부터보호하기위한것 전산기계실내에설치된전산기기의정상적인작동을위해일정하게온도와 습도를유지시켜주는설비 電 流 )가잘흐르도록길을만들어줌 소방 시설 이중마루 화재 감지기 전산기계실구축시반드시필요한시설이며, 데이터케이블은이중마루아래에놓여지게됨 화재시발생되는열이나연기를이용하여화재를조기에감지하는장치로서화재가발생하 면자동적으로화재를감지하여화재경보를알리도록해주는화재감시용소방기기 전산기기에소요되는전원케이블및각종 소화설비 화재발생시손실을최소화하기위한화재진압용설비 제15절 물리적, 환경적 보안 125
중소기업의기술보호를위한 1세부통제항목 세부보안통제실행지침서 야한다. 케이블링보안(Cabling 데이터를보내거나정보서비스를지원하는전력또는전기통신케이블링은방해또는피해로부터보호하여 security)[ ISO/IEC 27001 A.9.2.3] 2. 장비보안(Equipment Security)[ ISO/IEC 27001 A.9.2] a)정보처리설비에연결된전원및통신라인은가능한경우지하에위치하도록하거나이를대체할수있는적절 2해설 b) 네트워크케이블은인가되지않은방해나피해로부터보호하여야한다. 케이블링보안을위해다음과같은지침을고려하여야한다. c) 간섭을방지하기위하여전원케이블은통신케이블로부터격리하여야한다.; 개구역을통한경로를피함; 한보안이필요하다.; d) 명확히확인할수있도록케이블과장비를표시하는것은잘못된네트워크케이블을패치하는것과같은취급 예를들면, 한전선관을사용하거나공 f) e) 민감하거나중대한시스템의경우, 문서화된패치목록은에러가능성을줄이기위해사용된다 실수를줄일수있음 1) 2) 3) 검사및분기점에피복전선및시건장치가된방이나상자의설치; 대체라우팅또는적절한보안이적용된전송매체사용; 광섬유케이블의사용; 고려할추가적인통제에는다음이포함된다. 4) 케이블보호에전자방패사용; 3실행지침 5) 6) 케이블에부착된인가되지않은장치기술적제거및물리적정밀검사의시작; 패널및케이블룸의패치에대한접근을통제; a) b) 전기공사시케이블관련고려사항은다음과같다 c) 배선의길이는적정해야하며, 공사시A/F(Access 통신케이블과전원케이블은상호간섭이발생하지않도록적정한이격거리를유지해야한다. 구분하여배선하여야한다. Floor)하단의배선은반드시CABLE 배선후여분의전선은A/F하단에보관방치해서는안된다. DUCT를이용해야하며, 전기와통신케이블을 e) d) f) 모든공사및배선시타장비등에영향이미치지않도록각별히유의해야한다. 배선시A/F하단등에설치된화재감지시설및누수감지시설등을손상시키지않도록배선해야한다. i) h) g) 전기공사완료후전원가압은시설관리자가설치상태를확인후해야한다. 배선시적정간격마다CABLE A/F는공사후원상태위치로복구해야한다. A/F하단에는전원케이블, 통신케이블이외에어떠한장비, TIE로견고하게고정해야한다. 기구, 물건등을설치, 비치해서는안된다. k) l) m) j) 각기계의접지선은접지함에서연결해야한다. 전산장비전원공급전에장비공급사의엔지니어가전원결선상태를점검하고스위치를ON 전산기기의접지저항은10Ω이하이며중성선과분리해서사용해야한다. 접지선의굵기는접지종별에따라적합한굵기로시공해야한다. 하도록해야한다. p) q) o) n) 전산실내에서사용하는콘센터는반드시접지형을사용해야한다. 전원및통신케이블의말단과적당한간격마다전산장비에정보를알수있는태그를부착해야한다. 콘센터는케이블과차단기의용량을초과하지않도록장비를접속해야한다. 콘센터에서다른콘센터로분기하여사용해서는안된다. 제15절 물리적, 환경적 보안 126
중소기업의기술보호를위한 1세부통제항목 2. 장비보안(Equipment Security)[ 세부보안통제실행지침서 ISO/IEC 27001 A.9.2] 2해설 장비유지보수(Equipment 장비는지속적으로가용성과무결성을보장하기위해정확하게유지하여야한다. maintenance)[ ISO/IEC 27001 A.9.2.4] a) b) c) 장비의유지보수를위하여다음과같은지침을고려하여야한다. d) 모든의심또는실제결점과모든예방및시정유지보수에대한기록을유지하여야한다. 장비는공급자가추천한서비스간격과명세에따라유지보수하여야한다. 조직의외부에서실행된것인지, 인가된유지보수인원만이수리하고장비를서비스하여야한다. e) 장비의유지보수계획수립시적절한통제를이행하여야한다. 필요한경우, 민감한정보는장비로부터제거하거나유지보수자로부터 유지보수가현장에서개인이수행하거나 3실행지침 제거하여야한다.; 보험정책에의해부과된모든요구사항이준수하여야한다.. 1) 3) 부대설비의관리절차에는다음과같은내용을포함하여야한다 4) 2) 년간점검계획수립(정비부서) 점검결과통보(점검내용) 일상정검실시-전산실근무자/2시간주기 정기점검(정비부서) -성능측면점검 -장치중요도에따라정검주기설정 6) 7) 8) 5) 정비책임부서의정의 정비작업실시후결과통보(정비부서) 정비작업완료접수및내용확인-전산실근무자 이상유무판단-게이지, 소리, 냄새, 진동등오감을통한점검 10)점검일지결재-전산실관리책임자 11)정비이력관리-향후투자계획검토에사용 9) 12)년간점검계획수립에반영-고장이력등년간점검계획수립에필요한근거자료제시 부대설비점검일지작성-정비내용,정비시간,고장시간,조치내용등 제15절 물리적, 환경적 보안 127
중소기업의기술보호를위한 1세부통제항목 세부보안통제실행지침서 건물외부의장비보안(Security of equipment off-premises)[ 2. 조직의건물외부의작업에따른위험을고려하여외부장비에대한보안을적용하여야한다.. ISO/IEC 장비보안(Equipment 2해설 27001 A..9.2.5] Security)[ ISO/IEC 27001 A.9.2] a) 소유권에관계없이, 외부장비의보호를위해다음과같은지침을고려하여야한다: 사업장외부로나가는장비와매체는공개장소에방치해서는안된다. 조직의구내외부의모든정보처리장비사용은관리책임자에의해인가하여야한다. b) 운반하고가능한경우위장하여야한다.; 장비보안을위해제조자가제시한지침을토대로항시관찰하여야한다. 강한전자기장에대한유출로부터의보호; 여행시휴대용컴퓨터는손으로직접 c) d) 예) 원격근무통제는위험평가에따라결정하고, 적절한보험이건물외부장비를보호하기위하여포함하여야한다. 잠금파일링캐비닛, (ISO/IEC 18028 네트워크보안또한참조); 책상치우기정책, 컴퓨터에대한접근통제, 적합한통제를적절하게적용하여야한다 사무실과의보안통신 고려하여야한다. 보안위험(예,피해, 도난또는도청)은장소에따라상당히다양할수있으며, 가장적절한통제를결정하는데 1) 3실행지침 개인용컴퓨터, 정보저장및처리장치는다음을포함한다. 2) 서류철, 3) 이동폰, 4) 스마트카드, 5) 종이또는기타형식.. a) 건물외부의장비에상존하는다음과같은위협과취약성을고려하여보안통제를선정하여야한다 1) 2) 물리적피해 화재, 자연사건 화산, 홍수, 수해, 강풍, 오염, 호우, 파괴, 폭설, 먼지, 뇌우, 부식, 번개, 동결 b) 취약성 3) 4) 방사에의한방해 전자기방사, 정보의손상 도청, 도난 열방사, 전자기펄스이상건조, 장기저온, 황사, 스모그 1) 2) 4) 3) 습도, 비보호저장소 불충분한보안훈련 폐기주의소홀 먼지, 오염, 전자기파방사, 전압변동, 온도변동민감성 6) 5) 7) 8) 건물/사무실에대한부적절/부주의한물리적접근통제 인력부족 불안정한전력그리드 홍수에민감한지역 제15절 물리적, 환경적 보안 128
중소기업의기술보호를위한 1세부통제항목 세부보안통제실행지침서 장비의안전한처분또는재사용(Secure disposal or re-use of 2. Equipment)[ 장비보안(Equipment 저장매체를가진모든장비는모든민감한데이터와지적재산권이있는소프트웨어가제거되었는지, 처분하기전에안전하게지워졌는지확인하여야한다. ISO/IEC 27001 Security)[ A..9.2.6] ISO/IEC 27001 A.9.2] 2해설 혹은 정보를검색할수없도록하는기술을사용하여파괴, 민감한데이터를포함하는장치가피해를입은경우그항목이수리또는폐기를위해보내기보다는물리적으 민감한정보를담고있는장치를파괴하거나, 정보를표준삭제또는포맷기능을사용하기보다는기본적으로 로파괴하는것을결정하는위험평가요구될수있다. 삭제또는덮어쓰기를하여야한다. 정보는부주의한폐기또는장비의재사용을통해손상될수있다. 3실행지침 1) 2) 3) 저장장치를가지고있는장비는다음을고려하여야한다. 4) 업무용휴대전화 업무용카메라 업무용캠코더 PC, 노트북, 서버 킬수없는메모리불능장치를활용하는것도고려하여야한다. 민감하고중요한데이터는포맷으로지워지지않는다. 그러한저장장치를가지고있는장비의폐기시에는돌이 제15절 물리적, 환경적 보안 129
자산의반출(Removal 장비, 1세부통제항목 2해설 정보또는소프트웨어는사전허가없이건물밖으로나가선안된다. of property) [ ISO/IEC 27001 A..9.2.7] 2. 장비보안(Equipment Security)[ ISO/IEC 27001 A.9.2] b) a) c) 다음과같은지침을고려하여야한다.: d) 장비, 자산의외부반출을허가하는권한을갖고있는직원, 정보또는소프트웨어는인가없이외부로유출되지않아야한다.; 계약자및제3의사용자를명확히식별하여야한다.; 3실행지침 장비반출시간제한을설정하고준수여부를점검하고피드백하여야한다 필요하고적절한경우, 장비외부반출에따라기록하고반입시기록하여야한다.; a) 상기해설에추가하여자산반출의통제는다음을고려하여야한다.: d) b) c) 반출자산의관리에대한책임자를지정한다 반출자산의승인은자산관리에책임을갖는부서장에게부여한다 e) 기밀로간주되는정보가포함된자산은자격을가진인가자에게만반출을허용한다 반출자산의사용목적과사용장소, 반출자산의상태를반출이전에정의하고반입시비교할수있도록한다 사용기간등을반출서류에명기하도록하여야한다 제15절 물리적, 환경적 보안 130
제6장 기술적 보안통제 실행 지침 제16절 통신 및 운영 관리 1. 운영 절차와 책임 2. 제3자 서비스 인도 관리 3. 시스템 계획 및 인수 4. 악성 및 이동 코드로부터 보호 5. 백업 6. 네트워크 보안 관리 7. 매체 취급 8. 정보의 교환 9. 전자상거래 서비스 10. 감시 제17절 접근 통제 1. 접근통제 사업요구사항 2. 사용자 접근 관리 3. 사용자 책임 4. 네트워크 접근통제 5. 운영시스템 접근통제 6. 어플리케이션과 정보 접근통제 7. 이동 컴퓨팅 및 원격근무 제18절 정보시스템 획득, 개발 및 유지보수 1. 정보시스템 보안 요구사항 2. 어플리케이션의 정확한 처리 3. 암호 통제 4. 시스템파일의 보안 5. 개발 및 지원프로세스에서의 보안 6. 기술적 취약성 관리
중소기업의기술보호를위한 통제항목 운영절차와책임(Operational procedures and responsibilities)[ ISO/IEC 27001 세부보안통제실행지침서 A.10.1] 통제목표 차를수립하는것을포함한다. 정보처리설비의정확하고안전한운영을보장하기위함 한다., 적절한경우, 모든정보처리설비의관리와운영을위한책임과절차가수립되어야한다. 부주의하거나고의적인시스템오용위험을줄이기위한직무분리를이행하여야 이는적절한운영절 문서화된운영절차[ ISO/IEC 통제항목 세부 27001 변경관리 A.10.1.1] A..10.1.2] 게사용가능하도록하여야한다. 운영절차를문서화하여유지하고필요로하는모든사용자에 직무분리 정보처리설비와시스템의변경을통제하여야한다. [ 개발, ISO/IEC 시험, 27001 운영설비의분리 A..10.1.3] A.10.1.4] 직무와책임의한계를비인가또는고의가아닌수정또는 개발, 변경의위험을줄이기위하여분리하여야한다. 조직자산의오용기회를줄이기위하여분리하여야한다 시험, 운영설비는운영시스템에대한비인가접근이나 통제항목 1) 법을절차서또는지침으로정립하고이행한다. 중요정보처리설비(하드웨어, 네트워크, 소프트웨어, 주변기기)에대해서는운영절차와방 해설 2) 3) 운영자의특별권한으로소프트웨어의위조, 여변경부작용발생을최소화한다. 산을보호하는방법이다. 중요정보처리설비의변경은 구성(형상)관리(Configuration 직무분리는중요정보처리설비를다루는직무에대해기획, 예를들어소프트웨어개발자와하드웨어운영자의직무를분리하여 변조를예방하는것등이다. Management) 운영, 감독직무를분리하여자 기법을적용하 있는경우운영시스템자산의보호에어려움이따른다. 분리하여야한다 4) 정보처리설비에는중요자산이탑재되어있어운영시스템이개발/시험시스템과같은환경에 따라서최소한개발/시험과운영환경을 제16절 통신 및 운영 관리 132
문서화된운영절차(Documented 운영절차를문서화하여유지하고필요로하는모든사용자에게사용가능하도록하여야한다. 1세부통제항목 1. 운영절차와책임(Operational 2해설 operating Procedures)[ ISO/IEC procedures 27001 A.10.1.1] and responsibilities) [ ISO/IEC 27001 A.10.1] 리및통신설비와연관된시스템활동들에대한문서화된절차를준비하여야한다. 운영절차는다음각직무의세부수행지침을명시하여야한다: 컴퓨터시작및종료절차, 백업, 장비유지보수, 매체취급, 컴퓨터룸과및메일취급관리, 안전과같은정보처 d) a) b) c) 스케듈링요구사항, 정보의처리및취급; 처리하기위한지침(A.11.5.4 시스템유틸리티사용에대한제한을포함한작업실행중에발생할수있는오류또는다른예외적인조건을 백업(A.10.5 참조); e) 예기치않은운영적/기술적으로어려운이벤트에대한지원연락처; 타시스템과의상호의존성, 참조); 가장빠른작업시작과가장늦은작업완료시점을포함; g) f) h) 실패한작업의출력물에대한안전한처분절차를포함한특별한고정출력장치 또는기밀출력물의관리등과같은(A.10.7.2 감사추적관리및시스템로그정보(A.10.10 시스템고장사건에사용하는시스템재시작및복구절차; 참조). 및A.10.7.3 참조) 특별한출력과매체취급지침; 하여야한다. 운영절차서와시스템활동을위한문서화된절차는공식적인문서로취급하고변경은관리책임자의승인을득 3실행지침기술적으로타당한경우, 정보시스템은동일한절차서, 도구와유틸리티사용하여일관되게관리하 지침으로정립하고이행한다. 정보시스템의사용자를위한절차와운영자를위한절차를구분하여정의한다. 중요정보처리설비(하드웨어, 네트워크, 소프트웨어, 주변기기)에대해서는운영절차와방법을절차서또는 템과의상호작용을초점으로조작절차와방법, 운영절차는하드웨어, 네트워크, 소프트웨어, 주변기기등의정보시스템컴포넌트의운영경험과노하우를지 오류또는예외조건의발생시대응방안을중심으로정립한다. 사용절차는사용자와정보시스 의퇴사또는타부서전출을대비하여년1회정도의운영지침서갱신기간을설정하여실천하는것을권장한다. 속적으로집대성하는형태로지적자산화를병행하여야한다. 또한각조직에서다수발생하는유사한고장유형, 고객/사용자문의등에대해서는각각대응시나리오를개발 특히다년간의운영노하우를갖고있는엔지니어 하여운영자간에공유할수있도록하고, 하는것이필요하다. 재발가능한고장에대해서는장애모의훈련등을통해대응능력을향상 제16절 통신 및 운영 관리 133
변경관리(Change 1세부통제항목 1. 운영절차와책임(Operational procedures and responsibilities)[ ISO/IEC 27001 A10.1] 정보처리설비와시스템의변경을통제하여야한다. 2해설 management)[ ISO/IEC 27001 A.10.1.2] 특히, a) b) 운영시스템과응용소프트웨어는엄격한변경관리통제를적용하여야한다. c) 변경에따른보안영향을포함한잠재적인영향평가; 중요한변경의식별및기록; 변경의계획및시험; 다음의항목을고려하여야한다: d) e) f) 비성공적인변경및의외의사건발생시취소하고복구하는절차와책임을포함한원복절차 관련모든인원에대한변경상세정보의소통; 제안된변경에대한공식적인승인절차; 서운영단계로전환시어플리케이션의신뢰성에영향을미칠수있다(A.12.5.1 차를적용하여야한다. 의변경에대한부적절한통제는시스템또는보안사고의공통적인요인이다. 장비, 소프트웨어또는절차에대한모든변경의만족스러운통제를보장하기위하여공식적인관리책임과절 변경시, 관련모든정보를포함하는감사로그를유지하여야한다.정보처리설비와시스템 운영환경에서의변경, 참조) 특히개발에 지원, 할수있어업무적으로이득이있는것만은아니다. 루어져야한다. 운영시스템에대한변경은시스템에대한위험을증가시키기때문에사업적유효성이확인된경우에한해이 운영체제또는어플리케이션의최근버전을갱신한시스템은현행버전보다더취약하고불안정 3실행지침 유지보수및관리공수, 특별한이관을위한신규하드웨어등을필요로한다. 최신버전으로갱신한시스템은추가적인훈련, 라이센스비용, 시하여야한다. 을발생하는경우가많은데이는연관된모든소프트웨어항목이완전하게변경되지않는요인에서비롯된다. 정보처리설비와시스템의변경은ISO/IEC 특히소프트웨어는하드웨어와네트워크와는달리변경한이후에변경이전보다더많은부작용 20000-1의변경관리와구성관리프로세스에따라엄격한통제를실 경되어야하는데일부프로그램이변경대상에제외되는경우에는운영과정에서고장을일으키는요인이되는 것이다. 를들어특정데이터베이스의항목의속성을변경하는경우그항목을참조하고있는모든프로그램의코드가변예 고있다. 1) 2) 변경관리와구성관리프로세스는미국방부의표준에서부터발전하여상용화된도구를사용하는수준까지이르 3) 공식적인변경요청 불필요한변경을피할수있음 변경에대한타당성평가및변경영향분석 변경물량을산정하여정확한변경기간과자원을예측 변경기록 각컴포넌트에대한변경이전/이후를파악할수있어오류발생시대처기간을줄일수있음 변경관리의핵심활동은다음과같다 로시험할수있음 5) 4) 변경감사 변경절차의준수및시험의완전성등을파악하여개선할수있게함 변경시험 회귀시험이라고도하며변경된컴포넌트와연관컴포넌트와의인터페이스를효과적이고능률적으 제16절 통신 및 운영 관리 134
직무분리(Segregation 1세부통제항목 한다. 직무와책임의한계를비인가또는고의가아닌수정또는조직의자산의오용기회를줄이기위하여분리하여야 of duties)[ ISO/IEC 27001 A.10.1.3] (Operational procedures and responsibilities) [ 1. ISO/IEC 운영절차와책임 27001 A10.1] 인증또는누출없는자산의사용에접근할수있다는것에주의하여야한다. 2해설 분리하여야한다. 작은조직은이러한직무분리가달성하기어렵다고발견할수있으나, 직무분리는우발적또는고의적인시스템오용의위험을줄이기위한방법이다. 충돌의가능성은통제의설계에서고려하여야한다. 가능한한그리고실용적인한원칙은 사건의개시는이에대한인가와는 어떠한한사람도수정또는 적용하여야한다. 3실행지침 보안감사가독립적으로유지되는것은중요하다. 분리의어려운경우마다, 활동모니터링, 심사행적및관리감독과같은다른통제가고려하여 필수적이다. 직무분리와함께책임의한계를각직무별로명확히정의하는것은정보처리설비의안전한운영을위해 할수있는개연성이있다. 직무를분리하여야한다. 있는강력한권한을사용하여급여계산프로그램을고의적으로변경하여자신의급여를많이받을수있도록 예를들어시스템소프트웨어를관리하는시스템프로그래머(SP)와어플리케이션프로그래머(AP)는 만약SP가급여계산응응프로그램의기능을파악하고있는경우에는자신이가지고 리하여야한다. (COBITv3.0 정보시스템사용, 다음과같은국제표준과국내지침을참고할필요가있다. 안관리직무의분장을유지하여야한다. PO 또한관리자는구성원들이각자의직무와직책에주어진업무만수행하도록하여야한다. 4.10) 데이터입력, 경영진은특정인이중요한프로세스를파괴할가능성을배제하기위해역할과책임을분 컴퓨터운영, 네트워크관리, 시스템관리, 시스템개발및유지보수, 변경관리, 특히 [금융감독원검사업무편람] 부록1. 중추체크리스트시스템, VI. 정보기술(IT)부문검사업무, III. 시스템및프보 -Documentation의관리자또는통제담당자별도지정 로그래밍 -시스템프로그램업무와응용프로그램업무의분리 -DBMS -시스템프로그램업무와컴퓨터운영업무의분리 -DATA -시스템보안관리업무와시스템프로그램업무의분리 보안관리기능의독립 관리자와시스템프로그래머, 응용프로그래머, 컴퓨터운영자업무의분리 제16절 통신 및 운영 관리 135
1세부통제항목 운영설비의분리(Separation of development, (Operational test and procedures operational and 개발, 2해설 시험, 운영설비는운영시스템에대한비인가접근이나변경의위험을줄이기위하여분리하여야한다. facilities)[ responsibilities) ISO/IEC 27001 [ 1. ISO/IEC 운영절차와책임 A.10.1.4] 27001 A10.1] b) 한다. a) 운영문제점의방지를위해필요한운영, 개발에서운영상태로의소프트웨어의이관을위한규칙을정의, 개발및운영소프트웨어는서로다른시스템또는컴퓨터프로세서, 다음의항목을고려하여야한다.: 시험, 개발환경의분리수준을식별하고적절한통제를이행하여야 c) 컴파일러, 작동하여야한다.; 편집기, 기타개발도구또는시스템유틸리티는필요치않은경우운영시스템으로부터접근할수 문서화 없어야한다.; 다른도메인이나디렉토리에서 f) e) d) 민감한데이터는시험시스템환경에복사되지않아야한다.(A.12.4.2 신원식별메시지를표시하여야한다.; 사용자는운영과시험시스템에서상이한사용자프로필을사용하고메뉴는에러의위험을줄이는적당한 시험시스템환경은운영시스템환경과가능하면유사하게구축하여야한다.; 템고장. 개발과시험활동은심각한문제점을야기할수있다. 이러한경우의미있는시험수행과부적절한개발자접근을방지하기위하여알려진안정적인환경을 예) 원치않은파일또는시스템환경의변경, 참조); 또는시스 이터변경등이발생할수있다. 유지하는것이필요하다. 개발과시험인원이운영시스템과그정보에접근하는경우그들은인가되지않고시험되지않은코드, 일부시스템에서이러한능력들이심각한운영적문제점을야기할수있는사기 운영데 할경우소프트웨어또는정보의의도되지않은변경을야기할수있다. 를위한악용, 개발자와시험자는또는운영정보의기밀성위협에유출된다. 시험되지않거나악성코드를유입하게한다. (A.12.4.2 운영소프트웨어와업무데이터에대한우연적인변경또는비인가접근위험을감소하기위해필요하다. 개발과시험활동은동일한컴퓨팅환경을사용 개발, 시험, 운영설비의분리는그러므로 3실행지침 시험데이터의보호참조) 브러리로관리하며, 정라이브러리로관리하고시험환경은개발된소프트웨어의소스코드와실행코드를갖는통제상태의동적라이 일반적으로운영환경은컴퓨터가인식할수있는실행코드와실행코드에대응하는소스코드를가지고있는고 (Check-in)하는데는적절한통제를필요로한다. 운영과정에서소프트웨어의변경이필요한경우에운영환경의소스코드를시험환경또는개발환경으로불출 개발환경은개발과정에있는소프트웨어의소스코드를갖는미통제라이브러리로운영한다. 되며모든통제절차는변경관리절차에통합하여정립하는것이바람직하다. 이러한운영방식은하드웨어와소프트웨어에도동일하게적용 제16절 통신 및 운영 관리 136
중소기업의기술보호를위한 통제항목 제3자서비스인도관리(Third party service delivery management)[ ISO/IEC 세부보안통제실행지침서 통제목표 제3자서비스인도협정에부합한적절한정보보안수준과서비스인도를이행하고 유지하기위함 27001 A.10.2] 모든요구사항을충족하는가를보장하기위해협정의변경을관리하여야한다. 조직은협정의이행, 이행결과의협정과부합성을점검하고, 인도된서비스가제3자와합의한 통제항목 세부 서비스인도 제3자서비스감시및검토 ISO/IEC 27001 A.10.2.1] 야한다 제3자서비스인도협정에포함된보안통제, 도수준을제3자조직에의해구현, 운영, 유지됨을보장하여 서비스정의및인 [ 제3자서비스변경관리 ISO/IEC 27001 A.10.2.2] A.10.2.3] 시, 제3자에의해제공된서비스, 기존의정보보안정책, 비스제공변경은수반되는업무시스템과프로세스의중요도, 검토하고감사가정기적으로수행되어야한다. 절차, 통제의유지와개선을포함한서 보고서, 기록들을정기적으로감 통제항목 위험의재평가등을고려하여관리하여야한다. 해설 3) 1) 2) 지에대한검토가충분히이루어져야한다. 제3자서비스제공시계약서에보안관리, 제3자서비스변경은원칙적으로정보처리설비의변경관리절차와동일하게적용한다. 매월또는분기별로제공되는서비스보고서에대하여협의된내용이적절히반영되어있는 서비스정의에대한사항을명시한다 특히서비스변경이전에별도의위험평가가필요한자산의변경또는추가가있는가를고려한 제16절 통신 및 운영 관리 137
서비스인도(Service 1세부통제항목 2. 제3자서비스인도관리(Third party service delivery management)[ ISO/IEC 27001 A.10.2] 보장하여야한다 제3자서비스인도협정에포함된보안통제, Delivery)[ ISO/IEC 27001 서비스정의및인도수준을제3자조직에의해구현, A.10.2.1] 2해설 운영, 유지됨을 싱협정의경우, 리고보안은이관기간동안유지되어야한다. 제3자조직에의한서비스인도는합의한보안협정, 조직은필요한이관(정보, 정보처리설비와필요에따라움직이는모든것)를계획하여야한다, 서비스정의, 서비스관리관점을포함하여야한다. 아웃소 그 위해실무작업계획이고안되어상호충분한서비스능력을유지하는것을보장하여야한다(A.14.1 3실행지침 조직은제3자가중요한서비스고장또는재해들로부터합의한서비스연속성수준에따라유지됨을보장하기 참조). 이러한SLA를도입하기위해필요한준비사항은다음과같다. 1)서비스의개념, 제3자조직에의한서비스인도는서비스수준협정(SLA)에따라관리하는것이모범적인관행중의하나이다. 입력/출력, 범위, 제공시간, 장애/오류발생시대응절차 5)서비스성과에대한자동화된측정과분석, 4)서비스성과에기초한성과보고및피드백 2)서비스성과를측정할수있는성과지표개발, 3)서비스인도수준의미달에따른페널티와초과에따른보상 보고서출력을위한지원도구 성과지표를토대로하는서비스인도수준의정의 여SLA를본격적으로시행할수있다. 상기준비사항을토대로1~2년의Pre-SLA를실시한후개선점을파악하고합리적인서비스인도수준을결정하 제16절 통신 및 운영 관리 138
제3자서비스감시및검토(Monitoring 1세부통제항목 2. 제3자서비스인도관리(Third party service delivery management)[ ISO/IEC 27001 A.10.2] 제3자에의해제공된서비스, 보고서, 기록들을정기적으로감시, and review of third party services)[ 검토하고감사가정기적으로수행되어야한다. ISO/IEC 27001 A.10.2.2] 안사고와문제를적절히관리하여야한다. 2해설 포함하여야한다. a) 제3자서비스의감시와검토는정보보안협정의약정과조건을준수하고있다는것을보장하여야하고정보보 b) 협정준수를점검하기위한서비스성과수준을감시.; 제3자가생성한서비스보고를검토하고, 이는조직과제3자간의서비스관리관계와다음사항을위한과정을 d) e) c) 협정의요구에따라정보보안사고관련정보, 파악된모든문제들을해결하고관리한다. 제3자의감사추적과보안사건의기록, 운영문제점, 협정에서요구하는정기적인진척도회의를배정.; 제3자조직의사고정보, 고장, 서비스인도와관련된결점과방해의추적을검토.; 이를지원하는지침과절차를제공.; 문기술과자원이협정의요구사항(A.6.2.3참조), 여야한다. 협정의요구사항에대한준거성과이행여부를점검하기위한책임을배정하는것을보장하여야한다. 제3자와의관계를관리할책임이개인또는서비스관리팀에게배정하여야한다. 서비스인도에결점이발견되었을때, 적절한조치를취하여야한다. 특히정보보안요구사항을충족시키는지를감시하기위해가용하 추가적으로조직은제3자가 충분한전 한다. 한충분하고종합적인통제와가시성을유지하여야한다. 통해변경관리, 조직은민감하거나중요한정보, 취약점식별, 정보보안사고보고/대응과같은보안활동에가시성을유지하고있음을보장하여야 제3자에의해접근, 처리, 조직은명확하게정의된보고프로세스, 관리하는정보처리시설에대한모든보안측면에대 형식과구조를 필요가있다 3실행지침 아웃소싱의경우조직은아웃소싱조직에의해처리된정보에대한최종적인책임이여전히남아있음을인식할 하는것을권고한다. 부여하고그결과를검토하는형태를취하고, 제3자서비스의감시와검토는아웃소싱의규모가큰경우에는아웃소싱조직에게감시와검토에대한책임을 A.10.2.1의실행지침에서언급한바와같이SLA를도입하여감시와검토를수행하는것을또한권고한다. 아웃소싱규모가작은경우에는조직에서직접감시와검토를수행 제점또는사고가발생한경우에는즉각적이고유효한조치가취해질수있는지원및감독체계를유지하는것이 무엇보다중요하다. 아웃소싱이라할지라도최종적인책임은여전히회사에있다는점을간과해서는안되며서비스인도과정에서문 대표적인예방활동은트랜잭션, 가능성을추정/예측하여예방조치를취하는것이다. 또한문제발생후조치보다는문제예방을위한활동성과에초점을두어감시와검토를수행하여야한다. 용량, 속도, 자원활용도등에대한모니터링을실시하고문제의소지가될수있는 가장 제16절 통신 및 운영 관리 139
제3자서비스변경관리(Managing 1세부통제항목 2. 제3자서비스인도관리(Third party service delivery management)[ ISO/IEC 27001 A.10.2] 기존의정보보안정책, 프로세스의중요도, 위험의재평가등을고려하여관리하여야한다. 절차, 통제의유지와개선을포함한서비스의제공의변경은수반되는업무시스템과 changes to third party services)[ ISO/IEC 27001 A.10.2.3] a) 2해설 제3자서비스에관한변경을관리하는프로세스는다음사항을고려할필요가있다. 개선을위해조직이변경을실시; 2) 3) 4) 1) 조직의정책과절차의수정또는갱신; 정보보안사고를해결하고보안을개선하기위한새로운통제; 제공된현재의서비스의개선; b) 개선을위해제3자조직서비스를변경; 새로운어플리케이션과시스템의개발; 3) 2) 4) 1) 네트워크의변경과향상; 5) 서비스설비의물리적위치변경; 새로운제품또는더새로운버전/릴리즈의적용; 새로운기술의사용; 새로운개발도구와환경; 3실행지침 6) 벤더의변경; 는신규서비스또는서비스변경프로세스를제시하고있다. 템의변경보다더포괄적이고종합적인계획을필요로한다. 서비스의변경은정보처리설비와시스템의변경을수반하는경우가대부분이다. ISO/IEC 20000-1에서는이러한경우에적용할수있 그러나서비스변경정보시스 b) a) 서비스변경을위해필요한계획에포함되는항목은다음과같다 c) 역할과책임 관련당사자들과의의사소통 고객및공급자가수행하는활동을포함한신규서비스또는변경된서비스를구현, 기존서비스관리프레임워크및서비스에대한변경사항 운영, 유지하기위한 e) f) d) 인적자원과인재채용요구사항 비즈니스요구의변경에따른신규또는변경된계약및합의 h) i) g) 신규/변경된서비스와관련된프로세스, 기술및교육훈련요구사항, 예를들면사용자, 측정지표, 기술지원 j) 서비스인수기준 측정가능한항목들로표현된신규서비스운영을통해기대되는성과 예산및기간 방법, 도구, 예를들면용량관리, 재무관리 제16절 통신 및 운영 관리 140
통제항목 시스템계획및인수(System planning and acceptance)[ ISO/IEC 27001 A.10.3] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 요구되는시스템의성능을인도하기위해적절한용량과자원의가용성을보장하기위해요구 시스템고장의위험을최소화하기위함 되는진보적인계획수립과준비가요구된다. 미래용량요구사항의예측은시스템과부하위험을줄이기위해실시하여야한다. 세부 신규시스템의운영요구사항을수립, 문서와인수와사용이전에시험하여야한다. 통제항목 용량관리 시스템인수 A.10.3.1] 시스템성능을보장하기위한미래요구사항을고려하여야한다 자원의사용을감시, 튜닝, 예측하여야한다. 예측은요구되는 [ ISO/IEC 27001 A.10.3.2] 신규정보시스템, 하여야하며, 에수행하여야한다. 시스템에대한적절한시험이개발과정과인수이전 업그레이드, 신규버전에대한인수기준을수립 통제항목 해설 2) 위한시스템의현행용량과미래용량을결정또는예측하고사후조치를취한다. 1) 이다. 정보시스템의개발또는유지보수종료이후운영시스템으로이관시에는보안취약성에대 정보처리설비의용량은정보의처리량, 예를들어주문건수가사업확대에따라계속적인증가추세에있는경우주문을수용하기 이러한요소들은사업확대, 사업과정에서의관련부서또는고객의요구에따라결정된 처리속도, 과부하시점의임계치등이결정적요소 약성점검, 영시스템에미치는부정적인보안영향을최소화하기위함이다. 한엄격한검토가이루어져야한다. 인수시험, 인수감사등을통해보안통제를실시한다 개발또는유지보수시스템이운영시스템으로이관시운 대개보안전문조직에의한취 제16절 통신 및 운영 관리 141
용량관리(Capacity 1세부통제항목 3. 시스템계획및인수(System planning and acceptance)[ ISO/IEC 27001 A.10.3] 하여야한다 자원의사용을감시, management)[ 튜닝, 예측하여야한다. ISO/IEC 27001 예측은요구되는시스템성능을보장하기위한미래요구사항을고려 A.10.3.1] 용성과및효율성을개선하는것을보장하여야한다. 2해설 이를고려하여야한다. 신규와기존의활동에대한용량요구사항을식별하여야한다. 미래용량요구사항의예측은신규사업과시스템요구사항, 탐지통제가제때에문제점을암시할수있도록실행되어야 시스템튜닝과감시는필요한경우, 조직의정보처리능력에대한현재와종합된추 시스템의가 사용추이를파악하여야한다. 시스템자원의활용도를감시하여야한다. 장기구매기간또는고비용의모든자원이필요한경우에는특별한주의가필요하다. 그들은특히업무어플리케이션또는관리정보시스템도구와관련된 그러므로관리자는핵심 악하고피하기위해용량정보를사용하여야한다. 관리책임자는시스템보안또는서비스위협에직면할수있는잠재적인병목현상과핵심인원의의존성을파 확보하기위해용량관리를실시하여야한다 3실행지침 용량관리는용량계획을생성하고유지해야한다. 서비스제공자가항상고객비즈니스요구로인한현재및미래의합의된수요를충족하기위해충분한용량을 a) 용량관리는비즈니스요구사항을다루고다음사항을포함하여야한다. d) c) b) 현재용량과예측한용량및성능요구사항 e) 기대되는서비스업그레이드, 예측분석을가능하게하는데이터와프로세스 외부변화에대한영향예측, 서비스업그레이드를위해식별된기간, 예를들면법률 변경요청, 한계치및비용 신기술및기법의용량에대한영향평가 법들이식별되어야한다. 서비스용량을모니터하고서비스성능을조정하며적절한용량을제공하도록방법, 절차그리고기 제16절 통신 및 운영 관리 142
시스템인수(System 1세부통제항목 3. 시스템계획및인수(System planning and acceptance)[ ISO/IEC 27001 A10.3] 신규정보시스템, 과정과인수이전에수행하여야한다. 업그레이드, Acceptance)[ 신규버전에대한인수기준을수립하여야하며, ISO/IEC 27001 A.10.3.2] 2해설 시스템에대한적절한시험이개발 신규정보시스템, 다음의항목을공식인수이전에제공되는가를고려하여야한다. 관리자는신규시스템의인수요구사항및기준을명확히정의, 업그레이드및새로운버전은공식적인인수후에운영환경으로이관되어야한다. 합의, 문서화, 시험하는것을보장하여야한다. a) b) c) d) 정의된표준에따른정규적인운영절차의준비및시험; 성능과컴퓨터용량요구사항; e) 효과적인수작업절차; 에러복구및재시작절차, 합의한보안통제의이행; 그리고비상계획; f) g) h) 사업연속성계획(A.14.1 신규시스템의설치로인해특히월말과같이처리시간이최고점에달하는피크시간에현행시스템에 악영향을끼치지않을것이라는증거; 참조); i) 신규시스템운영또는사용훈련. 신규시스템이조직의전반적인보안에미치는영향에대해고려하였다는증거; 로세스의모든단계에서협의하여야한다. j) 사용편의성, 중요신규개발에대해, 이는사용자성과와인간적인실수를피하는데영향을준다. 운영부서와사용자는제안된시스템설계의운영적인효율성을보장하기위해개발프 모든인수기준이완전히만족되었다는것을확인하기위하여적절한 있다 시험을실행하여야한다. 3실행지침 인수는보안요구사항이적절히다루어지고있음을검증하기위한공식적인인증과인정프로세스를포함할수 와기준을정의하고나머지는변경통제절차에인수절차를추가하는것을권장한다. 상기해설에서누락된다음과같은시스템인수기준을고려할필요가있다. 시스템인수를실시하는범위는일정규모이상또는중요한시스템개발또는업그레이드에한정하고인수절차 b)정보시스템이안고있는위협과취약성 c)예상되는정보시스템고장시나리오및대응절차와방법 a)운영이후핵심컴포넌트의변경또는업그레이드시유의사항 제16절 통신 및 운영 관리 143
중소기업의기술보호를위한 통제항목 [ 악성및이동코드로부터의보호(Protection ISO/IEC 27001 A.10.4] against malicious and mobile code) 세부보안통제실행지침서 통제목표 소프트웨어와정보의무결성을보호하기위함 우, 성코드의유입에취약하다. 소프트웨어와정보처리설비는컴퓨터바이러스, 악성코드유입과비인가이동코드의예방과탐지를위해주의가요구된다. 악성코드의예방+탐지+제거통제와이동코드통제를도입하여야한다 사용자는악성코드의위험을인식하여야한다. 네트워크웜, 트로이목마, 논리폭탄과같은악 관리자는적절한경 통제항목 세부 악성코드에대한통제 이동코드에대한통제 A.10.4.1] 절차가이행되어야함 악성코드에대한탐지, 차단, 복구통제와사용자의적절한인식 [ ISO/IEC 27001 A.10.4.2] 정의된보안정책에따라서운영되고비인가된이동코드는실행을 방지하는구성(Configuration)을보장하여야한다. 이동코드의사용이인가된곳에서는, 인가된이동코드가명확하게 통제항목 노트북에바이러스백신, 1) 침입차단/방지시스템을도입하여내부네트워크로유입되는악성코드를방지하며PC나 스파이웨어제거프로그램, 스팸메일방지등을설치운영하여악성코 해설 시스템등을통해보호할수있다. 2) 여1) 보안패치를정기적으로적용하여최신의악성코드로부터보호한다. 드로부터시스템파괴나정보유출을보호한다. 이동코드는자바애플릿(applet Sandbox model, 2) code Signing, 적법한이동코드라할지라도악성코드의유입을차단/탐지 )이나스크립트와같이원격지에서실행가능한코드를말하 3) 서명과Sandbox V3 백신, 마이크로소프트보안패치, 결함, 4) 방화벽5) 침입차단/방지 알약등의 하는것이필요하다. 3) 찰청, 야한다 악성코드와이동코드의보호는전문기관과의협업이필수불가결하다. 안철수연구소등의전문기관의경보와필요한백신, 대처행동요령등에주의를기울여 국가정보원, 사이버경 제16절 통신 및 운영 관리 144
악성코드에대한통제(Controls 악성코드에대한탐지, 1세부통제항목 against malicious code)[ (Protection 차단, 복구통제와사용자의적절한인식절차가이행되어야함 ISO/IEC against 2해설 27001 malicious A.10.4.1] and mobile 4. 악성및이동코드로부터의보호 code)[ ISO/IEC 27001 A.10.4] 여야한다. a) b) 비인가소프트웨어사용을금지하는공식적인정책공표(A.15.1.2 파일및소프트웨어를외부네트워크로부터얻거나이를경유하거나또는다른매체에서얻는것과관련된 악성코드보호는악성코드감지와치료소프트웨어, 다음과같은지침을고려하여야한다: 보안인식, 적절한시스템접근, 참조); 변경관리통제에근거하 d) c) 파일또는인가되지않은수정이존재하는지에대하여공식적으로조사하여야한다; 위험으로부터보호하기위하여어떠한보호방법이취해져야하는가를나타내는공식적인정책공표; 및정기적갱신; 중대한업무프로세스를지원하는소프트웨어및시스템의데이터내용의정기적인검토이행. 예방통제로서또는일상적으로컴퓨터와매체를자세히조사하는악성코드탐지및복구소프트웨어의설치 점검은다음을포함하여이행하여야한다.: 승인되지않은 2) 1) 메일서버, 파일그리고신뢰할수없는네트워크를통해수령된파일을검사함; 사용전에악성코드탐색을위하여전자메일첨부및다운로드를검사함. 사용전에악성코드탐색을위하여불확실하거나인가되지않은출처를가진전자또는광매체상의 있다; 데스크탑컴퓨터또는조직의네트워크에접속할때와같이상이한장소에서이행될수 이검사는예를들어, 전자 f) e) 정의(A.13.1 시스템상의악성코드방지, 3) 악성코드를위한웹페이지점검; 및A.13.2 참조); 사용에대한교육훈련, 악성코드공격의보고와복구를다루는관리절차및책임 g) 모든필요한데이터및소프트웨어백업및복구준비를포함하여악성코드공격으로부터의복구를위한 i)악성코드와관련된모든정보를검증하는절차의구현하는것과경고게시판이정확하고유익하다는것을보장 적절한사업연속성계획준비(A.14 절차의실행; 메일목록그리고/또는새로운악성코드에관한정보를주는웹사이트점검과같은정규적인정보수집의 참조); 3실행지침 관리자는예를들어, 자격있는소스가날조바이러스와실제악성코드를구별하기위하여활용된다는것을보장하여야한다. 모든사용자는날조악성코드문제와이문제의발생즉시해야하는일을인식하도록하여야한다. 평판있는저널, 믿을만한인터넷사이트또는악성코드예방소프트웨어공급자와같은 이효과적일수있다. 악성코드보호소프트웨어는자동으로설치하고갱신할수있어야한다. 상이한벤더로부터정보처리환경전반의악성코드를보호하기위한소프트웨어제품을2개이상사용하는것 위해모든데스크탑에설치될수있다. 악성코드를보호를위한정상적인통제를건너뛰는유지보수와비상절차동안악성코드의유입에대한보호 추가로이소프트웨어는자동점검을 를위해주의를기울여야한다. 제16절 통신 및 운영 관리 145
이동코드에대한통제(Controls 1세부통제항목 against mobile code)[ (Protection 이동코드는실행을방지하는구성(Configuration)을보장하여야한다. 이동코드의사용이인가된곳에서는, 인가된이동코드가명확하게정의된보안정책에따라서운영되고비인가된 ISO/IEC against 27001 A.10.4.2] malicious and mobile 4. 악성및이동코드로부터의보호 code)[ ISO/IEC 27001 A10.4] a) 비인가행동을실행하는이동코드를보호하기위해다음을고려하여야한다. 2해설 b) c) d) 이동코드의획득차단; 논리적으로고립된환경에서이동코드사용; e) 이동코드접근을할수있는자원을통제; 이동코드의모든사용차단; f) 고유한이동코드인가에대한패스워드통제; 이동코드를관리되고있음을보장하는특정시스템에서가용한기술적인대안제시; 는소프트웨어코드이다. 이동코드는사용자와상호작용을하지않고특정기능을자동으로수행하며, 추가적으로이동코드가악성코드를포함하고있지않음을보장하는것은비인가사용또는시스템, 이동코드는미들웨어서비스의개수와연관이있다. 컴퓨터에서다른컴퓨터로전이되 어플리케이션자원의방해, 3실행지침 기타정보보안위반등을피하기위해필수적이다. 네트워크, 수있다. 쉽세수행가능하다. 이동코드는자바애플릿이자스크립트와같이원격지에서실행가능한코드로서현재웹브라우저를통하여 즉, 자바애플릿과같이운영체제나하드웨어에관계없이어떤플랫폼에도동일코드가수행될 이러한프로그램은누구나작성할수있고브라우저를수행할수있는어떤컴퓨터에서도 고있지만보안관점에서보면이러한공통의스크립트를수행할수있는인터프리터는매우위험하다. 러한인터프리터가브라우저의한부분이기때문에위험은더욱증가한다. 인터넷에서어떤컴퓨터에서도공통적인스크립트를수행할수있다는편리함, 기능성에서많은장점을가지 이동코드인터프리터에서어떤버그가존재할경우이것을이용한악의적인사용자가프로그램을특정컴퓨 또한이 에서이러한공격을막을보호대책이없고심지어유닉스에서도사용자권한을가지고이동코드가수행되기때 터에서수행시켜접근권한을쉽게얻거나시스템을파괴할수있다. 문에사용자의파일을조작하거나정보가유출될수있다 일반사용자들이윈도우와같은운영체제 a) 이와같은이동코드의위험으로부터시스템을보호하기위해다음과같은기법들을사용한다 d) c) b) Sandbox Firewall Code Signing Model와Code Signing의결합 제16절 통신 및 운영 관리 146
중소기업의기술보호를위한 통제항목 백업(Back-up)[ ISO/IEC 27001 A.10.5] 세부보안통제실행지침서 통제목표 정보와정보처리설비의무결성과가용성을유지하기위함 통제항목 세부 [ 정보백업 백업사본의획득과적시원복을위한연습을위해합의된백업정책과전략(A.14.1 수립하고이행하여야한다. ISO/IEC 27001 A.10.5.1] 정기적으로확보하고시험하여야한다. 정보와소프트웨어의백업사본을합의한백업정책에따라 참조)을 통제항목 1) 백업은디지털데이터, 중요문서파일시스템문서, 시스템파일뿐만아니라소프트웨어를포 해설 함하여야한다. 2) 3) 4) 두어소산한다. 문서화된백업지침은백업대상, 백업대상시스템이많은경우, 백업된매체는정보의중요성을고려하여안전한내화금고나전산실로부터일정거리를 자동화된백업솔루션도입을고려한다. 주기, 매체, 방법, 도구, 절차등을포함하여수립한다 5) 하는가를파악하고필요시백업절차/지침/도구를개선한다 백업과백업정보의복구는시간, 속도등에대해정기적인테스트를실시하여목표에도달 제16절 통신 및 운영 관리 147
중소기업의기술보호를위한 1세부통제항목 5. 백업(Back-up)[ 세부보안통제실행지침서 ISO/IEC 27001 A.10.5] 정보백업(Information 정보와소프트웨어의백업사본을합의한백업정책에따라정기적으로확보하고시험하여야한다. back-up)[ ISO/IEC 27001 A.10.5.1] 한백업설비를제공하여야한다. 2해설 정보백업을위해다음항목을고려하여야한다.: 모든필수적인정보와소프트웨어가재난또는매체고장에따라복구될수있다는것을보장하기위하여적절 b) c) a) 항, 범위(예를들면, 필요한백업정보의수준은식별하여야한다.; d) 백업사본에대해정확하고완전한기록과문서화된원복절차를정의하여야한다.; e) 백업정보에는주사이트에서적용되는규격에일치된적절한수준의물리적및환경적보호(9 백업은주사이트에서발생한재난의피해를피하기에충분한거리에있는원격지에보관하여야한다. 조직의지속적인운영을위한정보의중요도를반영하여야한다; 전체또는부분백업)와백업의빈도는조직의업무요구사항, 수반되는정보보안요구사 g) f) 백업매체는필요시비상용으로사용됨을보장하기위하여정기적으로시험하여야한다. 용되어야한다. 복구절차는그것이효과적인복구를위해운영절차에서할당된시간내에완료될수있다는것을보장하 주사이트에서매체에적용되는통제는백업사이트를포함하도록확장하여야한다. 참조)가적 기위하여정기적으로점검되고시험하여야한다. 시험하여야한다(A.14 h) 개별시스템에대한백업계획은사업연속성계획의요구사항을만족한다는것을보장하기위하여정기적으로 기밀성이중요한상황의백업은암호화수단으로보호하여야한다. 완벽한시스템복구에필요한데이터를보호하여야한다. 참조). 핵심시스템을위한백업계획은모든정보, 어플리케이션, 및재해의사건으로부터 이전에정기적으로충분한시험을실시하여야한다 (A.15.1.3 필수적인업무정보에대한보유기간및영원히보유하여야할복사본에대한요구사항또한결정하여야한다 3실행지침 참조). 백업계획은백업과복구를용이하게하기위해자동화될수있다. 이러한자동화솔루션은구현 1)백업은디지털데이터, 백업지침의정립시상기해설의추가하여고려하여야하는사항은다음과같다 4)백업된매체는정보의중요성을고려하여안전한내화금고나전산실로부터일정거리를두어화재, 3)백업대상시스템이많은경우, 2)문서화된백업지침은백업대상, 중요문서파일시스템문서, 자동화된백업솔루션도입을고려한다. 주기, 매체, 방법, 시스템파일뿐만아니라소프트웨어를포함하여야한다. 도구, 절차등을포함하여수립한다. 5) 태풍등의재해에대비하여소산한다. 파악하고필요시백업절차/지침/도구를개선한다 백업과백업정보의복구는시간, 속도등에대해정기적인테스트를실시하여목표에도달하는가를홍수, 제16절 통신 및 운영 관리 148
중소기업의기술보호를위한 통제항목 통제목표 네트워크의정보와지원인프라를보호하기위함. 네트워크보안관리(Network security management)[ ISO/IEC 27001 A.10.6] 세부보안통제실행지침서 통제항목 세부 네트워크통제 [ ISO/IEC 27001..10..6..1] 네트워크를사용하는시스템과어플리케이션에대한전달정보를 [ 네트워크서비스의보안 ISO/IEC 27001 A..10..6..2].내부또는위탁서비스라할지라도모든네트워크서비스의보안특성, 서비스수준, 포함하여보안을유지하고, 적절히관리하고통제하여야한다 관리요구사항을식별하고모든네트워크서비스협정에 위협으로부터보호하기위해네트워크를 통제항목 포함하여야한다 해설 3) 1) 접근을통제하며운영에필요한서비스는침입차단시스템에적용하여사용한다. 2) 내부네트워크를보호하기위하여침입차단시스템및침입방지시스템을설치운영하여 한다. 로그를정기적으로분석하여필요서비스나외부로부터의불법접근을모니터링및보고 침입차단시스템에대한담당자를지정하여적절하게관리및통제한다. 제16절 통신 및 운영 관리 149
중소기업의기술보호를위한 1세부통제항목 6. 네트워크보안관리(Network security management)[ 세부보안통제실행지침서 ISO/IEC 27001 A.10.6] 보호하기위해네트워크를적절히관리하고통제하여야한다 네트워크통제(Network 전달정보를포함하여네트워크를사용하는시스템과어플리케이션에대한보안을유지하고, controls)[ ISO/IEC 27001 A.10.6.1] 2해설 위협으로부터 b) 하여통제를이행하여야한다. a) 네트워크관리자는네트워크내에서정보보안과인가되지않은접근에대한접속서비스의보호를보장하기위 c) 공중망또는무선네트워크를통해전해지는데이터의기밀성과무결성을보호하고연결된시스템및어플리케 네트워크운영책임은적절한경우, 사용자구역에있는장비를포함하여원격지장비관리에대한책임과절차를수립하여야한다. 특히, 다음의항목이고려하여야한다. 이션을보호하기위하여특별한통제를수립하여야한다(A.11.4 컴퓨터운영으로부터분리하여야한다(A.10.1.3 및A.12.3 참조); 또한, 참조). d) e) 된컴퓨터의가용성을유지하기위하여특별한통제가요구될수있다. 관리활동은조직에대한서비스를최적화하고통제가정보처리인프라전반에걸쳐일관성있게적용되도록 적절한로깅과감시는보안관련행동의기록이가능하도록적용하여야한다. 네트워크서비스및연결 추가적인네트워크보안정보는ISO/IEC 보장하기위하여면밀하게조정하여야한다. 3실행지침 18028 참조. -회사의통신망을이용하여유해정보를유포하거나비인가사이트에대한불법침입, -회사의통신망을업무이외의사적인용도로이용할수없다. -회사의통신망을이용하여비밀및대외비정보자산을사전승인없이외부에공개하거나발신할수없다. 네트워크에대한사용자준수사항을다음과같이제시할필요가있다 안된다. 없다 -타인의PC, 전자메일시스템, 정보시스템에허가없이접근하거나, 다른사용자의네트워크사용을방해하여서는 해킹등의행위에사용할수 나설치할수없다. -외부로부터음란성파일을취득, 포할수없다. -개인사용자는통신망을불법도청하거나보안통제장비를우회하기위해어떠한장비도통신망에접근시키거 유포하거나타인을비방, 선동하거나성적수치심및성차별내용의메일을유 -회사는사내망사용자들의모든행위를정보자산보호를목적으로로깅감시하거나차단할수있다. 제16절 통신 및 운영 관리 150
중소기업의기술보호를위한 1세부통제항목 세부보안통제실행지침서 네트워크서비스의보안(Security 내부또는위탁서비스라할지라도모든네트워크서비스의보안특성, of network services)[ ISO/IEC 27001 (Network 모든네트워크서비스협정에포함하여야한다. A.10.6.2] security management)[ 6. ISO/IEC 네트워크보안관리 27001 A.10.6] 2해설 서비스수준, 관리요구사항을식별하고 시하고, 안전한방식으로합의한서비스를관리하기위한네트워크서비스제공자의능력을결정하고정기적으로감 네트워크서비스제공자가이런대책을실행함을보장하여야한다. 보안특성, 감사할권리를합의하여야한다. 네트워크서비스는사설네트워크서비스, 서비스수준, 관리요구사항과같은특정한서비스에필요한보안협정을식별하여야한다. 부가가치네트워크(VAN) 접속, 방화벽, 침입차단시스템과같은네트 조직은 수있다. 워크보안솔루션등을포함한다. 네트워크서비스의보안특성을다음과같다 이들서비스들이복잡한가치가추가된제안으로인해단순히관리되지않을 a) b) 인증, 보안및네트워크접속규칙에따른네트워크서비스의보안된접속을요구하는기술적파라미터 암호화, 네트워크접속통제와같은네트워크서비스의보안을적용한기술 3실행지침 c) 필요한경우네트워크서비스/어플리케이션에대한접근을제한하기위해사용되는네트워크서비스절차 a)네트워크계획-구축-운영-중지단계별보안관리 b)네트워크보안및점검계획 c)네트워크신규구축시보안성검증 네트워크서비스를관리하기위한절차에는다음과같은활동을포함한다 d)네트워크운영관리 a)네트워크사용관리 e)네트워크서비스중지(폐쇄) 네트워크보안관리를위한절차에는다음과같은활동을포함한다 b)네트워크장비설정관리 e)라우터보안 d)백업및복구 c)보안패치관리 제16절 통신 및 운영 관리 151
중소기업의기술보호를위한 통제항목 매체취급(Media handling) [ ISO/IEC 27001 A.10.7] 세부보안통제실행지침서 통제목표 매체를통제하고물리적으로보호하여야한다. 문서+컴퓨터매체(예. 비인가유출, 수정, 자산의제거또는파손, 테이프, 디스크)+I/O데이터+시스템문서를비인가유출, 업무활동의방해를예방하기위함. 괴로부터보호하기위한적절한운영절차를수립하여야한다. 삭제가능한매체의관리 수정, 폐기, 파 통제항목 세부 매체폐기 A.10.7.1] A.10.7.2] 삭제가능한매체관리를위한적절한절차를수립하여야한다. 정보취급절차 안전하게폐기하여야한다. 매체는더이상필요하지않을때, 공식적인절차를적용하여 시스템문서의보안 [ ISO/IEC 27001 A.10.7.3] A.10.7.4] 정보의취급과처리를위한절차를비인가유출과오용으로 시스템문서는비인가접근으로부터보호하여야한다. 부터정보를보호하기위하여수립하여야한다. 통제항목 해설 1) DVDs, 2) 수립하여이행한다. 상기매체중삭제가능한매체에대해서는정보의유실또는오용을방지하기위한지침을 저장매체는하드디스크, 출력매체등을포함한다 테이프, 디스크, 플래시디스크, 삭제가능한하드드라이브, CDs, 한정보를포함할수있기때문에안전한보관장소와매체를활용하여보호한다 4) 3) 시스템문서는어플리케이션프로세스, 매체의반입과반출에대한요청서와관리대장을유지한다. 절차, 데이터구조, 인가프로세스의설명등의민감 제16절 통신 및 운영 관리 152
중소기업의기술보호를위한 1세부통제항목 7. 매체취급(Media handling) 세부보안통제실행지침서 [ ISO/IEC 27001 A.10.7] 2해설 삭제가능한매체의관리(Management 삭제가능한매체관리를위한적절한절차를수립하여야한다. of removable media)[ ISO/IEC 27001 A.10.7.1] a) b) 관련모든기록은유지하여야한다. 삭제가능한매체의관리를위해다음의지침을고려하여야한다.: c) 모든매체는제조자의명세에따라안전한보안환경에서보관하여야한다. 더이상요구되지않는다면, 필요하고실용적인경우, 조직의매체삭제에대한인가를정의하고, 조직에서삭제하는재사용가능한매체의내용은복구불능이어야한다. d) 매체생명(제조자의명세에따라)보다더길게가용하는것이필요한매체에저장된정보는또한매체상태의 감사추적을유지하기위하여삭제 f) e) 삭제가능한매체드라이브는단지업무적으로필요한경우에한해사용되어야한다. 저하로발생하는정보손실을피하여저장하여야한다. 모든절차및인증수준을명확히문서화하여야한다. 삭제가능한매체의등록은데이터손실기회를제한하는것을고려하여야한다. 포함한다 3실행지침 삭제가능한매체는테이프, 디스크,플래시디스크, 삭제가능한하드드라이브,CDs, DVDs,출력된매체를 (USB, 러한휴대용매체를통해유출될수있는경로를차단할수있는DRM과같은도구를사용하는것을권장한다. 테이프, 휴대전화기용저장매체, 디스크등과같은대용량의저장매체는관리가비교적용이하다. CD 등)를관리하는데상당한어려움이있다. 그러나개인이휴대가능한저장매체 만약휴대용저장장치를통해유출을적법한절차에따라인가한경우에도유출데이터의범위와시점, 따라서민감하고중요한데이터가그 등에대한감사추적이가능한수준으로기록을남길수있도록관리절차에반영하여야한다. 유출자 제16절 통신 및 운영 관리 153
중소기업의기술보호를위한 1세부통제항목 7. 매체취급(Media handling) 세부보안통제실행지침서 [ ISO/IEC 27001 A.10.7] 2해설 매체폐기(Disposal 매체는더이상필요하지않을때, of media)[ ISO/IEC 공식적인절차를적용하여안전하게폐기하여야한다. 27001 A.10.7.2]. 고려하여야한다.: a) 매체의안전한폐기를위한공식적인절차는비인가인원에의한민감한정보의유출위험을최소화하여야한 하며, 민감한정보를담고있는매체는예를들어, 민감한정보가지고있는매체의안전한처분을위한절차는정보의민감성에적합하여야한다.다음의항목은 b) c) 민감한데이터를분리하려고시도하기보다는모든매체항목을모아서안전하게처분하는것이더욱수월할 절차는안전한처분이요구되는항목을적절히식별하여야한다. 또는조직내에서다른어플리케이션에의한사용을위하여데이터를삭제하여야한다. 소각또는절단과같이안전하고확실하게보관되고처분하여야 e) d) 계약자를선택하는것에주의를기울어야한다. 수도있다. 민감한항목의폐기는감사추적을유지하기위하여가능한한로그를유지하여야한다. 많은조직이종이, 장비및매체에대한수집과처분서비스를제공한다. 충분한통제와경험을갖춘적합한 고려하여야한다. 3실행지침 다수의매체를폐기할때는, 민감하지않은데이터가다량으로모이는경우민감한데이터로둔갑하는효과를 상매체에대해서는이러한표시가부착될수있도록관련정보분류및표시절차를보완하여야한다. 운영하는것을권장한다. 매체의안전한폐기와재사용을위해서는매체에저장된데이터의민감성과중요도에따라통제를탄력적으로 매체의폐기를외부조직에게아웃소싱하는경우에는상기해설에정의된보안통제에관련된항목이계약서의 매체에대한정보분류표시가없는경우에는관리에어려움이있을수있으므로관리대 여야한다. 약정에포함되어야한다. 또한완전하고명확한폐기에대한증거기록(동영상, 사진등)의제출의무사항을명시하 제16절 통신 및 운영 관리 154
정보취급절차(Information 1세부통제항목 정보의취급과처리를위한절차를비인가유출과오용으로부터정보를보호하기위하여수립하여야한다. handling procedures)[ ISO/IEC 270017. A.10.7.3] 매체취급(Media handling) [ ISO/IEC 27001 A.10.7] 이절차에는다음항목들은고려하여야한다: 2해설 a) b) 정보분류(A.7.2 분류수준을나타내는모든매체의취급및표시; 비인가인원으로부터접근예방을위한제한; 참조)와일관성을갖는정보의취급, 처리, 저장, 통신을위한절차를수립하여야한다. c) d) e) f) 제조자가지정한환경에서의매체보관; 인가된데이터수령자의공식적인기록유지; g) 출력을대기하는데이터에대해민감도에부합하는수준까지보호; 입력데이터가완전하며, 데이터의배포를최소한으로유지; 처리가적절히완료되고출력유효성이적용됨을보장; h) i) 배포목록과인가된수령자목록을정기적으로검토. 이절차서는문서, 인가된수령자의주의를위해모든매체사본에대한명확한표시; 멀티미디어, 한다. 컴퓨팅시스템, 네트워크이동컴퓨팅, 이동통신, 메일, 보이스메일, 일반적인보이스통신, 3실행지침포탈서비스/설비, 팩시밀리사용과기타민감한항목(예. 백지수표,청구서) 등의정보에적용하여야 는것이정보취급의효과성과효율성을높일수있다. 으로하여야한다. 매체를이용한정보의취급은가능한최소한으로유지하도록하고특별한사유에의해서만허용되는것을원칙 매체를통한정보를취급하는경우에는정보분류등급의표시와비인가자의접근제한에주의를기울여야한다. 정보의공유는회사의안전한그룹웨어또는정보시스템의전자문서와디지털데이터를사용하 민감한데이터는반드시별도로사본을보관하여원본데이터의훼손에대비하여야한다. 제16절 통신 및 운영 관리 155
시스템문서의보안(Security 1세부통제항목 7. 매체취급(Media handling) [ ISO/IEC 27001 A.10.7] 시스템문서는비인가접근으로부터보호하여야한다. of system documentation)[ ISO/IEC 27001 A.10.7.4] a) 2해설 b) c) 안전한시스템문서를위하여다음항목들을고려하여야한다.: 공중망에서유지되거나공중망을통해제공되는시스템문서는적절히보호하여야한다. 시스템문서는안전하게보관하여야한다. 시스템문서에대한접근목록은최소한으로유지하고어플리케이션소유자에게인가를득하여야한다. 설명등. 3실행지침 시스템문서는민감한정보를포함할수있다. 예) 어플리케이션프로세스, 절차, 데이터구조, 인가프로세스의 용자/운영자지침서등중요내용을포함하고있고연관시스템문서와프로그램코드와무결성을유지하여야만 이운영효율성과효과성을높일수있기때문에구성관리를위한구성항목으로지정되어야한다. 정보시스템문서는A.10.1.2의변경관리대상중의하나이다. 정보시스템문서는요구사항, 설계, 데이터구조, 사 통해통제를받고있는라이브러리또는서버에서관리하는것이바람직하다. 시스템문서의접근은운영및유지보수에대한책임을가진조직원에게만허용되어야하며외부유출에대해서 시스템종이문서는안전한사무실과캐비닛에서보호되어야하며, 시스템전자문서는변경관리와구성관리를 는시스템소유자의승인을득하도록하여야한다. 제16절 통신 및 운영 관리 156
통제항목 정보의교환(Exchange of information)[ ISO/IEC 27001 A.10.8] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 조직내부와모든외부엔티티(조직, 조직간정보와소프트웨어교환은교환정책에근거하여야하며, 유지하기위함. 시스템등)와교환하는정보와소프트웨어의보안을 정보교환정책과절차 전송중인정보를포함하여정보, 련모든법규와부합하여야한다. 물리적매체를보호하기위해절차와표준을수립하여야한다 (A.15 참조) 교환협정에따라실행하고, 관 A.10.8.1] 정보의교환을적절히보호하여야한다 공식적인교환정책, 절차, 통제는모든유형의통신설비를사용한 통제항목 세부 교환협정 전송중물리적매체 A.10..8.2] A.10.8.3] 협정은조직과외부조직간의정보와소프트웨어의교환을위하여 정보를포함하고있는매체는조직의물리적경계를지나전송 도중에비인가접근, 수립하여야한다. 전자메시징 A.10.8.4] 전자메시징에수반되는정보를적절하게보호하여야한다. 오용또는변질로부터보호되어야한다. [ 업무정보시스템 ISO/IEC 27001 A.10.8.5] 차를개발하고이행하여야한다. 업무정보시스템과의상호연결된정보를보호하기위한정책과절 통제항목 해설 물리적경계선을지나전송되는도중의비인가접근, 교환, 1) 2) 모든정보의교환은적절하게보호되어야한다. 전자메시징, 업무정보시스템을위하여수립되어야한다. 조직과외부조직간의정보와소프트웨어의 3) 네트워크를통하여교환시접근통제, 조직간의정보교환은상호협의하에이루어져야하며보호할대상을선정한다. 암호화방법등을적용하여정보를보호한다. 오용또는변조로부터보호한다. 정보를포함한매체는조직의 을적용하여야한다. 4) 이메일이나전자메시징을이용하여정보교환시에도암호화나전자서명과같은인증방법 제16절 통신 및 운영 관리 157
정보교환정책과절차(Information 공식적인교환정책, 1세부통제항목 exchange policies and 8. 정보의교환(Exchange 2해설 절차, 통제는모든유형의통신설비를사용한정보의교환을적절히보호하여야한다. procedures)[ ISO/IEC 27001 of information)[ A.10.8..1] ISO/IEC 27001 A.10.8] a) b) c) 정보교환을위해전자통신설비를사용할때수반되는절차와통제는다음항목을고려하여야한다.: d) 첨부형식으로소통되는민감한전자정보를보호하기위한절차; 차단, 전자통신의사용을통해전송된악성코드에대한탐지와방지를위한절차(A.10.4.1참조); 수용가능한전자통신설비의사용에관한개략적인정책과지침(A.7.1.3 복사, 수정, 잘못된경로, 파괴로부터교환정보를보호하기위해고안된절차; e) f) 직원, 예) 수반되는특정위험을고려한무선통신의사용절차; 명예훼손, 계약자, 모든기타사용자책임이그조직을위태롭게해서는안됨; 괴롭힘, 흉내내기, 체인레터의전달, 비인가구매등을통하여.; h) i) g) 비인가개인에의해접근될수있다; 출력설비위에민감하거나중요한정보를남기지않기. 관련국가와지역의법률과규제에따라메시지를포함한모든상업용통신에대한보유와처분지침; 암호화기법의사용. 예) 기밀성, 무결성과정보의인증성보호(A.12.3 예) 복사기, 프린터, 참조); k) j) 통신설비의전달관련통제와제한; 개인에게적절한주의를주어상기시킴; 예) 전자메일이외부메일주소로자동적으로발송 예) 직원전화통화를엿듣거나가로채는것을피하기위해민감한 팩스같은인쇄장치, 그것들은 정보를드러내지않음 1) 2) 도청과전화수화기또는전화선에물질적인접근또는수화기를주사함을통해도청하는다른형태; 특히휴대전화를사용할때, 그들의바로그근처에있는사람들; m) l) 민감한정보가포함된메시지는남기지않기; 비인가개인에의해수신되거나공유시스템또는다이얼을잘못돌려올바르지않게저장될수있기때문에 팩스를사용하는문제에대해직원에게다음을상기시키기; 3) 수신자주변에있는사람들; 1) 2) 정보를검색하기위해구축된메시지저장소에허가되지않은접근; 메시지를특정숫자로보내기위해기계의계획적이거나우연적인프로그래밍; o) n) 직원에게허가되지않은사용을위한수집을피하기위해어떤소프트웨어에서, 직원에게현대팩스기계와사진복사기가종이나전송오류의경우에페이지저장소와저장페이지를가진다 정보같은인구통계학데이터를등록하지않았음을상기시킴; 3) 다이얼을잘못누르거나잘못저장된번호를사용함으로써잘못된번호에문서와메시지를전달함; 이메일주소또는다른개인 나눠서는안된다는것을상기시켜야한다. 추가적으로직원에게그들이방음벽이설치되지않은공공장소나열린회사그리고모임장소에서기밀대화를 는것을상기시킴, 그것은오류가분명하면인쇄된다. 3실행지침 정보교환장치들은관련법규에따라야한다. (A.15 참조) 2)프린터, 1)유선및무선전화를통한사회공학과같은의도적인공격 정보의교환정책과절차는정보시스템간정보교환보다는다음과같은통신수단에취약함을고려한다. 복사기, 팩스, 포털사이트의조직원메일 제16절 통신 및 운영 관리 158
교환협정(Exchange 1세부통제항목 8. 정보의교환(Exchange of information)[ ISO/IEC 27001 A10.8] 협정은조직과외부조직간의정보와소프트웨어의교환을위하여수립하여야한다. 2해설 agreements)[ ISO/IEC 27001 A.10.8.2] a) b) c) 교환협정은다음보안조건을고려하여야한다.: d) 추적과부인방지를보장하는절차; 전달, 발송자, 포장및전달에관한최소한의기술적표준; 발송및수령을통제하고통지하는관리책임; e) 조건부협정; 전달, 발송및수령을통지하는절차; g) f) h) 배달부신원확인표준; i) 데이터보호, 라벨링시스템의사용; 라벨의의미가즉각이해되고정보가적절히보호되는것을보장하는민감하거나중대한정보에대해합의한 데이터손실과같은정보보안사고의이벤트내의책임과의무; j) 소유권과책임(A.15.1.2 정보와소프트웨어를기록하고읽기위한기술적표준; 소프트웨어저작권, 및A.15.1.4 소프트웨어라이센스부합과유사한고려사항에대한정보와소프트웨어 참조); 정을참조하여야한다. k) 정책, 암호해독키와같은민감한항목을보호하기위해요구될수있는모든특별한통제(A.12.3 절차및표준은정보와물리적매체에의전송을보호하기위하여수립, 유지하여야하며, 참조). 그러한교환협 사용되는구체적인매커니즘은모든조직과협정유형에대해일관성을유지하여야한다. 모든협정의보안내용은수반되는업무정보의민감성을반영하여야한다. 3실행지침 협정은전자적또는수기, 공식적인계약또는고용조건형식일수있다. 민감한정보는정보의교환을위해 a)관리적책임및절차(발송, 조직간의데이터의상호교환시합의서에는다음사항이포함되어야한다 d)데이터의책임성(데이터손실의책임등) c)인증기준(전달자의신원확인, b)전송기술적기준(포장및전송기준, 발송통지, 합의된보안등급, 수령등에관한책임및절차, 정보와소프트웨어의포장, 주요항목을보호하기위한암호화와같은통제등) 전송, 발송자의재전송, 저장, 읽기에대한기술적표준등) 분배, 접수의공지등) e)물리적기준(전송장비, f)포장및전송의기준등네트워크, 시스템의보안성등) 제16절 통신 및 운영 관리 159
전송중물리적매체(Physical 정보를포함하고있는매체는조직의물리적경계를지나전송도중에비인가접근, 1세부통제항목 8. 정보의교환(Exchange of information)[ ISO/IEC 27001 A.10.8] 되어야한다. media in transit)[ ISO/IEC 27001 A.10.8.3] 2해설 오용또는변질로부터보호 a) b) c) 다음지침은사이트간에전송중인매체의정보보안에고려하여야한다. d) 배달부의신원확인을점검하는절차를개발하여야한다.; 믿을수있는수송또는배달부를활용하여야한다.; (예를들면, 인가된배달부목록을관리자와합의하여야한다.; c) 될수있는모든환경적요소에대한보호. 필요한경우, 포장은전송중에발생하기쉬운어떤물리적피해로부터내용을보호하기에충분하여야하고, 소프트웨어)에따라야한다, 인가되지않은누설또는수정으로부터민감한정보를보호하기위하여통제를채택하여야한다. 예를들면열또는습기, 전자기장에대한노출, 매체의원복이감소 제조자의명세 다음의예가포함된다.: 2) 3) 1) 4) 인편으로배달; (접근하기위해어떤시도를했다는것이드러나는) 잠금콘테이너사용; 달부를통한매체의전송시 예외적인경우로각기다른경로에의해하나이상의배달및발송으로탁송을분리함; 손댄흔적이분명한포장; 3실행지침 정보는비인가접근, 오용또는물리적전송과정에서의변질에취약할수있다. 예를들면우편서비스또는배 a) b) c) 전송중인물리적매체의다음과같은위협을고려하여야한다 진동, 인가된배달부에의한변조, 온도, 먼지, 습도, 오염등에대한민감성에따른훼손 전자기파방사에의한훼손 파괴, 유출 제16절 통신 및 운영 관리 160
중소기업의기술보호를위한 1세부통제항목 8. 정보의교환(Exchange of information)[ 세부보안통제실행지침서 ISO/IEC 27001 A10.8] 2해설 전자메시징(Electronic 전자메시징에수반되는정보를적절하게보호하여야한다. messaging)[ ISO/IEC 27001 A.10.8.4] a) c) b) 전자메시징에대한보안고려사항은다음을포함하여야한다: d) 서비스의일반적인신뢰성과가용성; 비인가접근, 메시지에정확한주소지정과발송을보장; 법적고려사항, 수정또는서비스거부로부터메시지를보호; f) e) 공적으로접근가능한네트워크로부터더강력한접근통제인증수준; 인스턴트메시징또는파일공유와같은외부의공공서비스사용이전인가획득; 예를들면전자서명에대한요구사항; 증가되고있다. 3실행지침 전자메일, 전자데이터교환(EDI), 전자메시징종이기반의사소통과다른위험은안고있다 인스턴트메시징과같은전자메시징은사업적의사소통의역할로중요성이 a)전자우편을사용해서는안되는경우 b)전자우편에관한직원의책임 c)바이러스로부터의보호방안 전자우편사용정책에는다음사항을포함하여야한다 d)첨부파일의보호대책 h)원격사용자들의전자우편계정에대한접근대책 e)전자우편의사용책임 f)전자우편유지정책(보유기간, g)암호화, 전자서명방안 보유여부, 방법등) 제16절 통신 및 운영 관리 161
업무정보시스템(Business 정책과절차를업무정보시스템과의상호연결된정보를보호하기위하여개발하고이행하여야한다. 1세부통제항목 information systems)[ ISO/IEC 8. 27001 정보의교환(Exchange A.10.8.5] of information)[ ISO/IEC 27001 A.10.8] a) 2해설 b) 보안과업무간에상호연결된설비는다음사항을고려하여야한다: c) 메일, 정보공유를관리하기위한정책과적절한통제; 상이한조직간에정보를공유하는기획및회계시스템에알려진취약점; d) 시스템이적절한수준의보호를제공하지못하면,민감한업무정보범주와분류된문서를제외(A.7.2 업무통신시스템내의정보의취약성. 메일의배포; 예) 전화통화또는회의통화의녹음, 기밀통화, 팩스의저장, 공개 g) e) f) 직원, 선정된개인과관련한일기정보에대한접근제한. 선택된설비를특정범주의사용자에대해제한함; 계약자또는업무파트너의범주는시스템과그것이접근하는장소를이용하는것을허가한다; 예) 민감한프로젝트의작업인원. 참고); j) i) h) 원복요구사항과협약(A.14 시스템이보유하고있는정보의보유와백업(A.10.5.1 사용자의상태에대한신원확인. 참고). 예) 타사용자의이익을위한디렉터리내의조직의직원또는계약자; 참조); 티미디어, 3실행지침 사무정보시스템은문서, 우편서비스.설비와팩스의조합을활용하여업무정보를더빠르게공급하고공유하는기회들이다. 컴퓨터, 이동컴퓨잉, 이동의사소통, 메일, 보이스메일, 일반적인보이스의사소통, 멀 a) b) c) 전자우편의사용과관련된정책은다음을포함하여야한다 d) 바이러스로부터의보호방안 전자우편을사용해서는안되는경우 전자우편에관한직원의책임 g) e) f) 전자우편유지정책(보유기간, 전자우편의사용책임 첨부파일의보호대책 h) 원격사용자들의전자우편계정에대한접근대책 암호화, 전자서명방안 보유여부, 방법등) 제16절 통신 및 운영 관리 162
통제항목 전자상거래서비스(Electronic commerce services) [ ISO/IEC 27001 A.10.9] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 전자상거래의보안과안전한사용을보장하기위함. 전자상거래(온라인거래포함)와관련된보안영향과통제를위한요구사항을고려하여야한다. 공중망시스템을통해유포되는전자적인정보의기밀성과가용성을또한고려하여야한다. 통제항목 세부 온라인거래.10.9.1] 공중망을통과하는전자상거래에수반되는정보는사기행위, 분쟁,비인가유출및수정으로부터보호하여야한다. 계약 ISO/IEC 27001.10.9.2] 인가메시지변조, 온라인거래에포함된정보는불완전한전송, 비인가유출, 비인가메시지복제또는재전송을 잘못된경로라우팅, 비 공개가용정보 [ ISO/IEC 27001.10.9.3] 공개적으로가용한시스템에서만들어지는가용한정보의무결성은 통제항목 비인가수정을방지하기위하여보호하여야한다. 해설 않도록한다. 2) 적용하여부인 방지한다. 1) 인증서나통신경로암호화를통해정보의노출을보호하며공개키암호및전자서명을 접근은불허한다. 근은접속된네트워크에대하여비인가된접근을허용하지않는다. 공개적인시스템의경우법적으로데이터를보호받을수있도록설정하며시스템에대한접 인터넷으로직접접근가능한저장매체에는저장하지도드러내지도 즉, 시스템으로직접적인 제16절 통신 및 운영 관리 163
전자상거래(Electronic 공중망을통과하는전자상거래에수반되는정보는사기행위, 1세부통제항목 9. 전자상거래서비스(Electronic commerce services)[ ISO/IEC 27001 A10.9] 야한다. commerce)[ ISO/IEC 27001 A.10.9.1] 2해설 계약분쟁, 비인가유출및수정으로부터보호하여 a) b) c) 전자상거래에대한보안고려사항은다음사항을포함하여야한다.: d) 거래파트너들이그들의허가를완전하게이해함을보장; 각조직이상호신원확인에대해요구되는신뢰수준, 가격, 핵심문서의기밀성, 발행또는거래문서의서명키의설정과연관된인가프로세스; 무결성, 발송및수령의증거, 계약의부인방지에대한결정및회의요구사항. 예) 인증을통하여.; e) g) f) 모든민감한데이터또는정보의기밀성; 광고가격목록의무결성에요구되는신뢰수준; 지불정보, 예) 관련계약및입찰프로세스; h) i) j) 사기를보호하는지불방식의가장적절한방법으로선정; 주문정보의기밀성과무결성을유지하기위해요구되는보호수준; 고객에의해공급된지불정보를점검하기위해적절한검증의정도; 인도주소상세, 수락의확인등모든주문트랜잭션의기밀성과무결성; m) l) k) 모든사기거래와관련된책임; 거래정보의손실또는중복의회피; 보험요구사항. 한문서화된협정에의해지원되어야한다. 제(A.12.3 거래파트너간의전자상거래약관은인가(위의b)참조)의세부사항을포함하여거래조건에대해양자가합의 상기의많은고려사항들은법적요구사항(A.15.1, 어플리케이션에의해다루어질수있다. 특히암호법률A.15.1.6 참조)의준수를고려하여암호화통 수도있다. 전자상거래를위해사용된호스트의공격에대한회복력및전자상거래실행을위해요구되는네트워크상호 공공거래시스템은고객에게그들의거래조건을공표하여야한다. 기타정보서비스및부가가치네트워크(VAN) 제공자협정이필요할 (A.12.3 과에따는네트워크위협의개수만큼취약하다. 연결의보안영향을고려하여야한다(A.11.4.6 참조).전자상거래는사기행위, 계약분쟁, 정보의유출및수정의결 3실행지침 전자상거래는안전한인증방법을사용할수있다. 참조). 또한신뢰하는제3자조직이그러한서비스에필요한경우활용될수있다. 예) 위험을줄이기위해공공키암호화및디지털서명 을수립, 무결성유지, 전자거래시관련된법적, 암호화대책을수립하여운영하여야한다. 전자거래시사기, 규정적(정부기관등의) 계약분쟁, 요구사항을파악하고, 정보의노출및수정등으로부터보호하기위해신원확인, 이러한요구사항을준수하기위한대책 법적보관기간에기준하여저장장치또는매체에보관하여야한다. 또한전자거래시의사고대응및거래확인을위한로깅대책을수립하여운영하고로깅내역은백업, 소산하며, 제16절 통신 및 운영 관리 164
온라인거래(On-Line 온라인거래에포함된정보는불완전한전송, 1세부통제항목 9. 전자상거래서비스(Electronic commerce services)[ ISO/IEC 27001 A.10.9] 지복제또는재전송을방지하기위하여보호하여야한다.. Transactions)[ ISO/IEC 27001 잘못된경로라우팅, A.10.9.2] 2해설 비인가메시지변조, 비인가유출, 비인가메시 a) b) 온라인거래에관한보안고려사항은다음사항을포함하여야한다. 거래를참여하는각당사자에의한전자서명의사용; 거래의모든측면, 1) 2) 3) 거래기밀성유지 모든당사자의사용자인증서의확인및검증; 모든당사자와관련된프라이버시보호; 다음을보장; c) d) e) f) 믿을만한권한이사용되는경우(디지털서명과디지털인증서를발행하고유지하는목적에대해) 관련된모든당사자들사이의통신경로의암호화; 전체적인종단간인증/서명관리프로세스에포함하여통합된다. 거래세부자료의저장소는공개된접근환경의외부에위치함을보장. 관련된모든당사자들사이의통신을위해사용되는프로토콜의안전성; 채택된통제의수준은온라인거래의각유형에관련된위험수준에적합하여야한다. 보안은 온라인방식으로수행될수있는다양한형태의거래가존재한다. 3실행지침 거래는거래의생성, 처리되는경로, 종료되는시점, 보관등에대해관련법, 예) 계약적, 금전적등 규칙과규제와부합하여야한다. 의기능을겸하는보안기술이다. 나논리적으로결합된전자형태의정보.통신망을통하여교환, 지인증과해당메시지에대한생성, 전자서명이란서명자를확인하고서명자가문서에서명하였음을나타내기위하여당해전자문서에첨부되거 자서명으로서작성하는방식이대표적인예이다. 비대칭기술의비밀키를사용하여메시지인증코드(MAC)와유사한부호를전 처리, 전송, 저장, 수신등의행위를한사용자를보증하기위한사용자인증 전송되는메시지의무결성을보증하기위한메시 명을생성, 메시지를다시해시함수로돌려서얻은부분을비교하여판단한다. 일반적으로는해시함수로메시지를압축한데이터를작성하여이것을송신자의비밀키로암호화하여전자서 최근해외보안업체와일부해외언론을통해일반적으로해당기업에서제작하여배포하는파일이며신뢰할 메시지에첨부한다. 수신자는송신자의공개키로전자서명부분을복호화한후에이부분과원래의 파일로위장하기위해해당기업의전자서명을위조하여배포한사례가있다. 수있는파일이라는의미에서사용하는전자서명(Digital 이번과같이특정기업의전자서명을위조한사례로는한국에서도발견되었던국내특정포털에서배포하는 Signature)을위조하여사용하는악성코드들이발견되었 수있다. 러시아보안업체인캐스퍼스키(Kaspersky)에서배포한신뢰할수있는파일로위장하였다는점을특이사례로볼 그러나이번에발견된악성코드에서위조한전자서명은과거의일반기업의전자서명을위조한사례와달리 제16절 통신 및 운영 관리 165
공개가용정보(Publicly 1세부통제항목 available information)[ 9. 전자상거래서비스(Electronic 지복제또는재전송을방지하기위하여보호하여야한다.. 온라인거래에포함된정보는불완전한전송, 잘못된경로라우팅, ISO/IEC 27001 A.10.9.3] commerce services)[ ISO/IEC 27001 A.10.9] 2해설 비인가메시지변조, 비인가유출, 비인가메시 정보를사용할수있도록하기이전에약점과고장에대비하여시험하여야한다. 정보는적절한메커니즘에의해보호되어야한다. 공개적으로이용가능한시스템상에서이용가능한소프트웨어, 예) 디지털서명(A.12.3 데이터및높은수준의무결성을요구되는기타 정보를공개적으로사용할수있도록하기전에공식적인승인프로세스가존재하여야한다. 참조). 공개적으로접근가능한시스템은 의외부로부터제공된모든입력을검증하고승인하여야한다. 특히정보의피드백과직접입장을허가하는전자공개시스템은다음을위해신중하게통제하여야한다.: 추가적으로시스템 b) c) a) 되어야한다; 민감한정보는수집, 정보가데이터보호법률을준수하여획득됨(A.15.1.4 공표시스템에대한정보입력과이시스템에의해처리되는입력정보는적시에완전하고정확하게처리 처리, 보관도중에보호되어야한다; 참조); d) 3실행지침 공표시스템에대한접근은접속된네트워크에대해의도하지않은접근을허용하지않는다. 2) 1) 3) 공개적인가용시스템의정보(예. 거래가이루어지는 시스템이위치하는 자산의소유자가거주하는 인터넷을통해접근가능한웹서버의정보)는 관할의법률과규제에부합할필요가있다. 상장기업의경우기업공시또한공개정보중의하나이다. 웹사이트등을통해정보를공개하는경우에는정보의민감성과중요도를고려하여검토하고허가하여야한다. 공개된정보의비인가수정은공개한조직의평판에해를끼칠수있다. 공개된정보의수정과삭제는등록과정과동일한통제가이루어져야한다. 제16절 통신 및 운영 관리 166
중소기업의기술보호를위한 통제항목 감시(Monitoring)[ ISO/IEC 27001 A.10.10] 세부보안통제실행지침서 통제목표 비인가정보처리활동을탐지하기위함. 시스템모니터링은채택한통제의효과성의점검과접근정책모델에일치함을검증하기위해 조직은감시와로깅활동에적용되는관련법적요구사항에부합하여야한다. 제점식별을보장하기위하여사용되어져야한다. 시스템을감시하고정보보안사건을기록하여야한다. 운영자로그와결점로깅은정보보안문 [ 감사로깅 ISO/IEC 27001 A.10.10.1] 사용자의활동, 여야하며차후의조사와접근통제감시를자원하도록합의된기간동 안유지하여야한다 예외사항, 정보보안사건을기록하는감사로그를생성하 통제항목 세부 로그정보의보호 시스템사용감시 [ 27001 A.10.10.2] A.10.10.3] 과를정기적으로검토하여야한다 정보처리설비의사용을감시하기위한절차를수립하고감시활동의결 관리자와운영자로그 A.10.10..4] 로깅설비와로그정보는조작과비인가접근으로부터보호하여야한다. 결점로깅 A.10.10.5] 시스템관리자와시스템운영자활동을기록하여야한다 시각동기화 [ ISO/IEC 27001 A.10.10.6] 결점을기록, 조직내의또는보안도메인내의관련정보처리시스템의시각은합의된 정확한시간출처와동기화하여야한다. 분석하고적절한조치를취하여야한다 2) 1) 위험평가결과를감시로깅대상주요정보처리설비를결정한다. 통제항목 3) 감시활동의결과는일간/주간/월간주기로보안관리경로로보고한다. 로그정보는비인가접근으로부터보호하기위한접근제어통제를실시한다. 해설 터보호되어야한다. -단말기확인또는가능한경우위치, 5) -사용자ID, 4) 로그정보에포함되어야하는정보는다음과같다 시스템관리자와운영자의정보시스템접근, 연결(접속시작) 및연결종료(접속종료)의날짜, 변경활동을로깅하고로그정보가그들로부 -성공및거부된데이터및기타자원접근시도 -시스템구성의변경, -접근된파일및접근종류, 사용자특권, 네트워크주소및프로토콜 시스템유틸리티및어플리케이션의사용 성공및거부된시스템접근시도 시간및키, 이벤트의항목 -접속통제시스템의경고, -바이러스탐지시스템및침입탐지시스템과같은보호시스템의활성화및비활성화 제16절 통신 및 운영 관리 167
감사로깅(Audit 사용자의활동, 1세부통제항목 자원하도록합의된기간동안유지하여야한다. 예외사항, logging)[ 정보보안사건을기록하는감사로그를생성하여야하며차후의조사와접근통제감시를 ISO/IEC 27001 A.10.10.1] 10. 감시(Monitoring)[ ISO/IEC 27001 A.10.10] a) 2해설 b) c) 감사로깅은다음을포함하여야한다. 사용자ID; e) d) 가능한경우단말기신원또는위치; 데이터및기타자원접근시도의성공과거부기록; 핵심이벤트의일자, 시스템접근시도의성공과거부기록; 시간, 기타상세정보. 예) 로그온, 로그오프 h) i) g) f) 접근된파일과접근유형; 시스템구성의변경; j) 네트워크주소와프로토콜; 시스템유틸리티와어플리케이션의사용; 권한의사용; k) 접속통제시스템에의해제기된경고; (A.15.1.4 l) 바이러스탐지시스템및침입탐지시스템과같은보호시스템의활성화및비활성화. 는안된다. 감사로그는침입및기밀적인개인데이터를포함할수있다. 적절한프라이버시보호대책이강구되어야한다 3실행지침 참조). (A.10.1.3 가능한경우시스템관리자는그들자신의활동로그을삭제하거나비활성화하는허가를가져서 참조) 하여정상이면인증이완료된다. 인가다. 상이다. 로그는인증(Authentication), 인증은시스템에자산의신원(Identify)을시스템에증명하는과정이고일반적으로ID와패스워드를입력 마지막으로어카운팅은로그인후시스템에기록을남기는과정이다. 인가(Authorization), 인증이완료된사용자는로그인이허락된사용자로판명되어로그인되는과정이 어카운팅(Accounting)을의미하는AAA정보가로깅수행대 악의적인사용자를추적하는데많은도움을주며, 한다. 어떤정보를로그로남길지는AAA개념에따라판단하면된다. 로그는일반운영체제뿐만아니라방화벽이나침입탐지시스템과같이로그를남기는모든시스템에해당되며 추적에대한기록의충실도를책임추적성(Accountability)이라 AAA에대한로그정보는해커나시스템에접근한 에의해수행한다. 참고로윈도우운영체제로그종류에는1) 로그는크게운영체제(윈도우/유닉스), 데이터베이스, 개체액세스감사, 네트워크로그가있다. 2) 계정관리감사, 대부분벤더에서제공하는로깅툴 9) 권한사용감사, 프로세스추적감사등이있다 5) 디렉터리서비스액세스감사, 6) 로그온이벤트감사, 7) 시스템이벤트감사, 3) 계정로그온이벤트감사, 8) 정책변경감사, 4) 제16절 통신 및 운영 관리 168
시스템사용감시(Monitoring 정보처리설비의사용을감시하기위한절차를수립하고감시활동의결과를정기적으로검토하여야한다. 1세부통제항목 2해설 system use)[ ISO/IEC 27001 A.10.10.2] 10. 감시(Monitoring)[ ISO/IEC 27001 A.10.10] 고려하여야할영역에는다음이포함된다: a) 조직은감시활동에적용가능한관련된모든법적요구사항을준수하여야한다. 개별설비에대해요구되는모니터링수준은위험평가에의해결정하여야한다. 인가된접근. 3) 2) 1) 이벤트의유형; 주요이벤트의날짜와시간; 사용자ID; 다음과같은세부항목을포함: b) 다음과같이, 5) 4) 1) 사용된프로그램/유틸리티; 접근된파일; 2) 3) 시스템시작및중단; 권한이부여된계정의사용; I/O 장치부착/분리; 권한이부여된모든운영: c) 다음과같이, 인가되지않은접근시도: 예) 감독자, 루트, 관리자 1) 실패또는거부된사용자행동; d) 다음과같은시스템경보또는고장: 2) 3) 4) 접근정책위반과네트워크게이트웨이및방화벽에대한통보; 재산침입탐지시스템으로부터의경보; 데이터와다른자원을수반하는실패또는거부된행동; 1) 콘솔경보또는메시지; e) 2) 3) 시스템로그예외사항; 네트워크관리경보; 3실행지침 시스템보안설정및통제의변경또는변경의시도. 4) 접속통제시스템에서제기한경고. 고려되어야할위험요소에는다음이포함된다.: a) 얼마나자주감시활동의결과가검토하여야하는가는수반되는위험에따른다. c) b) 어플리케이션프로세스의중요성; e) d) 시스템침입및오용의과거경험, 비활성화된로깅설비; 관련된정보의가치, 시스템상호접속의수준(특히공중망); 민감성또는중요성; 그리고이용되는취약성의빈도; 시스템이직면한위협을이해하는것을수반한다 감시절차서의사용은사용자가명확히인가된활동만을수행하는것을보장하기위해필요하다. 로그검토는 제16절 통신 및 운영 관리 169
로그정보의보호(Protection 로깅설비와로그정보는조작과비인가접근으로부터보호하여야한다 1세부통제항목 10. 감시(Monitoring)[ ISO/IEC 27001 A.10.10] 2해설 of log information)[ ISO/IEC 27001 A.10.10.3] 여야한다: b) a) 통제는다음을포함하여비인가변경과로깅설비가갖고있는운영문제점으로부터보호하는것을목표로하 c) 로그파일매체의저장용량이초과되면,기록이벤트에대한고장이나과거기록된사건의덮어쓰기를한다. 기록된메시지형태에대한변경; 일부감사로그는기록보유정책의일부또는증거의수집및유지에대한요구사항때문에이관을요구할수도 편집되거나삭제된로그파일; 있다(A.13.2.3 2차로그에자동적으로적절한메시지유형을복사하거나적절한시스템유틸리티의사용또는감사툴을고려하 시스템로그는종종대용량의정보를포함한다. 참조). 여야한다 보안모니터링을목적으로중요한이벤트의식별을돕는것은 보호되어야한다. 3실행지침 시스템로그는데이터의수정또는삭제가이루어진경우그들의존재가보안에대한안심을제공하기때문에 접근제어는해당절차의보호통제를따를수있다. 로그정보는대개일정기간후에테이프또는디스크에이관하여보관한다. 로깅을실시하는설비와로그정보는정보처리설비와정보시스템의일부이다. 이러한경우에는로그정보를보관하 따라서물리적인보안과비인가 는매체에대한특별한취급을필요로한다. A.10.7의매체취급통제지침에따라보호하여야한다. 제16절 통신 및 운영 관리 170
관리자와운영자로그(Administrator 시스템관리자와시스템운영자활동을기록하여야한다. 1세부통제항목 10. 감시(Monitoring)[ ISO/IEC 27001 A.10.10] 2해설 and operator logs)[ ISO/IEC 27001 A.10.10.4] b) c) a) 관리자또는운영자가참여했던계정; 이벤트(성공또는실패) 이벤트(예. 로그는다음을포함하여야한다.: d) 참여하였던프로세스 취급된파일) 발생시간; 또는고장(예. 오류발생및취해진시정조치)에관한정보; 감시하기위해사용할수있다 시스템관리자및운영자로그는정기적으로검토하여야한다. 3실행지침 시스템통제의외부를관리하는침입탐지시스템과네트워크관리자는시스템과네트워크관리활동이준거성을 은바임무를수행하게된다. 있기때문에그들의활동에대한로깅을실시하고로그정보로유지하여야한다. 시스템관리자와운영자는정보시스템과시스템소프트웨어의보안통제에우선하는관리자권한을가지고맡 시스템관리자와운영자의로그정보는최소6개월1회정도의정기적인보안감사/검토를통해관련절차와정 따라서적법한권한을가지고심각한보안사고를야기할수있는개연성을가지고 하여빈도를줄이거나생략하는경우가있어서는안된다. 제절차의이행도를높이는효과를갖고있기때문에감사/검토결과위반사항이나개선점이발견되지않았다고 책과의준거성을파악할필요가있다. 그러한감사/검토활동은활동자체가계획되고실행되는것만으로보안통 제16절 통신 및 운영 관리 171
결점로깅(Fault 결점을기록, 1세부통제항목 10. 감시(Monitoring)[ ISO/IEC 27001 A.10.10] 2해설 분석하고적절한조치를취하여야한다. logging)[ ISO/IEC 27001 A.10.10..5] 된결점을다루기위한명확한규칙이있어야하며다음을포함하여야한다. a) b) 정보처리/통신시스템의문제점에관련된사용자/시스템프로그램에의해보고된결점을기록하여야한다. 결점이만족스럽게해결되었음을보장하기위한결점로그의검토; 통제가훼손되지않고취해진조치가완전히인가됨을보장하기위한시정대책의검토. : 보고 시스템에필요한로깅수준은위험평가에서성능저하를고려하여결정되어야한다. 만약결점로깅시스템기능이가용한경우에는오류로깅이이행됨을보장하여야한다. 3실행지침 에러와결점의로깅은시스템의성능에영향을미칠수있다. 그러한로깅은숙련된인원에의해가능하며개별 를위한원인을파악할수있는결정적단서를제공한다. 기억용량의과부하로인해성능저하의원인이될수있다. 사용자에러와어플리케이션의결점로깅은장애발생또는성능저하시그상황의재현을가능하게하고조치 위험평가에서는대개이러한점을감안하여시스템의사업적중요성, 그러나에러와결점빈도가많아지는경우에는시스템의 생가능성등을토대로로깅의필요성과범위, 결점로깅에따른로그정보는정기적인검토를통해그필요성과유효성을검토하고개선점을파악할필요가있 로깅정보의종류등을결정하게된다. 타시스템과의연관성, 결점및에러의발 는경우도있다. 다. 종종결점이외의정보에대해서도정보처리의완전성과정확성을검증하기위한목적으로로그정보를유지하 제16절 통신 및 운영 관리 172
시각동기화(Clock 조직내의또는보안도메인내의관련정보처리시스템의시각은합의된정확한시간출처와동기화하여야한다. 1세부통제항목 10. 감시(Monitoring)[ ISO/IEC 27001 A.10.10] synchronization)[ ISO/IEC 27001 A.10.10.6] 어떤중대한편차를검사하고수정하는절차가있어야한다. 2해설 컴퓨터나통신장치가실시간시계를작동하는능력을가진경우, 예) 만국표준시또는지역표준시. 일부시계는시간이경과함에따라시간이안맞는것으로알려져있으므로, 그시간은합의한표준에따라설정되어야한 (예. 3실행지침 요일/시간형식의올바른해석은실제요일/시간을반영하는타임스탬프를보장하는데중요하다. 일광절약시간-썸머타임)을고려하여야한다. 지역적특성 성을떨어뜨릴수있다. 확성을보장하기위해중요하다. 사용할수있다. 컴퓨터시간을정확하게설정하는것은법적증거또는징계케이스에조사가요구될수도있는감사로그의정 네트워크시간프로토콜은주시각과동기화된모든서버를유지하기위해사용될수있다 시간이국가원자시계에따는라디오시간에연결된시각을로깅시스템의주시각으로 부정확한감사로그는그러한조사에대해더숨길수있고그러한증거의신뢰 제16절 통신 및 운영 관리 173
중소기업의기술보호를위한 통제항목 접근통제를위한업무요구사항(Business requirement for access control)[ ISO/IEC 세부보안통제실행지침서 통제목표 정보와정보처리설비, 정보의접근을통제하기위함 프로세스에대한접근을사업및보안요구사항을기초로통제하여야 27001 A.11.1] 통제항목 세부 한다. 접근통제정책 [ ISO/IEC 접근통제규칙은정보전파와인가를위한정책을고려하여야한다. 27001 A..11.1.1] 접근통제정책을수립, 사업과보안요구사항을기반으로검토하여야한다. 문서화하고접근에대한 명확히정의하고논리적과물리적두부분을함께고려 1) 개별사용자또는사용자그룹에대한접근통제규칙과권리는접근통제정책을 통제항목 명확한제공하여야한다. 2) 사용자및서비스제공자에게접근통제측면에서충족되어야할업무요구사항을 해설 -개별업무활용의보안요구사항 -정보가유포및인가에관한정책, 3) -정보가직면하고있는위험들과업무활용에관련된모든정보의식별 접근통제정책은다음을고려한다. -데이터또는서비스에대한접근의보호에대한적절한법률및어떤계약적의무 -조직의일반적작업규칙들에대한표준사용자접근프로파일 -다른시스템과네트워크의접근통제와정보분류정책간의일관성 예) 알아야할필요성원칙, 정보보안수준및분류 -이용가능한모든유형의접속을식별하는분리된네트워크환경에서의접근권한관리 -접근통제규칙들의분리, -접근요구들의공식적인권한및주기적인재검토를위한요구사항들 -접근권리의제거 예를들면접근요구, 접근권한, 접근관리 제17절 접근통제 174
접근통제정책(Access 접근통제정책을수립, 1세부통제항목 2해설 control 문서화하고접근에대한사업및보안요구사항을토대로검토하여야한다. policy)[ ISO/IEC 27001 A.11.1.1] (Business requirement for access 1. 접근통제를위한업무요구사항 control)[ ISO/IEC 27001 A.111] 여야하는명확한사업요구사항을제공하여야한다. 논리적과물리적둘다를(A.9 개별사용자/그룹사용자에대한접근통제규칙과권한은접근통제정책에명확히언급하여야한다. 참조) 함께고려하여야한다. 사용자와서비스제공자에게접근통제측면에서충족하 접근통제는 a) b) c) 정책은다음을고려하여야한다: d) 정보의유포와인가에관한정책, 개별업무어플리케이션의보안요구사항; e) 데이터/서비스접근의보호에대한적절한법률및모든계약적의무(A.15.1 상이한시스템과네트워크의접근통제와정보분류정책간의일관성; 업무어플리케이션에관련된모든정보와정보가직면하고있는위험을식별; f) 조직의공통직무역할에대한표준사용자접근프로파일; 예) 알아야할필요성원칙과정보보안수준및분류(A.7.2항참조); g) h) 접근통제역할분리, 접속가능한모든유형을식별하는분산네트워크환경에서의접근권한관리; 예) 접근요청, 접근인가, 접근관리; i) j) k) 접근요구들의공식적인인가요구사항들(A.11.2.1 3실행지침 접근통제들의주기적인검토요구사항들(A.11.2.4 접근권한의제거(A.8.3.3 참조). 참조); a) c) b) 접근통제규칙정의시고려사항은다음과같다 d) 정보처리설비에의해자동적으로실행하는정보표시의변경과사용자의재량에의한변경; 지침은선택적또는조건적이나규칙은지켜져야하는차이점; e) 규칙의제정이전에승인하는것과제정이후에승인하는것; 정보시스템에의해자동적으로실행하는사용자인가의변경과관리자에의한변경; 금지되지않으면허용 이라는규칙은 허용되지않으면금지 보다취약함; A.11.6 접근통제규칙은공식적인절차와명확히정의된책임에의해지원되어야한다(사례, 참조). A.6.1.3, A.11.3, A.10.4.1, 제17절 접근통제 175
중소기업의기술보호를위한 통제항목 사용자접근관리(User access management)[ ISO/IEC 27001 A..11.2] 세부보안통제실행지침서 통제목표 정보시스템과서비스에대한접근권한의배정을통제하기위한공식적인절차를이행하여야 인가된사용자의접근과정보시스템에대한비인가접근을예방하기위함. 사용자등록 시스템통제를무력화할수있는권한배정에대해서는특별한주의를기울여야한다. 사용자의탈퇴등록에이르기까지사용자접근의모든생명주기를다루어야한다. 이절차는신규사용자의등록에서부터정보시스템과서비스에더이상접근이불필요한 사용자가 통제항목 세부 권한관리 A.11.2.1] 모든정보시스템과서비스의접근에대한허가와취소에대한공식적인 A.11.2.2] 사용자등록과등록취소절차가있어야한다. 사용자패스워드관리 권한의할당과사용을제한하고통제하여야한다. 사용자접근권한검토 [ ISO/IEC 27001 A.11.2.3] A.11.2.4] 패스워드의배정은공식적인관리프로세스를통하여통제하여야한다 1) 사용자가그들의활동에연계되고책임을질수있도록가능하게유일한사용자ID를사용 검토하여야한다. 관리자는공식프로세스를활용하여정기적간격으로사용자접근권한을 통제항목 한다. 해설 2) 토하며허가된접근수준이업무목적에적절한지그리고조직의보안정책에일관적인지를점 검한다. 사용자가정보시스템또는서비스사용에대하여시스템소유자로부터인가를받았는지검 5) 사용하도록교육한다. 3) 4) 규칙또는업무를변경하였거나조직을떠난사용자의접근권한을즉시제거한다. 서비스를사용하기위해등록된모든인원의공식적인기록을유지한다. 6) 사용자접근권한은정기적인간격으로검토한다.(예: 최초패스워드를부여하여사용자가처음로그인시변경하게하며안전한패스워드를 분기별또는년2회) 제17절 접근통제 176
사용자등록(User 모든정보시스템과서비스의접근에대한허가와취소에대한공식적인사용자등록과등록취소절차가있어야 1세부통제항목 한다. registration)[ ISO/IEC 27001 A.11.2.1] 2. 사용자접근관리(User access management)[ ISO/IEC 27001 A.11.2] a) 2해설 b) 사용자등록및말소를위한접근통제절차는다음을포함하여야한다.: 그룹ID의사용은업무또는운영측면의사유가있는경우에한해허용하고승인하고문서화하여야한다; 분리된접근권한에대한승인이적절할수있다. 사용자가그들의활동에연계되고책임을질수있도록하는고유한사용자ID를사용; c) 를들어, 허가된접근수준이업무목적에적절한지(A.11.1. 사용자가정보시스템/서비스사용에대하여시스템소유자로부터인가를받았는지점검; 직무의분리를위반하지않는지(A.10.1.3 참조); 그리고조직의보안정책에일관적인지를점검, 관리자로부터 e) d) 사용자가접근조건들을이해한다는것을암시하는서약서에서명할것을요구; 사용자에게접근권한을서면으로제공; 예 f) g) i) h) 불필요한사용자ID와계정의제거또는방지에대한정기적인검토(A.11.2.4 서비스제공자가인가절차가완료될때까지접근을제공하지않는다는것을보장; j) 역할또는업무를변경하였거나조직을떠난사용자의접근권한을즉시제거하거나방지; 서비스를사용하기위해등록된모든인원의공식적인기록을유지함; 3실행지침 불필요한사용자ID가타사용자에게발행되지않음을보장함. 참조); 3) 2) 1) 단기간사용자 영구사용자 일정기간/계약기간사용자 다음과다양한사용자유형을고려하여사용자계정관리절차에반영한다 4) 등록과말소의적시성은보안유지에필수적이라할수있다. 사용자계정은매우한정적인권한을갖고있으나민감하고중요한정보를읽기가능한경우가대부분이므로 임시사용자 한다. 또한최소1개월정도의사용자로그를유지하여보안사고의예방과발생시신속한대처가가능하도록하여야 제17절 접근통제 177
권한관리(Privilege 권한의할당과사용을제한하고통제하여야한다.. 1세부통제항목 2. 사용자접근관리(User access management)[ ISO/IEC 27001 A.11.2] 2해설 management)[ ISO/IEC 27001 A.11.2.2] 하여야한다. a) 권한과할당될필요가있는사용자를파악하여야한다. 비인가접근보호를요구하는다중사용자시스템은공식적인인가프로세스를통해권한의할당이통제되도록 b) 예를들어, 권한은접근통제정책(A.11.1.1 다음단계를고려하여야한다. 즉. 필요로할때만그들의기능역할을수행하기위한최소요구사항 운영체제, 데이터베이스관리시스템및각어플리케이션과같이각시스템제품에관련된접근 c) 승인되지않아야한다. 할당된모든권한의인가프로세스와기록을유지하여야한다. 참조)에따른Need-to-use와Event-by-Event 권한은인가프로세스가종료될때까지 기반의사용자에게할당되어야 d) e) f) 권한은정규적인업무용으로사용되는권한과다른사용자ID에배정하여야한다. 권한을가지고실행하여야하는필요성을피하기위한프로그램의개발및사용을촉진하여야한다. 사용자에게권한을부여하는필요성을피하기위하여시스템경로의개발과사용을촉진하여야한다. 한사용은시스템고장또는위반에대한중대한공헌요소일수있다 3실행지침 시스템관리권한(정보시스템의모든특성또는설비는시스템/어플리케이션통제를제압할수있는)의부적절 를공유하는명령을내릴수있다. 1) 2) 관리자(Admin) 정보시스템과서비스에대한접근권한에대한윈도우기본그룹은대개다음과같다 3) 파워유저(Power 백업오퍼레이터: : User) 대표적인관리자그룹으로사용자계정을생성하거나제거할수있으며, 시스템파일을백업할권한을가짐. : Admin그룹이가진대부분의권한을가지나, 또한사용할수있는자원에대한권한을설정할수있다 로컬컴퓨터에서만관리할능력을갖음. 디렉토리와프린터 앨수있으며사용자정보를수정할수있음. 4) 어카운트오퍼레이터: 서버의사용자와그룹계정을관리. 단, Admin, 서버오퍼레이터, 글로벌이나로컬그룹에속하는계정을만들거나없 6) 5) 백업오퍼레이터계정의정보는바꿀수없음 사용자(User) 게스트: 윈도우NT서버에서사용자그룹과같은권한을가짐. : 대부분의사용자가기본으로속하는그룹. 어카운트오퍼레이터, 프린트오퍼레이터, 7) 8) 서버오퍼레이터: 프린트오퍼레이터: 서버운영그룹에배정된작업을수행하는권한을가짐. 프린터공유권한을가짐 제17절 접근통제 178
사용자패스워드관리(User 패스워드의배정은공식적인관리프로세스를통하여통제하여야한다. 1세부통제항목 2. 사용자접근관리(User access management)[ ISO/IEC 27001 A.11.2] 2해설 password management)[ ISO/IEC 27001 A.11.2.3] a) 프로세스는다음의요구사항을포함하여야한다. b) 서약서에대한서명을요구하여야한다.; (A.8.1.3 사용자는개인패스워드기밀성을유지하는것과그룹패스워드는단지그룹멤버내에서만사용한다는 (A.11.3.1 사용자가자신의패스워드를유지하도록요구되는때, 참조).; 참조)를초기에제공하여야한다.; 그러한서명된문서는고용약정및조건에포함될수있다 c) d) 신규, 임시패스워드는안전한방법으로사용자에게제공.; 교체또는임시패스워드의제공이전의사용자신원을검증을위한절차를수립; 제3자활용또는보호되지않은(명확한문구) 즉시변경해야만되는안전한임시패스워드 e) f) 사용자는패스워드를수령하였음을알려야한다.; 일메시지는피하여야한다.; 임시패스워드는개인에게유일해야하고추측할수없어야한다.; 전자메 g) h) 패스워드는결코비보호형태로컴퓨터시스템에저장되지않아야한다; 단이다. 디폴트벤더패스워드는시스템/소프트웨어의설치에따라변경되어야한다. 을적절히고려하여야한다 3실행지침 패스워드는사용자인가에따라정보시스템/서비스에대한접근이전에사용자의신원을검증하는공통적인수 사용자신원확인및인증에대한다른기법(예. 지문인식, 서명검증가하드웨어토큰의사용, 스마트카드) 1. 사용자는패스워드사용시유의사항은다음과같다. 4. 3. 2. 영문과숫자를혼용해6자이상의패스워드를사용한다. 패스워드를별도의문서에적어놓거나보호되지않은형태로PC에저장해서는안된다. 사용자가관리자에게서임시패스워드를부여받은경우첫번째로그인시패스워드를변경해야한다. 사용자의패스워드는비밀로유지하고타인에게노출하지않도록한다 5. 7. 6. 조합을이용하는등의방법으로패스워드를만든다. 주민번호, 패스워드가타인에게노출되었거나노출이우려될경우반드시패스워드를변경해야한다. 소프트웨어설치후공급자의패스워드기본값을변경한다. 전화번호, 생일, 사전에나오는단어등임의추측이가능한패스워드를피하고문장의첫글자 제17절 접근통제 179
사용자접근권한검토(Review 관리자는공식프로세스를활용하여정기적간격으로사용자접근권한을검토하여야한다. 1세부통제항목 of user access rights)[ 2. 사용자접근관리(User ISO/IEC 27001 A.11.2.4] access management)[ ISO/IEC 27001 A.11.2] a) 2해설 b) 또는종료와같은모든변경후(A.11.2.1 사용자접근권한은정기적인간격으로검토하여야한다, 사용자접근권한은한명의종업원이같은조직내에서다른곳으로이동했을때검토하고재할당하여야 접근권한의검토는다음지침을고려하여야한다.: 한다.; 참조); 예를들면6개월의기간및종업원의진급, 강등 e) d) c) 기간; 특별한접근권한에대한인가(A.11.2.2 권한계정에대한변경은주기적인검토를위해로깅하여야한다. 권한할당은인가되지않은권한이주어지지않는것을보장하기위하여정기적인간격으로점검된다.; 참조)는더욱짧은간격으로검토하여야한다; 예를들면, 3개월의 요하다. 3실행지침 사용자의접근권한에대한정기적인검토는데이터와정보서비스에대한접근을효과적으로통제하기위해필 보를토대로접근권한의적정성을파악하는것이다. 정기검토는대개반기1회실시하며퇴직자, 사용자접근권한의검토는정기검토와수시검토로구분하여실시하는것을권고한다 수시검토는보안사고가발생하거나, 사용자수가갑자기늘어나는경향을보여보안사고의발생이예상되는경 입사자, 전출자, 계약종료자, 신규계약자, 장기방문자등에대한정 우에실시한다. 또한관리자권한을갖고있는파워유저의변경시에도실시할필요성이있다 제17절 접근통제 180
통제항목 사용자책임(User responsibilities)[ ISO/IEC 27001 A.11.3] 중소기업의기술보호를위한 세부보안통제실행지침서 통제목표 인가된사용자의합동운영은효과적인보안을위해필수불가결하다. 사용자는특별히사용자장비의패스워드사용과보안에관련하여효과적인접근통제를유지 하기위한그들의책임을인식하여야한다. 정보와정보처리설비의비인가된사용자접근, 손상또는도난을예방하기위함. 이기위하여구현하여야한다. 책상과화면정리정책을종이+매체+정보처리설비에대한비인가접근또는손상위험을줄 통제항목 세부 패스워드사용 보호되지않은사용자장비 A.11.3.1] A.11.3.2] 사용자에게패스워드선택과사용에대한모범보안관행을따르도록 요구하여야한다. 책상과화면정리정책 [ ISO/IEC 27001 A.11.3.3] 사용자는보호되지않은장비를적절히보호하는것을보장하여야한다. 서류와삭제가능한저장매체에대한책상정리정책과정보처리설비에 대한스크린정리정책을채택하여야한다 통제항목 1) 패스워드는본인만알고있어야하며패스워드를기록(예를들면, 종이, 소프트웨어파일또 해설 2) 스워드를변경한다. 는들고다니는장치)해두지않는다. 비보호사용자장비는PC, 업무및비업무목적을위해동일패스워드를사용하지않는다. 워크스테이션, 시스템또는패스워드의노출가능성이암시될때마다패 위에민감한정보를방치하지않고잠금장치가있는서랍이나캐비닛에보관한다. 접근이가능하기때문에사용자책임에포함하여야함. 3) PC에화면보호기를설정하여불법접근으로부터보호하며자리이석시또는퇴근시책상 파일서버등이대표적임. 이들은패스워드를통해 제17절 접근통제 181
패스워드사용(Password 사용자에게패스워드선택과사용에대한모범보안관행을따르도록요구하여야한다. 1세부통제항목 3. 사용자책임(User responsibilities)[ ISO/IEC 27001 A.11.3] 2해설 use)[ ISO/IEC 27001 A.11.3.1] a) b) 해두는것을피하고, 모든사용자에게다음과같은조언을하여야한다.: c) 시스템또는패스워드의손상의가능성이암시될때마다패스워드를변경한다.; 패스워드를기밀로유지한다.; d) 안전하게저장될수있지않는한, 다음과같은충분히최소길이의양질의패스워드를선택한다.: 저장방법을승인한다.; 패스워드를기록(예를들면, 종이, 소프트웨어파일또는들고다니는장치) 3) 1) 2) (예를들어, 사전공격에취약하지않다(예를들면사전에구성된용어를포함하지않는다).; 기억하기쉽다; 4) 연속적인동일하지않고, 다른사람이쉽게추측할수있거나개인관련정보에서얻어질수있는어떤것에도근거하지않는다.; e) 정기적인간격으로또는접근횟수에근거하여패스워드를변경하며(특권계정을위한패스워드는보통 이름, 전화번호및생일등) 패스워드보다더자주변경하여야한다) 모두숫자또는모두알파벳문자가아니다. h) f) g) 임시패스워드는최초연결할때변경한다.; 개인의사용자패스워드를공유하지않는다.; 마크로또는기능키에저장하는것과같은어떤자동화된연결된프로세스에패스워드를포함시키지않는다.; 예전의패스워드를다시사용하거나순환하는것을피한다.; 야한다면, i) 업무및비업무목적을위해동일한패스워드를사용하지않는다. 만일사용자가여러서비스, 각서비스, 시스템/플랫폼의패스워드의보관에대해수립된합리적인보호수준이보장되는경우모든 시스템또는플랫폼에접근할필요가있고여러개의분리된패스워드를유지하여 수단의하나일수있기때문에특별한주의를기울여야한다 서비스에대해양질의패스워드하나를사용하도록권고한다. 3실행지침 패스워드를분실하거나잊어버린경우를취급하는헬프데스크관리자는그것이패스워드시스템에대한공격 1) 잘못된패스워드설정사례는다음과같다 4) 2) 3) 가장많이쓰는1, 1009(천국)과같이사용자의종교적성향에따른패스워드를지정하는경우 asdf, wjawoddl(점쟁이), qwer와같이키보드의자판배열과동일하게지정하는경우 12, ehtk(도사)와같이한글자판의영문자를지정하는경우 123, 1234과같은숫자로지정하는경우 5) 6) 사용자계정정보로유추가능한단어를지정하는경우, 자녀생일, 결혼기념일, 주민번호등과같은숫자의조합을사용하는경우 예) hope 114 제17절 접근통제 182
보호되지않은사용자장비(Unattended 사용자는보호되지않은장비를적절히보호하는것을보장하여야한다. 1세부통제항목 user equipment)[ ISO/IEC 3. 사용자책임(User 2해설 27001 A.11.3.2] responsibilities)[ ISO/IEC 27001 A.11.3] a) 항과절차를인식하도록하여야한다. 사용자에게다음사항을권고하여야한다: 모든사용자및계약자가이러한보호를이행하는그들의책임뿐아니라방치된장비를보호하는보안요구사 b) 이아님).; 시활성화된세션을종료한다.; 예를들어, 세션이끝날경우, 패스워드로보호되는화면보호기와같은적절한잠금메커니즘에의해보호될수없는한, 본체, 서버및사무실PC에접속을종료한다(즉, 스크린이나단말기를단지끄는것 종료 c) (A.11.3.3 사용하지않는경우, 또한참조) 예) 잠금장치또는동등한통제에의해비인가사용으로부터PC 패스워드접근. 또는단말기를보호한다 접근에대해특정한보호가요구될수있다. 3실행지침 사용자지역에설치된장치는(예. 워크스테이션또는파일서버) 확장된기간동안보호되지않을때는비인가 대용노트북, 한휴대전화, 사용자의책임에관한모든규칙은별도하나의지침으로정립하여제공하는것이바람직하다. 이동형저장자치(USB, 재택근무시사용하는개인PC 하드디스크등), 등에대한보안수칙을말한다. 회사에서지급한개인PC, 개인용휴대전화, 회사에서지급 예를들어휴 2. 1. 모든PC는화면보호기를운영하여야하고, 모든PC는부팅시패스워드를설정하여운용해야한다. 다음은개인PC 관리수칙의사례이다 작동시간은10분이하, 부팅패스워드는패스워드설정규칙에의하여 3. 설정되어운영되어야한다. PC의통신망을통한파일공유기능을사용시에는패스워드설정규칙에의해패스워드를설정하여운영하여 6. 5. 4. 명확하게드러날수있도록표시되어야한다. 타인의PC에접근을할수있거나, 모든PC는업무종료시전원이차단되어야하며, 모든PC에는정품의S/W만설치되어야하며,불법S/W 자료를수집할수있는악의의프로그램을설치하거나사용해서는 필요한경우에는해당부서장의승인을받아작업내용이 사용에대한책임은본인에게있다. 9. 8. 7. 안된다.(예: 허가된사용자외에CDRW PC 사용및관리에따르는정보보호책임은PC의사용자에게있다. 내부에는불건전한자료나회사에손해를줄수있는자료는보관하지말아야한다. Back Orifice등과같은PC 및DVDRW의사용은금지하며, 해킹프로그램) 10. 사용이필요한직원은담당팀장의허가후정보보호책임자의승인을받아사용할수있다. 허가된사용자외에USB를이용한이동형저장장치의사용은금지하며, CDRW 및DVDRW의사용이필요한직원은 USB를이용한이동형저장장치의 제17절 접근 통제 183
책상과화면정리정책(Clear 1세부통제항목 3. 사용자책임(User responsibilities)[ ISO/IEC 27001 A.11.3] 서류와삭제가능한저장매체에대한책상정리정책과정보처리설비에대한스크린정리정책을채택하여야한다. 2해설 desk and clear screen policy)[ ISO/IEC 27001 A.11.3.3] 직의문화적측면을고려하여야한다. 다음지침을고려하여야한다. 책상과화면정리정책은정보보안분류(A.7.2 참조), 법및계약상의요구사항(15.1 참조)에상응하는위험과조 b) a) 면및키보드를잠금으로보호하여야한다. 저장매체는(안전또는캐비닛또는보안가구의형식이이상적)잠겨져야한다. 요구가없는경우, 컴퓨터및단말기는로그오프하거나패스워드, 특히사무실을비우는경우에민감하거나중대한업무정보, 사용하지않을때는열쇠잠금, 토큰또는유사한사용자인증메커니즘으로통제되어화 패스워드또는기타통제에의 예를들면종이도는전자 c) d) e) 하여보호하여야한다.; 송수신메일포인트와방치된팩스를보호하여야한다.; 민감하거나등급이부여된정보를포함하고있는문서는인쇄될경우, 사진복사기와기타재생기술(예를들면, 스캐너, 디지털카메라)의비인가사용을방지하여야한다. 즉시프린터에서제거하여야한다.; 핀코드기능을가진프린터의사용을고려한다. 준다. 깨끗한책상과화면정책은정규업무시간도중및이외에정보에대한비인가접근, 손실및피해위험을줄여 3실행지침 금고또는기타안전한보관설비는화재, 지진, 그리하면출력요청자만이출력물을가져올수있다. 홍수또는폭발에보관된정보를보호할수도있어야한다 서보이지않는개인용사무실의경우에는책상및화면정리정책의적용을유연하게할수있다. 서직원의접촉빈도등에따라위험수준이달라지는것을고려하여야한다. 책상과화면정리정책은업무의중요성, 개인좌석의칸막이, 개인사무실, 예를들어잠금장치가있고외부에 타부서/외부인의출입빈도, 동일부 의효율성과효과성을저하시키는요인이될수도있다. 한다. 또한다양한의견을교환하여창의적인결과를도출하는업무를수행하는부서의경우에는이러한정책이업무 중요한업무를다루는사무실(예. 정보처리시설, 의사결정권자의룸, 따라서업무특성과조직적인문화적배경도고려하여야 칙을적용하여야하며, 책상및화면정책도강화된지침을제시하여야한다. 중요회의실등)은 겹겹의방어 라는보안원 제17절 접근통제 184
중소기업의기술보호를위한 통제항목 네트워크접근통제(Network access control)[ ISO/IEC 27001 A.11.4] 세부보안통제실행지침서 통제목표 네트워크와네트워크서비스에대한사용자접근은다음사항을보장하여네크워크서비스의 네트워크서비스에대한비인가접근을예방하기위함. 네트워크서비스의내 외부양자에대한접근을통제하여야한다. 보안을훼손하지않아야한다. 네트워크서비스사용정책 C) b) a) 조직의네트워크와타조직소유네트워크와공중망사이의적절한인터페이스정의 사용자와장비에적용되는적절한인증메커니즘 정보서비스에대한사용자접근의통제실행 외부접속에대한사용자인증 A.11..4.2] A.11..4.1] 사용자는그들이특별히사용하도록허가된서비스로의접근만을 적절한인증방법을원격사용자의접근통제를위해사용하여야한다. 허용하여야한다. 통제항목 세부 네트워크에서의장비식별 원격진단과구성포트보호 ISO/IEC 27001 A.11..4.3] A.11..4.4] 수단으로고려하여야한다. 자동화된장비식별을특정지역과장비로부터접속을인가하기위한 네트워크에서의분리 [ ISO/IEC 27001 A.11..4.5] 진단과구성포트에대한물리적, 정보서비스, 야한다 사용자, 정보시스템의그룹은네트워크상에서분리하여 논리적접근을통제하여야한다 네트워크접속통제 네트워크라우팅통제 ISO/IEC 27001 A.11..4.6] 공유네트워크에서, 항(A.11.1 접속하는사용자용량은접근통제정책과업무어플리케이션의요구사 참고)에따라제한하여야한다 특히조직의경계를넘어확장되는, 네트워크에 1)물리적접근통제요령 [ ISO/IEC 27001 A.11..4.7] 컴퓨터접속과정보흐름이업무어플리케이션의접근통제정책을 위반하지않기위해네트워크에대한라우팅통제를이행하여야한다 통제항목 -네트워크설비또는장비를잠금장치가최소2중으로되어있는장소에설치 해설 2)논리적인접근통제요령 -외부사람이네트워크가설치된보호장소에서작업을할경우내부자가동행등 -허가된자만이허가된네트워크에접근을보장 4)네트워크구성변경시에는엄격한통제절차를적용 -네트워크장비에로그온시반드시사용자인증수행 5)네트워크경로를침입차단시스템등보안시스템경로를우회하는경로설정금지. 3)네트워트진단/관리를위한도구사용. -관리자와사용자모드를모두지원하는경우분리운영 6)네트워크로그관리등 -비활동접속을자동으로차단등 이때는도구사용을네트워크관리자에한정 제17절 접근통제 185
네트워크서비스사용정책(Policy 사용자는그들이특별히사용하도록허가된서비스로의접근만을허용하여야한다. 1세부통제항목 4. 네트워크접근통제(Network access control)[ ISO/IEC 27001 A.11.4] 2해설 on use of network services)[ ISO/IEC 27001 A.11.4.1]. a) 네트워크및네트워크서비스사용정책을공식화하여야한다. b) c) 이정책에는다음을포함하여야한다.: d) 네트워크접속과네트워크서비스에대한접근을보호하기위한관리통제및절차. 접근이허가된네트워크및네트워크서비스; 접근허용조건); 네트워크및네트워크서비스접근에사용된수단(예. 누가어떤네트워크와네트워크서비스에접근이허가되는지를결정하기위한인가절차; 네트워크서비스의사용정책은업무접근통제정책과일관성을유지하여야한다(A.11.1 인터넷서비스제공자또는원격시스템에다이얼업 이러한통제는민감하거나중요한업무어플리케이션또는고위험지역의사용에대한네트워크접속에대해서 네트워크서비스에대한비인가및안전하지않은접속은조직전체에영향을미칠수있다. 참조) 는특히중요하다. 3실행지침 예) 조직의보안관리및통제외부의공중또는외부지역. -네트워크관리자는네트워크에대한체계적인보안관리를수행하여야하며, -외부네트워크(외부기관및인터넷등)에서의접근은방화벽등과같은침입차단시스템을통하여적절한정 네트워크서비스사용정책의사례는다음과같다 보보호대책이적용된후접속을허용한다. 리를위해보안점검및예방활동을수행해야한다. 네트워크의안정적인운영및관 -전자거래시스템등과같이인터넷기반의서비스를이용할경우정보의변조, -내부망과외부망은분리되어야하며, -외부네트워크에서의비인가된접속을허용할수있는서비스를실행해서는안된다. 분리를수행하여야한다. 업무특성또는보안요구사항에따라필요한경우추가적인네트워크 -네트워크관리자는평소네트워크트래픽을모니터링하여야하며, 으로부터보호받을수있는통제대책을적용하여야한다. 고신속하게대응하여야한다. 이상징후발견시보안담당자에게보고하 공개, 계약부인과같은위협 -사외에서회사의내부네트워크로의운영관리접속은원칙적으로허용하지않는다. 제17절 접근통제 186
외부접속에대한사용자인증(User 적절한인증방법을원격사용자의접근통제를위해사용하여야한다. 1세부통제항목 4. 네트워크접근통제(Network access control)[ ISO/IEC 27001 A.11.4] 2해설 authentication for external connections)[ ISO/IEC 27001 A.11.4.2] 접속출처의보증을제공하기위하여사용될수도있다. 달성될수있다. 원격사용자의인증은예를들면, 기술의실행가능성은다양한가상사설통신망(VPN) 암호에기초를둔기술, 하드웨어토큰또는도전/반응프로토콜을활용하여 예를들어, 다이얼-백모뎀의사용과같은다이얼-백절차와통제는조직의정보처리설비에대해비인가및원 솔루션에서찾을수있다. 전용사설라인은 기위하여이러한특성의사용을억제하여야한다. 하고자하는사용자를인증한다. 사용하지않아야할것이며, 치않는접속에대해보호를제공할수있다. 또는, 이러한통제를사용하는경우, 네트워크서비스가콜포워딩을포함한다면, 이런유형의통제는원격지로부터조직의네트워크에접속을개시 하는것을포함하여야한다. 그렇지않으면, 원격사용자는콜백검증이일어난체하며전화를끊지않고들고있 콜백프로세스가조직쪽에서의접속이실제로끊어짐을보장 조직은콜포워딩을포함하는네트워크서비스를 을수있다. 콜백절차및통제는이러한가능성에대하여완전히시험하여야할것이다. 콜포워딩과관련된취약점을피하 수있다. 의일부이다. 노드인증은안전한, 암호기술, 예를들면기계증명, 공유된컴퓨터설비에접속된경우원격사용자그룹을인증하는대체수단으로서작용할 노드인증을위하여사용될수있다. 이것은여러개의VPN 기반솔루션 통제선정에특별한주의가필요하다. 발견되지않은방해와네트워크트래픽에대한삽입에대해더커다란기회를제공하기때문에무선네트워크의 추가적으로인증통제는무선네트워크에대한접근을통제하기위해이행하여야한다. 취하는것이일반적이다. 3실행지침 사용자인증수단은다음과같은4가지방식이있다. 사용자의신원을확인(Identification)하는것뿐만아니라인증(Authentication)을거쳐접근을허용하는방식을 1) 4) 2) 3) 당신이알고있는것(Something 당신이위치해있는곳(Somewhere 당신이가지고있는것(Something 당신모습자체(Something You Are) You You You 지문인식, Know) Have) Are) 패스워드 콜백(Call 신분증, 홍체OTP Back) (One Time Password), 출입카드 제17절 접근통제 187
네트워크에서의장비식별(Equipment 1세부통제항목 identification 4. 네트워크접근통제(Network 자동화된장비식별을특정지역과장비로부터접속을인가하기위한수단으로고려하여야한다. 2해설 in networks)[ ISO/IEC 27001 access A.11.4.3] control)[ ISO/IEC 27001 A.11.4] 의더많은네트워크가존재하고특별히만약이네트워크가민감성에차이를보이면, 비는연결이허가되었음을분명히나타내야한다. 식별자와첨부는그장비가네트워크에접속에허가되었는지를나타내기위하여사용될수있다. 장비식별은통신이특정지역/장비로부터초기화될수있어야만중요한경우에사용되어질수있다. 장비식별자의보안유지를위해장비의물리적보호에대한고 이식별자는네트워크장 만약하나이상 장치의 려가필요할수도있다. 에추가적으로적용될수있다. 3실행지침 상기통제는장비의사용자를인증하기위한기법의부속물일수있다(A.11.4.2 참조). 장비식별은사용자인증 네트워크시스템및장비보안요령은다음과같다 b) a) 네트워크장비는도입후Default 검토)을득한후적용한다. 을제외한모든기능을해제(불필요한서비스및포트제거)하고필요시보안관리부서의승인(보안성 로제공되는초기값을즉시변경하여야하며, 시스템의설치목적기능 c) 네트워크보안장비의소프트웨어는안정성이입증된가장안전한버전을사용하여야하고, 네트워크장비는물리적으로접근통제할수있는안전한곳에설치하며, 통제한다. 허가된사용자이외에접근을 d) 네트워크장비에대한원격접속은허가된내부운용자이외에모두통제한다. 이제거된이후에네트워크와연결한다. 모뎀을통한원격진단포트는제거하거나불가용상태로운영한다. 특히장비와함께도입된 모든취약점 f) g) e) 장비에할당된IP 네트워크장비의장애처리를위하여인터넷을통한외부엔지니어의접근은일체불허하며부득이한경 우보안관리부서장의승인을득하여허용한다. h) 전원케이블과통신케이블은상호간섭을방지하기위해분리설치한다. 모든통신케이블배선은도청이나손상으로부터보호받을수있도록지하매설또는전용관로를이용 하고비인가자의접근을통제한다. 주소및환경정보, 구성도등은대외비자료로관리한다. i) j) 시스템원격접속이오랫동안유지될경우의해킹위험성을제거하기위한connection SNMP 의승인후에RW(Read SNMP community 정보는보안관제부서와해당운용부서에서만볼수있도록한다.) 는RO(Read Write) community Only)만설정하여사용하는것을원칙으로하되필요시보안관리책임자 를한시적으로설정하여사용할수있다. (단, time-out(20 시스템에대한 k) 용중인OS 내)을설정하여사용한다. 의보안취약점및버그발견시관련기관에통보하여적절한OS 로신속히Upgrade 해야 분이 제17절 접근통제 188
원격진단과구성포트보호(Remote 진단과구성포트에대한물리적, 1세부통제항목 diagnostic and 4. 네트워크접근통제(Network 논리적접근을통제하여야한다. configuration port protection)[ access ISO/IEC control)[ 27001 A.11.4.4] ISO/IEC 27001 A.11.4] 지원하는것을포함한다. 2해설 간의접근요청을약정하는것에의해진단및구성포트에접근할수있도록보장하는것이다. 진단과구성포트접근에대한잠재적통제는키잠금을사용하는것과포트에물리적접근을통제하는절차를 컴퓨터/네트워크설비에설치된포트, 예를들어절차지원의사례는컴퓨터서비스관리자와하드웨어/소프트웨어지원인원 경우에는비활성화하거나제거하여야한다. 서비스및유사한설비가업무기능성을위하여특별하게요구되지않은 설비를포함하여설치된다. 3실행지침 수많은컴퓨터시스템, 네트워크시스템과커뮤니케이션시스템들은유지보수엔지니어에의해원격진단/구성 그들진단포트가보호되지않은경우비인가접근의수단으로제공된다 조직과의긴급한진단이필요한경우에는임시보안서약서의서명후에진행하여야한다. 수있는점을예상하여적절한보안통제를포함한계약/협정을체결하여야한다. 특히내부조직이아닌외부조직의전문가로부터원격진단이이루어지는경우에는사전에원격진단이발생할 만약계약이체결되지않은외부 제17절 접근통제 189
네트워크에서의분리(Segregation 정보서비스, 1세부통제항목 4. 네트워크접근통제(Network access control)[ ISO/IEC 27001 A.11.4] 2해설 사용자, 정보시스템의그룹은네트워크상에서분리하여야한다 in networks)[ ISO/IEC 27001 A.11.4.5] 예를들어, 예를들어공적으로접근할수있는시스템, 제의등급별배열의설정은더나아가네트워크보안환경분리의다른논리적네트워크도메인에적용될수있다, 대형네트워크의보안을통제하는하나의방법은그들을분리된논리적네트워크도메인으로나누는것이다, 도메인내에다른보안요구사항에근거를두고정의하여야한다. 각각이정의된보안경계에의해보호되는조직의내부네트워크도메인및외부네트워크도메인. 내부네트워크및결정적인자산. 그도메인은위험평가및각각의통 야한다. 게이트웨이를설치함으로써이행될수있다. (A.11.4.6 이러한경계는두도메인사이의정보흐름과접근을통제하기위해상호연결되는두네트워크사이에안전한 른방법은조직내에사용자집합을위해가상사설네트워크의사용으로네트워크접근을제한한다. 이러한게이트웨이유형의예는흔히방화벽이라말하는것이다. 및11.4.7 참조) 조직의접근통제정책(A.11.1 이러한게이트웨이는이러한도메인사이의트래픽을여과하고 참조)에따라서인가되지않은접근을봉쇄하도록구성하여 네트워크는또한네트워크장비기능성사용에분리될수있다, 예를들어IP스위칭. 논리적도메인을떼어내어분리하는다 수있다. 접근통제리스트와같은라우팅/스위칭능력을사용한네트워크데이터흐름통제되는것으로실행되는것을할 분리도메인은그다음에 향을고려하여야한다. 이며, 네트워크를도메인으로분리하는기준은접근통제정책및접근요구사항(A.10.1 또한적절한네트워크라우팅또는게이트웨이기술(A.10.4.6 및A.10.4.7 참조)에대한관련비용및성능영 참조)을근거로하여야할것 크에서저장/처리하는정보의가치와등급에근거를두어야한다. 추가적으로, 네트워크의분리는서비스파괴의종합영향을감소하기위한업무라인과신뢰수준등의네트워 기위해이행하여야한다. 하다. 내부와사설네트워크로부터무선네트워크를분리하는것을고려하여야한다. 무선네트워크의경계선은모호 3실행지침 위험평가는네트워크분리를유지하기위한통제(예를들어강력한인증, 암호화기법, 빈도선정)를식별하 크에서저장/처리하는정보의가치와등급에근거를두어야한다. 내부와사설네트워크로부터무선네트워크를분리하는것을고려하여야한다. 추가적으로, 네트워크의분리는서비스파괴의종합영향을감소하기위한업무라인과신뢰수준등의네트워 기위해이행하여야한다. 하다. 위험평가는네트워크분리를유지하기위한통제(예를들어강력한인증, 암호화기법, 무선네트워크의경계선은모호 빈도선정)를식별하 제17절 접근통제 190
네트워크접속통제(Network 공유네트워크에서, 1세부통제항목 connection control)[ 4. 특히조직의경계를넘어확장되는, ISO/IEC 네트워크접근통제(Network 어플리케이션의요구사항(A.11.1 참고)에따라제한하여야한다. 네트워크에접속하는사용자용량은접근통제정책과업무 27001 A.11.4.6] access control)[ ISO/IEC 27001 A.11.4] 제한할수있다. 조)사용자의접속능력은이미정의된테이블과규칙에다른트래픽여과에대한네트워크게이트웨이를통하여 2해설 제한을적용하여야하는어플리케이션의예는다음과같다: 사용자의네트워크접근권한은접근통제정책에따라요구되는경우유지보수하고갱신하여야한다(A.11.1.1 참 a) b) c) d) 대화식접근; 메시징, 파일전송; 어플리케이션접근. 예를들면전자우편; 3실행지침 일일또는날짜의확실한시간에네트워크접속권한이연결된것은고려하여야한다. 네트워크접근계정및사용자권한관리요령은다음과같다 -모든패스워드는영문자/숫자를조합하여8 -시스템공급시제공되는디폴트ID 및패스워드를즉시변경해야한다. -사용자의로그온기록및사용이력은로그로기록후1 -퇴직자, -패스워드는최소3 휴직자, 계약해지자등무자격자ID는사유발생일에즉시삭제한다. 개월주기로변경하여야한다. 자리이상으로한다. 개월이상유지한다. 제17절 접근통제 191
네트워크라우팅통제(Network 1세부통제항목 routing control)[ 4. 제를이행하여야한다. 컴퓨터접속과정보흐름이업무어플리케이션의접근통제정책을위반하지않기위해네트워크에대한라우팅통 ISO/IEC 네트워크접근통제(Network 27001 A.11.4.7] access control)[ ISO/IEC 27001 A.11.4] 보안게이트웨이는만약프록시및네트워크주소번역기술이사용된내부및외부의네트워크통제지점에발신 라우팅통제는명확한소스및목적지주소점검메커니즘에근거하여야한다. 2해설 공유네트워크, 지및목적지주소를입증하는데사용될수있다. 그네트워크라우팅통제를위한요구사항은접근통제정책에근거를두어야한다(A.11.1 이행자는전개되는메커니즘의강도및결점을인식하여야한 용자와공유하는네트워크인경우적용된다. 참조). 3실행지침 특히조직경계를벗어나는경우, 추가적인라우팅통제가요구될수있다. 이는특별히제3자사 b) a) 일반적인라우터의보안설정요령은다음과같다 사용하지않는다. 패스워드는암호화하여저장되도록환경을설정하며, 패스워드는최소3 개월을주기로변경하여야한다. 읽기모드와쓰기모드의패스워드를동일하게 d) c) 3 권한은특별한경우를제외하고는Read-Only SNMP 이상을사용한다. Community String 또한SNMP 으로기본적으로제공되는Public 는ACL 을적용하여서비스를제한한다. 로운영하고, 전송암호화기능을제공하는SNMP 이나Private 을사용해서는안되며, SNMP e) Banner에보안경고를설정한다. 특별한경우를제외하고라우터에서Directed 라우터관련정보는나타내지않아야한다. Broadcast 및ICMP Redirect 기능을제거한다. Version g) h) f) 라우터운영에불필요한모든서비스를제거하여야한다. Http, 발신지주소가변조된비정상적인패킷은가능한한유입되는해당인터페이스에서필터링한다. Auto R-Service, Loading 기능을제거한다. Finger, CDP, Proxy ARP, Bootp 등) (Cisco Discovery Protocol, Tcp Udp Small 서비스, i) 유해트래픽으로네트워트장애가발생할경우적절하게대응하여야한다. 제17절 접근통제 192
중소기업의기술보호를위한 통제항목 운영시스템접근통제(Operating system access control)[ ISO/IEC 27001 A.11.5] 세부보안통제실행지침서 운영시스템에대한비인가접근을예방하기위함 통제목표 a) 이설비는다음과같은능력을발휘하여야한다. b) 보안설비는비인가사용자에대한운영시스템접근을제한하기위해사용되어야한다. c) d) 특별한시스템권한의사용기록 접근통제정책에따른인가된사용자의인증 e) 성공또는실패한시스템인증시도의기록 f) 안전한로그온절차 적절한경우사용자의접속시간제한 인증을위한적절한수단제공 시스템보안정책의위반시경보제기 사용자식별및인증 A.11.5.1] 운영시스템접근을안전한로그온절차에의해통제하여야한다. 통제항목 세부 패스워드관리시스템 ISO/IEC 27001 A.11.5.2] 모든사용자는개인적인사용만을위한유일한식별자(사용자ID)를가져 A.11.5.3] 패스워드관리시스템은상호작용하여패스워드의품질을보장하여야한다. 야하며사용자의신원을확인하기위해적절한인증기법을선택하여야 [ 시스템유틸리티의사용 세션시간종료 ISO/IEC 27001 A.11.5.4] A.11.5.5] 시스템과어플리케이션통제보다우선하는유틸리티프로그램의사용을 제한하고, 활동하지않는세션은정의된비활동시간이지나면종료하여야한다. 엄격하게통제하여야한다. 접속시간의제한 [ ISO/IEC 27001 A.11.5.6] 접속시간의제한은고위험어플리케이션을위한부가적인보안을제공 하기위하여사용하여야한다. 통제항목 1)연결된프로세스가성공적으로완료될때까지시스템이나어플리케이션식별자를화면에나타내지 해설 2)강력한인증및요구된증명의확인, 3)책임추적성을유지하기위하여개인사용자ID 않으며컴퓨터는인가된사용자에의해서만접근되어야할것이라는일반적인주의경고를제공한다. 생체수단을사용하는것을고려한다 주기적인패스워드의변경을요구한다. 용자가자신의암호를선택하고변경, 인증방법으로패스워드의대안인암호, 입력에러를확인하는절차포함하고안전한패스워드의선택과 및패스워드의사용을요구하며패스워드시스템은사 스마트카드, 토큰또는 4)신뢰있고, 5)세션시간과접속시간을제한하여비인가접근을예방한다. 자동으로로그아웃되는기능을설정하여비인가접근을통제한다 인가된최소한의사용자에게시스템유틸리티사용을제한하며사용하지않을경우 제17장 접근통제 193
안전한로그온절차(Secure 운영시스템접근을안전한로그온절차에의해통제하여야한다. 1세부통제항목 2해설 log-on procedures)[ ISO/IEC 27001 A.11.5.1] (Operating system access control)[ 5. 운영시스템접근통제 ISO/IEC 27001 A.11.5] 한다. 지않은사용자에게불필요한도움을제공하는것을피하기위하여시스템에관한최소한의정보를공개하여야 모범적인접속절차는다음과같다: 컴퓨터시스템에접속하는절차는비인가접근기회를최소화하도록설계하여야한다.연결된절차는인가되 d) b) c) a) 로그온도중에는비인가사용자를도울수있는도움말을제공하지않아야한다.; 로그온프로세스가성공적으로완료될때까지시스템/어플리케이션식별자를화면에나타내지않아야한다.; 데이터의어느부분이옳거나틀린가를지적하지않아야한다.; 컴퓨터는인가된사용자에의해서만접근하여야할것이라는일반적인주의경고를보여준다.; e) 로그온을성공하지못하는경우, 모든입력데이터가완료된경우에만접속정보를확인하여야한다. 1) 실패와성공의시도를기록; 허용재시도횟수제한, 다음을고려하여야한다.: 에러상황발생하는경우, 시스템은 3) 2) 데이터연결접속을끊음; 추가로그온시도허용이전에시간지연을강요또는특정인가없이추가시도거절; f) g) 로그온최대및최소허용시간을제한. 4) 5) 패스워드의최소길이와재시도패스워드의수, 만약접속시도의최대수치에도달하였다면, 만일초과하는경우시스템은로그온을종료; 시스템콘솔에경고메시지전달; 보호대상시스템가치를설정; h) 입력된패스워드를보여주지않거나, 성공적인로그온완료시다음정보를보여준다.: 1)이전의성공적으로접속된날짜및시간; 2)마지막성공적으로접속된이후고장한연결시도에대한세부사항; 심볼화된패스워드문자로숨기는것을고려.; 의해잡힐수있다. i) 네트워크사에명확한문자로패스워드를전송하지않음. 3실행지침 패스워드가네트워크상의로그온세션동안명확한문자로전송되는경우, 네트워크상의 스니퍼 프로그램에 활성화되어있는경우를말한다. 위한암호화(A.11.3.1 운영시스템에대한접속절차뿐만아니라접속후의세션관리도매우중요하다. 참조)와2) 세션의지속적인인증방식이다. 이를위한보안방법은1) 세션하이재킹또는네트워크패킷스니핑에대응하기 세션이란컴퓨터간접속으로 입력해야만이재인증되는방식이다. 세션의지속적인인증을위한대표적인방식이화면보호기를설정하는것이다. 이는원격에서접속해도동일한방식이적용된다. 일정시간이지나면다시암호를 제17절 접근통제 194
사용자식별및인증(User 모든사용자는개인적인사용만을위한유일한식별자(사용자ID)를가져야하며사용자의신원을확인하기위해 1세부통제항목 identification and authentication)[ ISO/IEC (Operating 적절한인증기법을선택하여야한다. 27001 system A.11.5.2] access control)[ 5. 운영시스템접근통제 ISO/IEC 27001 A.115] 베이스관리자)을위해적용하여야한다. 2해설 터실행되지않는다. 이통제는사용자의모든유형(예를들면, 사용자ID는책임이있는개인의활동의추적에사용하여야한다. 기술지원자, 운영자, 네트워크관리자, 정규사용자활동은특권을가진계정으로부 시스템프로그래머및데이터 사용될수있다. 통제가요구될수있다. 개인에의해사용하는일반ID는그기능에접근가능또는추적이불필요한ID에의해수행되는활동(예. 예외적인상황에서, 이러한경우, 명확한사업상의이익이있는경우, 관리자에의한승인을문서화하여야한다. 사용자그룹또는특정업무를위해공유사용자ID가 전용), 기타통제가적용되는경우(예. 한때에한직원에게배부한일반ID와패스워드와그러한사례의로깅)에한 책임추적성을유지하기위하여추가적인 해허용되어야한다. 읽기 한대안의인증방법으로사용하여야한다. 3실행지침 강력한인증과신원확인검증이요구되는경우, 암호화수단, 스마트카드, 토큰, 생체수단등을패스워드에대 운영체제의접근제어방식은전형적으로다음과같다. 사용자식별및인증방식은1) 운영체제접근, 2) 데이터베이스접근, 3) 네트워크접근에적용된다. 서비스이름 사용포트 비고 유닉스(니눅스포함) XDMCP Telnet SSH 23 22 텔넷 FTP 6000 21 유닉스용GUI(Xmanager) 파일전송서비스 SFTP 가능 윈도우 GUI 터미널서비스 관리용툴 3389 - 포트변경가능 -윈도우는터미널서비스와GUI관리툴모두암호화제공하므로특정인터페이스제한불필요 -유닉스는텔넷에암호화된세션을제공하지않아스니핑및세션하이재킹에취약함. 아이디와패스워드획득가능하여SSH나XDMCP사용권고 VNC, Radmin FTP도스니핑을통해 제17절 접근통제 195
패스워드관리시스템(Password 패스워드관리시스템은상호작용하여패스워드의품질을보장하여야한다. 1세부통제항목 management system)[ ISO/IEC 27001 (Operating A.11.5.3] system access control)[ 5. 운영시스템접근통제 ISO/IEC 27001 A115] a) 2해설 c) b) 패스워드관리시스템은다음과같아야한다: d) 좋은패스워드의선택을요구(A.11.3.1 책임추적성을유지하기위하여개인별사용자ID와패스워드사용을강요하여야한다.; e) 사용자가최초연결시임시패스워드를변경하도록요구(A.11.2.3 패스워드의변경을요구(A.11.3.1 사용자가자신의패스워드를선택하고변경하도록허용하고입력에러를확인하는절차를포함하여야한다.; f) 사용자패스워드기록을유지하며재사용을금지하여야한다; 참조); 참조); g) h) 어플리케이션시스템데이터와패스워드파일을분리하여저장하여야한다; 입력과정에화면에패스워드를보여주지않아야한다; 참조); i) 패스워드는컴퓨터서비스에접근하는사용자의권한을확인하는원칙적인수단이다. 보호된(예를들면, 암호화및해시함수)형태로패스워드를저장하고전송하여야한다. 는다. 3실행지침 일부어플리케이션은독립적인권한에의해지정된사용자패스워드를요구한다; 대부분의경우패스워드는사용자가선정하고유지한다. 패스워드사용에대한지침은A.11.3.1을참조. b), d), e) 지침은적용되지않 는정보의중요도가높을수록자주바꾸어주어야한다. 든패스워드라할지라도영원히안전할수는없다. 매우중요한패스워드일수록공격자에게동기가부여되어그만큼노출위험이클수밖에없다. 패스워드의입력빈도가높을수록, 적절한패스워드정책은이를강제화할필요가있다. 패스워드를이용해보호하 아무리잘만 1) 2) 패스워드관련주요정책은다음과같다 패스워드길이와복잡도를설정. 패스워드설정정책 3) 일반적으로2개월, 패스워드변경정책3개월단위로변경, 연속된숫자나알파벳은피하고특수문자와혼횽 반복된입력은크래킹또는비인가자의접근시도로간주 잘못된패스워드입력시계정잠금 과거사용패스워드사용금지등 제17절 접근통제 196
시스템유틸리티의사용(Use 시스템과어플리케이션의통제보다우선하는유틸리티프로그램사용을제한하고,엄격하게통제하여야한다. 1세부통제항목 2해설 of system utilities)[ ISO/IEC 27001 A.11.5.4] (Operating system access control)[ 5. 운영시스템접근통제 ISO/IEC 27001 A.115] a) b) c) 시스템유틸리티의사용을위해서다음지침을고려하여야한다. d) 신뢰있고, 시스템유틸리티에대한식별, 어플리케이션소프트웨어로부터시스템유틸리티의분리; 시스템유틸리티의특정한사용을위한인가; 인가된최소의사용자로시스템유틸리티사용을제한(A.11.2.2 인증및인가절차의사용; e) f) 시스템유틸리티의가용성을제한, 시스템유틸리티의모든사용을기록; 예를들어, 인가된변경기간동안; 참조); g) i) h) 하지않음. 모든불필요한소프트웨어기반유틸리티및시스템소프트웨어를제거또는무능력화; 직무분리가요구되는경우, 시스템유틸리티의인가수준을정의하고문서화; 대부분의컴퓨터설치는시스템과어플리케이션통제를우선하는능력을가진2개이상의시스템유틸리티프 시스템의어플리케이션에접속하는사용자에게가용한시스템유틸리티를제공 로그램을가지고있다 들이사용한다. 3실행지침 이사용할수있게방치되는경우가있어심각한보안사고의원인이될수있다. 데이터베이스튜닝, 그러나인원이부족한소규모기업에서는그러한유틸리티를어플리케이션엔지니어나기타인원 SQL 튜닝, 데이터백업및복구등과같은유틸리티는운영체제를관리하는일부엔지니어 는것도빠져서는안된다. 유틸리티의사용을위한인가등의통제는위해설을참조한다. 이러한유틸리티를사용할수있는직무를한정하는것이바람직하다. 아울러유틸리티의사용로그를유지하 제17절 접근통제 197
세션시간종료(Session 활동하지않는세션은정의된비활동시간이지나면종료하여야한다. 1세부통제항목 2해설 time-out)[ ISO/IEC 27001 A.11.5.5] (Operating system access control)[ 5. 운영시스템접근통제 ISO/IEC 27001 A.115] 종료한다. 케이션그리고장비의사용자와관련된위험을고려하여야한다. 타임아웃설비는정의된비활동시간이지나면세션화면을지우고난후에어플리케이션과네트워크세션을 타임아웃설비의제한된형태가일부시스템을위해제공될수있다. 타임아웃을연기하는것은구역의보안위험을반영하여야하며, 이는화면을지우고비인가접근을방지 취급된정보의등급과사용된어플리 하지만어플리케이션또는네트워크세션을종료하지는않는다. 원의접근과서비스부인공격을방지하기위해셧다운되어져야한다 3실행지침 이통제는조직의보안관리를벗어난공중또는외부영역의고위험지역에서특히중요하다. 세션은비인가인 활성화되어있는경우를말한다. 위한암호화와2) 운영시스템에대한접속절차뿐만아니라접속후의세션관리도매우중요하다. 세션의지속적인인증방식이다. 이를위한보안방법은1) 세션하이재킹또는네트워크패킷스니핑에대응하기 세션이란컴퓨터간접속으로 입력해야만이재인증되는방식이다. 암호화는A.11.3.1을참조한다 세션의지속적인인증을위한대표적인방식이화면보호기를설정하는것이다. 이는원격에서접속해도동일한방식이적용된다. 일정시간이지나면다시암호를 제17절 접근통제 198
접속시간의제한(Limitation 1세부통제항목 접속시간의제한은고위험어플리케이션을위한부가적인보안을제공하기위하여사용하여야한다. of connection time)[ ISO/IEC 27001 A.11.5.6] (Operating system access control)[ 5. 운영시스템접근통제 ISO/IEC 27001 A115] 설치된단말기를가진컴퓨터어플리케이션과같이민감한컴퓨터어플리케이션에대하여고려하여야한다. 2해설 이러한제한의예는다음을포함한다. a) 접속시간통제는특히, 예를들어, 배치파일전송또는단기간의정규상호작용시간과같은미리정해진시간대를사용함; 예를들어, 조직의보안관리밖에있는공공또는외부구역과같은고위험의위치에 c) b) 재인증시간의간격을고려; 오버타임이나연장된시간운영에대한요구사항이없다면, 접속시간을정규업무시간으로제한함; 는것은재인증을방지를위해열려있는세션을취하려고하는사용자를예방할수있다 3실행지침 컴퓨터서비스에대한접속시간을제한하는것은비인가접근의기회를줄일수있다. 활성화된세션의제한하 PC가있는경우에는비인가접근에노출된상태이기때문에세션과접속시간의제한을통해위협에노출시간을 줄일수있다. 세션과접속시간의제한은책상및화면정리통제(A.11.3.3 참조)와관계가있다. 자리이석후사용하지않은 시사용자수의증가하고따라서응답시간과처리시간이늘어나는성능저하현상발생을예방할수있다. 예를들어인터넷뱅킹의경우, 또한접속시간은일정수준의사용자접속건수를유지하여최대의성능을유지하기위한목적으로도활용된다. 따라서인터넷쇼핑몰, 인터넷뱅킹등과같은대중을소비자로하는사업을영위하는시스템은접속시간제한 많은사용자들이접속후뱅킹작업을마치고로그아웃하지않은경우가있어동 을반드시고려하여야할필요가있다. 제17절 접근통제 199
중소기업의기술보호를위한 통제항목 어플리케이션과정보접근통제(Application and information access control)[ 세부보안통제실행지침서 어플리케이션시스템에서소유하는정보에대한비인가접근을예방하기위함 ISO/IEC 27001 A.11.6] 통제목표 보안설비를어플리케이션시스템내의정보와그시스템에접근하는것을제한하기위해사용 a) 한하여야한다. 어플리케이션은다음을이행하여야한다 규정된접근통제정책에따라사용자가정보와어플리케이션시스템기능접근을통제 어플리케이션소프트웨어와정보에대한논리적접근은인가된사용자에대해제 b) c) 모든유틸리티에의한비인가접근으로부터보호 공유정보자원을가진타시스템을훼손하지않음 운영시스템소프트웨어, 시스템/어플리케이션통제를무력화하는능력을가진악성코드등 통제항목 세부 정보접근제한 민감한시스템분리 [ ISO/IEC 27001 A.11.6.1] A.11.6.2] 사용자와지원하는직원에의한정보와어플리케이션의접근은정 민감한시스템은분리된컴퓨팅환경을가져야한다. 의된접근통제정책에따라서제한하여야한다. 1)2종류의접근정책 어플리케이션과정보에접근제한은포괄적인접근통제정책또는원칙과각어플리케이션과정보의 세부접근통제정책으로구분된다, 통제항목 에초점을두며세부정책은각어플리케이션과정보에대해자산의소유자의요구사항에따라달리 포괄적인정책은접근자체의통제(예, 신원확인및인증, 계정관리) 해설 2)접근제한의요령은다음과같다 정의된다(예. -접근자에대한신원확인및인증 가격정보수정시수정권한을관리팀장계정에제한). 3)민감한시스템의분리 -각접근자의읽기, -합법적인접근에대해서도접근이력을별도로로깅 -기밀정보의변경과유출접근요청에대한자산소유자의인가 쓰기, 수정하기, 삭제하기, 다운로드하기등에대한별도의계정부여 -위험평가결과정의된민감한자산과그위험을고려하여컴퓨팅환경을분리한다. -컴퓨팅환경의분리는자산의유출, (예. 주문관리, 재무관리, 인사관리시스템등) 변조등의위험을완화하는데커다란역할을한다 제17절 접근통제 200
정보접근제한(Information 사용자와기술지원인원에의한정보와어플리케이션의접근은정의된접근통제정책에따라서제한하여야한다. 1세부통제항목 access restriction)[ ISO/IEC (Application 2해설 27001 A.11.6.1] and information access 6. 어플리케이션과정보접근통제 control)[ ISO/IEC 27001 A116] 에일치하여야한다(A.11.1 다음과지침을적용하는것을접근제한요구사항에지원하기위해고려하여야한다.: 접근제한은개별업무어플리케이션요구사항에근거하여야한다. 참조) 그접근통제정책은또한조직의접근정책 c) d) b) a) 기타어플리케이션의접근권한을통제함; 어플리케이션시스템기능에대한접근을통제하기위한메뉴를제공함; 민감한정보를다루는어플리케이션시스템의출력물이그출력물의사용과관련한정보만을포함하고있다는 사용자의접근권한을통제하는것. 예를들어, 쓰고, 읽고, 지우고, 실행; 3실행지침 것과, 검토를포함. 인가된터미널과위치로만이전송되는것을보장; 이는중복되는정보가제거됨을보장하는정기적인 접근통제정책으로구분된다, 보수정시수정권한을관리팀장계정에제한). 며세부정책은각어플리케이션과정보에대해자산의소유자의요구사항에따라달리정의된다(예. 어플리케이션과정보에접근제한은포괄적인접근통제정책또는원칙과각어플리케이션과정보의세부 포괄적인정책은접근자체의통제(예, 신원확인및인증, 계정관리)에초점을두 접근제한의요령은다음과같다 가격정 -각접근자에대한신원확인및인증 -각접근자의읽기, -합법적인접근에대해서도접근이력을별도로로깅 -기밀정보의변경과유출접근요청에대한자산소유자의인가 쓰기, 수정하기, 삭제하기, 다운로드하기등에대한별도의계정부여 제17절 접근통제 201
민감한시스템분리(Sensitive 민감한시스템은분리된컴퓨팅환경을가져야한다. 1세부통제항목 system isolation)[ ISO/IEC (Application 27001 A.11.6.2] and information access 6. 어플리케이션과정보접근통제 control)[ ISO/IEC 27001 A116] a) 2해설 b) 위험을식별하고민감한어플리케이션의소유자에의해수용되어야한다. 어플리케이션시스템의민감성을어플리케이션소유자(A.7.1.2 민감한어플리케이션이공유환경에서작동되는경우, 아래와같은점들을민감한시스템격리를위해고려하여야한다.: 자원을공유하게되는어플리케이션시스템과상응하는 참조)가명확히파악하고, 문서화하여야한다; 플리케이션이다음과같은환경에서작동되어야함을암시한다 a) b) 일부어플리케이션시스템은특별한취급을필요로하는잠재적손실에충분히민감하다. 전용컴퓨터에서작동하거나 신뢰할만한어플리케이션시스템과자원을공유하기만한다 이러한민감성은어 3실행지침 격리는물리적또는논리적방법을사용하여달성할수있다(A.11.4.5 참조) 적으로분리된컴퓨팅환경을가져야한다. 인사, 물리적의분리는상이한컴퓨터(서버와운영체제, 재무, 회계, 주문등회사의주요기밀을다루는있다고생각되는시스템은타시스템과물리적또는논리 동일한컴퓨터라할지라도다른논리적도메인의네트워크환경에서작동됨을의미한다. 민감한어플리케이션시스템은타시스템과의자원공유를최소화하도록아키텍쳐와설계를고안하여야한다. DBMS, 네트워크등)에서작동한다는것이고논리적분리는 예를들어생산시스템의생산실적이재무시스템의매출과생산비용으로연계되는경우재무시스템에서는생산실 이렇게되면생산시스템과의자원공유를최소화할수있어재무시스템의민감한데이터유출을예방할수있다. 적에대한정보를수신하여별도의데이터베이스에보관하였다가일마감시에활용하는방법을취하는것이다. 제17절 접근통제 202
중소기업의기술보호를위한 통제항목 이동컴퓨팅및원격근무(Mobile computing and teleworking)[ ISO/IEC 27001 세부보안통제실행지침서 통제목표 이동컴퓨팅과원격근무설비가사용될때정보보안을보장. A.11.7] 통제항목 세부 이동컴퓨팅및통신 원격근무 [ ISO/IEC 27001 A.11.7.1] A.11.7.2] 이동컴퓨팅과통신설비사용으로인한위험으로부터보호하기위해적 절한공시적인정책을수립하고보안대책을강구하여야한다. 원격근무를위한정책, 운영계획, 절차를개발하고이행하여야한다. 통제항목 1) 이동컴퓨팅과원격근무가필요한경우에는위험평가결과에따라적절한보안통제를적용한다. 해설 불필요한경우에는통제대상에서제외한다. 2) 사용자인증(일회용패스워드, 3) 차단시스템의운영규칙을어긴경우에는접속을차단한다. 4) 외부에서내부시스템에접속하는경우에는가상사설망(VPN)을활용한다. 외부로부터의접속은침입차단시스템에서의인증절차를거쳐인가자만이사용을가능하게한다. 인증서기반인증, 지문인식인증, 생체인식인증)을사용한다. VPN은필요한경우, 강력한 5) 6) 원격근무를위해서는접속에서근무종료까지의운영절차와방법을문서화하여이행한다. 원격근무종료이후인가, 이동컴퓨팅및원격근무에대한로그기록유지를검토한다 접근권한의제거, 장비의회수등을고려한다 침입 제17절 접근통제 203
이동컴퓨팅및통신(Mobile 이동컴퓨팅과통신설비사용으로인한위험으로부터보호하기위해적절한공시적인정책을수립하고보안대 1세부통제항목 computing and Communications)[ (Mobile 책을강구하여야한다. ISO/IEC computing 27001 A.11.7.1] and teleworking)[ 7. 이동컴퓨팅및원격근무 ISO/IEC 27001 A.11.7] 무정보가손상되지않도록보장하기위한특별한관심이기울여져야한다.이동컴퓨팅장비로작업하는위험, 2해설 히보호되지않은환경에서의위험을고려한이동컴퓨팅정책을고려하여야한다. 예를들어, 노트북, 팜탑, 랩탑, 스마트카드및이동전화와같은이동컴퓨팅및통신장비를사용하는경우, 업 이동컴퓨팅정책은물리적보호, 접근통제, 암호기술, 백업및바이러스보호에대한요구사항을포함하여야한특 지침을포함하여야한다. 공공장소, 이러한정책은또한이동설비를네트워크에연결하는규칙과조언,공공장소에서이러한설비의사용에대한 대한인가되지않은접근또는유출을피하기위해보호가있어야한다(A.12.3 의를기울여야한다. 회의실및기타조직의사업장밖의보호되지않은구역에서이동컴퓨팅설비를사용하는경우, 예를들어, 암호기술을사용하는것과같이이러한시설에의해저장되거나처리되는정보에 참조). 주 한다. 공공장소에서이동컴퓨팅설비의사용자는비인가자부터간과될수있는위험을피하기위해주의를하여야 중요업무정보의백업은정기적으로실시하여야한다. 악성소프트웨어에대비한절차를갖추어야하며최신으로유지하여야한다(A.11.4 이들백업은도난/정보손실에대비하여적절히보호되어야한다. 정보의백업이신속하고쉽게할수있도록장비가가용 참조) 여야한다(A.11.4 망을통해업무정보에원격으로접근하는것은신원확인과인증이후에적절한접근통제매커니즘에따라가능하 네트워크에연결된이동설비의사용을위해적절한보안이유지되어야한다. 참조) 이동컴퓨팅설비를사용하여공중 특정절차는이동컴퓨팅설비의도난또는손실의경우를위하여확립하여야한다. 남겨두었을경우도난에대해물리적으로보호하여야한다. 중대한업무정보를담고있는장비는방치되지않아야할것이며, 이동컴퓨팅설비는특히예를들어, 자동차및다른형태의교통수단, 법적, 보험및조직의다른보안요구사항설명아래 가능하면물리적으로시건되거나장비를보호 호텔방, 컨퍼런스센터및회의실안에 중요하고민감하고및/또는 하여이동컴퓨팅을사용하는인원에대한교육훈련이계획하여야한다. 하기위하여특별한잠금장치가사용하여야한다(A.9.2.5 참조). 3실행지침 이러한작업방식으로부터발생하는부가적인위험및구현하여야할통제에대한사용자의인식을높이기위 b) 과같은차이가있다. a) 일부무선보안프로토콜은미성숙하고고알려진취약성을갖고있다 이동컴퓨터에저장된정보는제한된네트워크대역폭과백업시간에연결되지않을수있어백업되지않는다. 무선이동네트워크접속은다른유형의네트워크접속과유사하지만신원확인통제시고려하여야하는다음 전형적인차이는 제17절 접근통제 204
원격근무(Teleworking)ISO/IEC 원격근무를위한정책, 1세부통제항목 2해설 운영계획, 27001 절차를개발하고이행하여야한다. A.11.7.2] (Mobile computing and teleworking)[ 7. 이동컴퓨팅및원격근무 ISO/IEC 27001 A.11.7] 활동을인가하여야한다. 예를들어, 조직은적절한보안제도와통제가갖추어지고조직의보안정책을준수하는것이만족되는경우에만원격근무 야하며적절한제도가이러한근무방식에대해적합하다는것을보장하여야한다. 설비의오용에대해원격근무장소의적절한보호가있어야한다. 장비및정보의도난, 정보의인가되지않은유출, 조직의내부시스템으로비인가원격접근또는 다음과같은문제들을고려하여야한다.: 원격근무활동이관리자에의해인가,통제되어 a) c) b) 전달되는정보의민감성과내부시스템의민감성; 조직내부시스템으로의원격접근에대한필요성을고려한통신보안요구사항,통신연결을통해접근, 원격근무지역의기존의물리적보안, 제안된물리적원격근무환경; 건물과지역환경의물리적보안고려; e) d) 홈네트워크의사용및무선네트워크서비스구성의요구사항또는제한; 예를들어, 가족과친구와같이숙소를사용하는다른사람으로부터정보/자원에대한비인가접근의위협; h) f) g) 개인적으로소유된장비로개발된지적재산권의논쟁방지정책및절차; i) 조직에서의소프트웨어라이센스동의는종업원, 사적으로소유된장비의접근(기계또는조사하는동안보안점검)은법률로방어될것이다.; 계약자또는제3의사용자로부터사적으로소유된워크 3실행지침 바이러스퇴치보호및방화벽요구사항. 스테이션에서고객소프트웨어를위한라이센스를위해서책임져야될것이다. ; b) a) 장비의사용은허용되자않는다.; 원격근무를위해필요한지침과제도는다음을포함하여야한다.: 내부시스템및서비스에관한규정; 원격근무활동을위한적절한장비와보관가구에대한제공, 허용된작업, 작업시간, 소유될수있는정보의분류와원격근무작업자가접근하도록인가된 조직의통제하에있지않은사적으로소유된 c) d) e) f) 안전한원격접근방법을포함한적합한통신장비의제공; g) 하드웨어및소프트웨어제공및유지보수; 장비와정보에대한가족과방문자접근에대한규칙및지침; 물리적보안; j) h) i) 원격근무활동이마무리되는경우, 감사및보안모니터링; 백업및사업연속성을위한절차; 보험제공; 원격근무는조직의외부고정장소에서원격으로작업이가능한개인에대한통신기법이를사용한다. 인가, 접근권한의철회및장비의회수. 제17절 접근통제 205
중소기업의기술보호를위한 통제항목 정보시스템의보안요구사항(Security requirements of information systems)[iso/iec 세부보안통제실행지침서 27001 A.12.1] 통제목표 정보시스템은운영시스템, 보안이정보시스템의필수불가결한파트임을보장하기위함. 케이스의일부로정당화, 치명적일수있다. 플리케이션을포함한다. 모든보안요구사항을프로젝트요구사항단계에서식별하고, 정보시스템의개발과구현이전에보안요구사항을파악, 업무프로세스를지원하는정보시스템의설계와구현은보안을위해c 합의, 기반구조, 문서화하여야한다. 업무어플리케이션, 패키지제품, 정보시스템의개괄적인비즈니스 서비스, 합의하여야한다. 사용자개발어 통제항목 세부 보안요구사항분석및명세화 [ISO/IEC 1)정보시스템의신규개발또는업그레이드, 27001 A.12.1.1] 신규시스템또는기존시스템의개선에대한업무요구사 항에보안통제요구사항을적시하여야한다. 통제항목 포함하여야한다. 유지보수등의경우에는필요한보안통제요구사항을 해설 2)보안요구사항의사례는다음과같다 3)보안요구사항은업무요구사항분석과병행하여요구사항을동시에확정하여야한다. -어플리케이션의접근통제 4)보안요구사항의출처는다음과같다 -어플리케이션접근및정보처리로그유지 -어플리케이션이처리하는정보의접근통제, -어플리케이션의정보처리권한의통제 -어플리케이션과정보의소유자 -관련법규및표준 -조직의보안정책, 절차및지침 제18절 정보시스템 획득, 개발 및 유지 206
보안요구사항분석및명세화(Security 신규시스템또는기존시스템의개선에대한업무요구사항에보안통제요구사항을적시하여야한다. 1세부보안통제항목 requirements analysis and 1. 정보시스템의보안요구사항[ISO/IEC specification) 27001 A.12.1.1] 27001 A.12.1] 발/개선시스템요구사항명세서에반영하여야한다는요구사항이다 2해설 정보시스템을신규로개발하거나기존시스템을개선하는경우보안통제요구사항을파악하여그내용을개 한다.업무어플리케이션을개발하거나구매소프트웨어패키지를평가할때도상기2가지의통제를동일하게 고려한다. 통제요구사항에대한명세에는정보시스템에반영하는자동화된통제와, 수작업통제의필요성을모두고려 있는잠재적업무적피해를반영하여야한다. 정보보안을위한시스템요구사항과보안프로세스는정보시스템프로젝트의초기단계로통합한다.설계단 보안요구사항과통제는수반되는정보자산(A.7.2 참조)의업무적가치와보안고장또는부재로발생할수 보안요구사항을다룬다. 계에서도입되는통제는구현과정또는이후에포함되는통제보다이행과유지를위해훨씬적은비용이든다. 며제품구매에앞서관련통제를재고려한다. 을불능화하거나개선기능의획득대비효과를결정하기위해검토한다. 만약제품을구매한경우, 제품에제안된보안기능이명시한요구사항을충족하지않으면위험이유입되게되 공식적인시험및획득프로세스를따라야한다. 추가적인기능이공급되어보안위험을야기하는경우, 공급자와의접촉을통해파악된 적절하다고판단되는경우, 예를들어비용문제등으로, 경영자는독립적으로평가되고인증된제품의사용 그기능 을원할수있다. 한다. ISO/IEC TR 13335-3에서는보안통제요구사항을파악하기위한위험관리프로세스의적용에대한지침은제공 IT보안제품의평가기준에대한상세정보는ISO/IEC 15408 또는기타인증/평가표준을참조 한다. 행이잘지켜지나, 3실행지침 구사항의일부로간주하여개발/개선요구사항명세서에반영하는제도의정립이선행되어야한다. 정보시스템을신규로개발하는경우에는보안관리조직과협업을통해요구사항을파악하고명세화하는관 보안요구사항은시스템에서다루는정보자산의사업적가치에따라좌우되며일반적으로신규개발의경우 기존시스템의개선의경우에는이를생략하는경우가종종있다. 보안요구사항을업무요 에는 보안위험평가 를실시하고기존시스템개선의경우에는 보안취약성점검 의형태로보안요구사항을 파악한다. 가참여하도록하고, 가장핵심적인요구사항을정확하게파악하고있다. 보안요구사항은시스템에서다루는정보자산의사업적가치에좌우됨으로해당정보자산의소유자가 요구사항에따른보안솔루션의도입등은보안전문가의도움을받도록한다 따라서보안요구사항을파악하는단계에서정보의소유자 제18절 정보시스템 획득, 개발 및 유지 207
중소기업의기술보호를위한 통제항목 어플리케이션의정확한처리(Correct processing in applications) [ ISO/IEC 27001 세부보안통제실행지침서 A.12.2] 통제목표 이터의검증을포함하여야한다. 적절한통제가어플리케이션내에설계되어야한다. 어플리케이션내의정보에대한오류, 손실, 비인가수정, 이들통제는입력데이터+내부처리_출력데 또는오용을예방하기위함. 통제가요구될수있다. 민감하거나, 가치있는또는중요한정보에영향을미치거나처리하는시스템을위해추가적인 그러한통제는보안요구사항과위험평가를기초로결정하여야한다. 통제항목 세부 입력데이터유효성확인 내부처리의통제 A.12.2.1] A.12.2.2] 위하여확인하여야한다. 어플리케이션에대한입력데이터가정확하고적절하다는것을보장하기 메시지무결성 A.12.2.3] 처리에러로인한정보변조또는고의적행동을탐지하기위하여유효 성검증을어플리케이션에반영하여야한다. 출력데이터유효성확인 [ ISO/IEC 27001 A.12.2.4] 어플리케이션의메시지무결성을보호하고인증성을보장하기위한요 구사항을파악하고, 어플리케이션의정보처리가적절하고정확하다는것을보장하기 위하여데이터출력에대한유효성을확인하여야한다. 적절한통제를식별, 이행하여야한다. 1)입력데이터의검증항목 분실하거나불완전한데이터및초과하는데이터양의상한및하한 인가되지않거나일치하지않은통제데이터 범위밖의값및데이터필드에불가한문자 키필드또는데이터파일의유효성및무결성을확인하기위한내용의정기적인검토 유효성확인오류에대응및입력데이터의타당성을시험하는절차 데이터입력프로세스에관련한모든인원의책임규정 통제항목 2)내부처리통제를점검항목 해설 거래변경후데이터파일균형을조정하기위한세션또는일괄통제 이전종료균형에대한시작균형을점검하기위한균형맞춤통제 중앙컴퓨터와원격컴퓨터간에다운/업로드된데이터/SW무결성인증 기록및파일의해쉬총계 어플리케이션프로그램이올바른시간에실행되는것을보장하기위한점검 (실행간통제, 파일갱신총계, 프로그램간통제, 시스템생성입력데이터의확인등) 3)출력데이터검증항목 프로그램이올바른순서로작동되며실패의경우종료되고, 출력데이터가합당한지를시험하기위한타당성점검 처리가중지됨을보장하기위한점검 문제가해결될때까지더이상의 모든데이터의처리를보장하기위한조정통제카운팅 정보의정확성, 출력확인시험에대응하는절차 데이터출력프로세스에관련된모든인원의책임을규정함 충분한정보를제공함 완전성, 정밀성및분류를결정하기위해판독기(reader) 또는사후처리시스템에 제18절 정보시스템 획득, 개발 및 유지 208
입력데이터유효성확인(Input 어플리케이션에대한입력데이터가정확하고적절하다는것을보장하기위하여확인하여야한다. 1세부보안통제항목 data validation) [ISO/IEC 270012. A.12.2.1] 어플리케이션의정확한처리[ ISO/IEC 27001 A.12.2] 확인하여야한다는요구사항이다. 2해설 어플리케이션의정확한처리를위해서는사용자또는타프로그램으로부터입력되는데이터가올바른것임을 율) 1) 업무거래, 제한필드등과같은중복입력또는기타입력체크: 다음의에러를탐지하기위해경계값점검, 등의입력을점검한다. 신분데이터(예, 다음과같은지침을고려한다: 이름과주소, 신용한도, 입력데이터의특정한범위의 고객참조번호) 및파라미터테이블(예, 판매가, 환율, 과세 a. b. c. d. 누락되거나불완전한데이터; 범위밖의값; e. 비인가또는불일치통제데이터; 데이터필드에입력불가능한문자; 2) 3) 키필드/데이터파일의유효성과무결성을확인하기위한내용의주기적인검토; 비인가변경에대한하드카피입력문서를검사(입력문서에대한모든변경은인가되어야함); 상한+하한데이터볼륨한계의초과; 5) 6) 7) 4) 데이터입력프로세스에참여하는모든인원의책임을정의; 데이터입력프로세스에수반되는모든활동의로그생성(A.10.10.1 유효성확인오류에대응하는절차; 입력데이터의타당성을시험하기위한절차; 에러위험을줄이고버퍼오버플로우와코드검사를포함한표준공격을예방하기위해가능한경우, 입력데이터의자동화된시험과확인을고려한다. 참조). 어플리케이션의입력데이터검증은올바른내부처리(A.12.2.2)를위해필수적이다. 3실행지침 등을활용한다. 입력데이터검증을위해서는데이터사전에서정의한범위, 또한사용자가입력하는데이터의경우에는유효하지않은값이입력될수없는사용자인터페 제한되는값, 기본값(Default Gold in Value), Gold out 최대,! 터이스표준에명시되어있다. 이스(예. Drop down list box, Combo box)를제공하는것도하나의방법이다. 이러한규칙들은대개사용자인 최소 가를확인하여야한다. 일반적으로코딩규칙, 또한코드검사에서는입력되는모든데이터에대해유효성을확인하는과정이어플리케이션에반영되어있는 코드검사지침, 사용자인터페이스표준등이입력데이터의검증을위한실행지침들이다 제18절 정보시스템 획득, 개발 및 유지 209
A.12.2.2 내부처리에러로인한정보변조또는고의적행동을탐지하기위하여유효성검증을어플리케이션에 1세부보안통제항목 내부처리통제(Control of internal processing) [ISO/IEC 2. 어플리케이션의정확한처리[ 반영하여야한다. 27001 A.12.2.2] ISO/IEC 27001 A.12.2] 를실시하여야하는요구사항이다. 2해설 어플리케이션의설계와구현은무결성을훼손하는내부처리고장위험을최소화하는것을보장하여야한다. 어플리케이션의내부처리에러를줄이고, 무결성을훼손하기위한고의적인행동을탐지하기위한보안통제 고려해야하는특정분야는다음과같다.: 1) 2) 3) 4) 데이터변경을위한추가, 프로그램이잘못된순서로작동하거나이전처리의고장후에작동하는것을방지하는절차(A.10.1.1 데이터의올바른처리를보장하기위해고장을복구하는적절한프로그램의사용; 버퍼의오버런/오버플로우를활용한공격에대한보호. 수정및삭제기능의사용; 참조); 2) 다음은점검항목을포함한다. 1) 적절한체크리스트를준비하고점검활동을문서화하고, 트랜잭션변경후데이터파일밸런스를조정하기위한세션또는배치통제(Batch 이전의마감밸런스에대한오프닝밸런스를점검하기위해밸런싱통제, : 그결과에대해보안을유지한다. b.파일업데이트총계; a.실행간통제; 즉: Control); 3) 시스템이생성한입력데이터유효성확인(A.12.2.1 c.프로그램간통제; 5) 4) 또는무결성, 기록및파일의해시총계; 중앙컴퓨터와원격컴퓨터사이에다운로드/업로드된데이터또는소프트웨어보안특성 인증성을점검; 참조); 6) 7) 8) 중지됨을보장하기위한점검; 어플리케이션프로그램이올바른시간에실행되는것을보장하기위한점검; 프로그램이올바른순서로작동되며고장의경우종료되고, 처리에수반되는활동에대한로그생성(A.10.10.1 참조) 문제가해결될때까지더이상의처리가 훼손이사업에미치는영향을고려하여유효성확인점검기능을어플리케이션에반영한다. 올바르게입력된데이터가하드웨어에러, 처리에러또는고의적인행동에의해훼손될수있다. 데이터의 제18절 정보시스템 획득, 개발 및 유지 210
2. 어플리케이션의정확한처리[ 중소기업의기술보호를위한 세부보안통제실행지침서 어플리케이션내부처리통제의모범관행은COSO내부통제지침을참조한다. ISO/IEC 27001 A.12.2] COSO의내부통제는다음과같이2개의영역으로구분된다. 3실행지침 1. 경영자가조직을관리하기위해적용하는다음과같은수단을말한다 환경적통제; b. c. a. 조직구성원의고용, 조직정책 2. 트랜잭션처리통제 d. 조직구조 어플리케이션의트랜잭션처리를통제하는다음과같은수단을말한다 일상업무수행을위해제공되는프로세스(예. 훈련, 감독및평가방법 a. 예방통제 개발방법론등) 4) 2) 3) 1) 데이터인풋통제 소스데이터준비를통한인풋데이터검증강화 소스데이터인증 5) 6) 7) 일련번호지정양식의사용 입력데이터유효성확인 턴어라운드문서: 처리트랜잭션의영구보관 컴퓨터인식가능청구서등 b. 탐지통제 2) 1) 8) 통제등록: 데이터전송: 처리통제: 통제합계를로그로관리 통제합계, 데이터전송개수또는양을확인하여완전성체크 해쉬합계, 프로그램체크(한계/벨런스/오버플로우등) c. 시정통제 4) 5) 3) 문서화및테스팅 출력체크: 통제합계: 컴퓨터처리이전에입력으로제공하여실제컴퓨터가처리한합계와비교 1) 2) 에러탐지와트랜잭션재처리 케이션이처리한중요트랜잭션을영구적으로데이터베이스로관리하기위해서는별도의전담조직이필요할 내부처리통제는트랜잭션에대한기술적통제를위해환경적통제가뒷받침되어야한다. 감사추적 수있다. 상기내용의상세한사항은COSO내부통제지침을참조한다 예를들어어플리 제18절 정보시스템 획득, 개발 및 유지 211
메시지무결성(Message 어플리케이션의메시지무결성을보호하고인증성을보장하기위한요구사항을파악하고, 1세부보안통제항목 식별, 이행하여야한다. integrity) [ISO/IEC 27001 A.12.2.3] 2. 어플리케이션의정확한처리[ ISO/IEC 27001 A.12.2] 적절한통제를 을유지하여야한다는요구사항이다. 의사소통수단의하나이다. 적인상황을정확하게파악하게하며, 2해설 어플리케이션의메시지는사용자에게는다음행동을취하기위한구체적인지침을제공하고운영자에는예외 따라서어플리케이션에서생성하는메시지는적절한통제를통해무결성과인증성 타프로그램에게는이전처리결과의옳고그름을결정하게하는중요한 보안위험평가를실시하여야한다. 메시지무결성이요구되는지를결정하고가장적절한메시지무결성구현방법을식별하기위하여, 암호화기법(A.12.3 참조)이메시지인증성을구현하기위한적절한수단으로하나로사용될수있다. 1) 3실행지침 메시지의무결성과인증성을유지하기위한대안들은다음과같다 4) 어플리케이션에서제공하는메시지에대한데이터베이스구축및활용 5) 2) 3) 메시지암호화 코드검사 메시지로깅 메시지제공규칙의제시. 예) 사용자에대한다음행동의제시등 6) 대개실무에서는프로그래밍규칙, 메시지는사용자, 메시지에대한사용자/운영자검사 운영자, 타시스템과의의사소통수단으로간주하여야한다. 코딩규칙, 메시지설계표준등으로정립하여적용한다. 제18절 정보시스템 획득, 개발 및 유지 212
출력데이터유효성확인(Output 어플리케이션의정보처리가적절하고정확하다는것을보장하기위하여데이터출력에대한유효성을확인하 1세부보안통제항목 여야한다. data validation) [ISO/IEC 27001 2. A.12.2.4] 어플리케이션의정확한처리[ ISO/IEC 27001 A.12.2] 3) 1) 2해설 2) 출력데이터확인을위한관행들은다음과같다: 충분한정보를제공함; 정보의정확성, 출력데이터가합당한지를시험하기위한타당성점검; 4) 출력확인시험대응절차; 모든데이터처리를보장하기위한조정통제카운트; 완전성, 예) 정밀성및등급을결정하기위해판독기(reader) 청구서건수, 청구금액합계등 예) 수신트랜잭션건수와프로그램처리건수와비교 5) 데이터출력프로세스에수반되는모든인원에대한책임정의; 또는후속처리시스템에게 6) 일반적으로시스템과어플리케이션은적절한유효성확인, 축되나이러한전제가항상맞는것은아니다. 출력확인프로세스의활동들에대한로그생성 확한출력을산출할수있다. 예를들어시험이완료된시스템이어떤상황에서는여전히부정 검증, 시험을거쳐, 출력이정확하다는전제하에구 한다. 3실행지침 보안통제관점에서추가적인고려사항들은다음과같다 어플리케이션출력에대한유효성확인은주지하다시피검사, 이러한모든활동은어플리케이션개발방법론과개발프로세스등에정의하고이행한다. 검토, 시험등의검증및확인활동을통해실시 1) 출력데이터유효성확인을위해필요한정보의수집및공유 3) 2) 유효성확인이후대응절차 출력데이터유효성확인에참여하는각조직에대한역할과책임정의 (예. 주문합계금액, 사용자, 유지보수엔지니어, 주문합계건수등) DBA, 보안아키텍트, 웹디자이너, 하드웨어운영자, 네트워크운영자등) 제18절 정보시스템 획득, 개발 및 유지 213
중소기업의기술보호를위한 통제항목 암호통제(Cryptographic controls) [ISO/IEC 27001 A.12.3] 세부보안통제실행지침서 통제목표 암호통제에적용하는정책을개발하여야한다. 암호수단으로정보의기밀성, 인증성또는무결성을보호하기위함. 세부 이행하여야한다 키관리를암호기법의사용을지원하기위해 통제항목 암호통제사용에대한정책 키관리 [ISO/IEC 27001 A.12.3.1] A.12.3.2] 정보보호를위한암호통제의사용에대한정책이개발되고 키관리는조직의암호기술사용을지원하기에적절하여야한다. 이행하여야한다. 통제항목 암호정책을개발할때다음을고려한다. 해설 2)위험평가에근거를둔보호의요구되는수준은설명이요구된암호알고리즘의유형, 1)업무정보가보호되어야된다는일반적원칙을포함한조직전체에걸친암호통제사용에대한관리적접근방법 5)역할및책임, 4)손실, 3)이동또는제거된매체, 키관리에대한접근 훼손또는손상된키의경우, 예를들어누가책임이있는지 장치또는통신회선으로전송된민감한정보의보호를위한암호의사용 암호키의보호및암호화된정보의복구를다루는방법을포함한 장점및품질을확인 7)반드시내용정밀검사된통제의암호화된정보의사용의영향(예를들면, 6)조직에서효과적이행을위해채택되는표준(어떤업무프로세스를위해어떤솔루션이사용되는지) 바이러스탐지) 제18절 정보시스템 획득, 개발 및 유지 214
암호통제사용에대한정책(Policy 정보보호를위한암호통제의사용정책을개발하고이행하여야한다. 1세부보안통제항목 on the use of cryptographic controls) [ISO/IEC 27001 3. 암호통제[ISO/IEC A.12.3.1] 27001 A.12.3] (예. 2해설 정보를암호화하고복호화하는통제를사용하는정책을개발하고이행하는것에대한요구사항이다. 1) 암호정책개발시, 업무정보가보호하여야된다는일반적원칙을포함하여관리적접근방법은조직전체에걸친암호통제 전자상거래에서의공개키방식에의한암호기술의사용) 2) 사용에초점을맞춘다(A.5.1.1 위험평가에근거한보호수준이암호알고리즘의유형, 다음사항을고려한다: 3) 4) 이동/삭제가능한매체, 분실, 훼손또는손상된키의경우,암호키보호와암호화된정보복구를다루는방법을포함하는 장치또는통신회선으로전송된민감한정보의보호를위해암호를사용; 참조); 키관리에대한접근방법; 장점및품질을고려하는데적용된다; 5) 6) 역할과책임, 조직에서효과적이행을위해채택되는표준(어떤업무프로세스를위해어떤솔루션이사용되는지); b. a. 정책의이행; 키관리, 예를들어누가책임이있는지; 7) 컨텐츠검사를실시하는통제에적용하는경우, 키생성포함(A.12.3.2 참조); 조직의암호정책을이행할때, 적용될수있는규제와국가적제한을고려한다(A.15.1.6 세계각지역의암호기술사용과암호정보의국경선흐름에대한이슈에 암호화된정보사용의영향(예, 참조). 바이러스탐지); 암호통제는다음과간은상이한보안목적을달성하기위해사용할수있다 a. b. c. 부인방지: 기밀성: 무결성/인증성: 저장되거나전송된, 사건또는조치의발생또는미발생의증거획득을위해암호기법을사용; 전자서명또는메시지인증코드를사용; 저장되거나전송된민감한/중요한정보의신뢰성및무결성보호를위해 민감한/중요한정보보호에암호정보를사용; 위험평가를적용할수있다. 어떠한통제유형이어떠한업무프로세스목적에적용되어야하는가등의암호통제적절성을결정하기위해 위험평가와통제선정보다더넓은프로세스의일부로암호화솔루션이적절한가를결정한다. 대화하기위해필요하다. 암호통제사용정책은부적절/부정확한사용을피하는, 전자서명의사용시는관련법률의요구사항을고려한다. 암호화기술의사용위험을최소화하고그이익을최 고적절한보호수준을파악하기위해전문가의조언을고려한다. 요구되는보호를제공하고안전한키관리시스템의구현(A.12.3.2 참조)을지원하는적절한명세서를정의하 (A.15.1 OECD지침을참조한다 ISO/IEC JTC1 SC27에서개발한암호화통제관련표준들이있다. 상세한정보는IEEE P1363과암호화에대한 국내의법률에서는전자상거래에서전자서명을요구하고있다. 3실행지침 암호기술의사용은사업적목표와위험에따른보안요구사항에따라사용처와사용솔루션을결정한다. 제18절 정보시스템 획득, 개발 및 유지 215
키관리(Key 키관리는조직의암호기술사용을지원하여야한다. 1세부보안통제항목 management) [ISO/IEC 27001 A.12.3.2] 3. 암호통제[ISO/IEC 27001 A.12.3] 저장, 2해설 수정, 비밀키와개인키에대해비인가접근과고의적/우연적손상을보호하는것에대한요구사항이다. 보관하는장비에대한물리적통제와접근제어등을동시에필요로한다. 망실과파괴로부터모든암호키를보호한다. 비밀키및개인키는비인가유출로부터보호한다. 키를생성, 2) 1) 키를생성하고저장하며, 절차,안전한방법등으로다음사항을위해수립한다: 공개키인증서생성및취득; 상이한어플리케이션에대해상이한암호시스템을위한키를생성; 기록보관하기위해사용된장비는물리적으로보호한다. 키관리시스템은표준, 3) 5) 4) 6) 키변경또는갱신(키의변경시점과변경방법에대한규칙을포함); 키의보관(인가된사용자의키접근방법포함); 필요한사용자에게키를배부(수령될때키는어떻게사용하여야하는지를포함); 8) 7) 조직을떠날경우(어떤경우에도키는이관되어야함),; 사업연속성관리의일환으로손실/훼손된키복구. 키취소. 훼손된키처리; 9) 키의이관. (어떻게철회되고사용되지않도록하는가를포함). 예, 이관/백업된정보를위해; 예, 암호화된정보의복구를위해; 예를들어, 키가훼손되었을경우또는사용자가 j) k) 키파괴; 키관리와관련된활동의로깅과감사. 정하여야한다. 3실행지침 인인증기관에의하여발행된다. 명서사용할수있으며, 안전하게관리된개인비밀키와개인키뿐만아니라공개키의보호도고려한다. 훼손의가능성을줄이기위하여, 암호통제가사용되고있는상황과감지된위험에따라사용기간을결정한다. 보통요구되는정도의신뢰를제공하기위해적합한통제및절차를갖춘인정된조직 키는제한된기간동안만사용될수있도록사용시작과사용종료날짜를규 성및서비스제공시간을포함하여야한다(A.6.2.3 예를들어, 인증기관과같이암호서비스외부공급자와의계약/서비스수준협정서내용은책임, 참조). 인증프로세스는공개키증 암호키관리는효과적인암호기법사용에필수불가결하다. ISO/IEC 11770에상세한키관리정보를제공한 서비스신뢰 다. a) 비밀키기법,2개이상의조직이동일키를공유하고, 다음과같은2가지유형의키관리기법이존재한다. b) 유지하여야하는)를를갖는다. 유입할수있기때문에비밀로유지하여야한다. 하는모든사람이그키로암호화된모든정보를복호화할수있고, 공개키기법, 각사용자는하나의키를쌍으로갖는경우, 공개키기법은암호화와전자서명을위해사용된다. 정보의암호화와복호화에사용한다. 공개키(모든사람에게공개)와개인키(비밀로 또는그키를사용하여비인가정보를 (ISO/IEC 이키는접근할 한사용자의공개키를교체하여전자서명을위조하는위협이존재한다. ISO/IEC 14888 참조) 이문제는공개키인증서를사용하여 9796와 요하다. 다루어야한다. 암호기법은암호키를보호하기위해사용할수있다. 예) 암호화된정보는법정의증거로서암호화되지않은형태로가용하기위해필요로할수있다. 암호키접근에대한법적요구사항을다루는절차가필 제18절 정보시스템 획득, 개발 및 유지 216
중소기업의기술보호를위한 통제항목 시스템파일의보안(Security of system files) [ISO/IEC 27001 A.12.4] 세부보안통제실행지침서 통제목표 시스템파일의보안보장하기위함. 방식으로수행하여야한다. 시스템파일과프로그램소스코드에대한접근을통제하고, 테스트환경에서민감한데이터의노출을피하기위해주의를기울 IT 프로젝트와지원활동을안전한 통제항목 세부 운영소프트웨어통제 시스템시험데이터보호 A.12.4.1] A.12.4.2] 운영시스템에소프트웨어설치를통제하기위한적절한절차가 시험데이터는신중히선택하여야하며, 있어야한다 프로그램소스코드접근통제 [ISO/IEC 27001 A.12.4.3] 프로그램소스코드에대한접근은제한하여야한다 보호되고, 통제하여야한다. 1)운영소프트웨어통제 통제항목 운용환경에소프트웨어를설치하기위해서는요청, 검토, 인수시험, 설치, 설치확인, 승인, 비정 해설 2)시스템시험데이터보호 소프트웨어설치후보안영향을사전에예측하고, 상상황발생시원복등의정해진절차에따라수행한다. 따라서시험데이터에접근을위한통제를소프트웨어소스코드의접근통제수준으로통제한다 실제운영시스템의데이터를가공하여시험데이터로활용하기때문에시험데이터에는민감하 고중요한정보가포함되어있는경우가대부분이다. 평가하고, 확인하는과정을포함한다 3)프로그램소스코드접근통제 구성(형상)관리기법을적용하여접근을통제한다. 서소스코드를관리하고체크인/아웃관리는라이브러리언을별도로지정하여운영한다. 접근통제가이루어지는구성라이브러리에 제18절 정보시스템 획득, 개발 및 유지 217
운영소프트웨어의통제(Control 운영시스템에소프트웨어설치를통제하기위한적절한절차가있어야한다 1세부보안통제항목 of operational softwar5) [ISO/IEC 27001 4. A.12.4.1] 시스템파일의보안[ISO/IEC 27001 A.12.4] 20000의구성및변경관리프로세스와릴리즈프로세스를참조하여정립하여야한다 웨어설치를위한통제를위한절차를정립하고이행하여야한다는요구사항이다. 2해설 개발, 시험과과정을거쳐운영환경에설치하는어플리케이션, 패키지소프트웨어, 이러한설치절차는ISO/IEC 운영환경의시스템소프트 2) 1) 운영시스템의훼손위험을최소화하기위해서는, 훈련된관리자에의해서만실행한다(A.12.4.3 운영시스템은개발코드또는컴파일러가아닌승인된실행코드만을보유한다. 운영소프트웨어, 어플리케이션및프로그램라이브러리의갱신은적절한관리자인가에따라 참조). 다음의지침을변경통제하는데고려하여야한다. 4) 3) (A.10.1.4 시험은사용성, 구성(형상)통제시스템은시스템문서뿐만아니라모든실행소프트웨어통제를위해사용한다. 어플리케이션과운영시스템소프트웨어는시험을성공적으로완료한후에만이행한다.; 5) 설치이전의시스템으로환원하는롤백전략을유지한다 참조)에서실시한다; 보안, 타시스템의영향, 시험은관련프로그램소스라이브러리가갱신됨을보장한다. 사용자친숙성에대한시험을포함하고분리된시스템 7) 6) 8) 함께이관한다, 어플리케이션소프트웨어이전버전을돌발상황에대비하여유지한다. 감사로그에는모든운영프로그램라이브러리갱신사항을유지한다. 소프트웨어의과거버전은필요한모든정보/파라미터/절차/구성항목/데이터이행소프트웨어등과 되면벤더는소프트웨어의과거버전에대한지원을중단하게된다. 3실행지침 웨어에의존하는위험을고려한다. 운영시스템에서사용하는벤더공급소프트웨어는공급자에의해지원되는수준으로유지한다. 따라서조직은벤더의지원이없는소프트 기간이경과 점을제거또는줄이기위해소프트웨어패치를적용한다(A.12.6.1 즉새로운보안기능성의도입또는그버전에영향을주는보안문제점의수와심각성을고려한다. 신규릴리즈로업그레이드하기위한결정은, 변경에대한업무요구사항과릴리즈의보안을고려한다. 필요하고관리자승인한경우에는지원목적에한정하여물리적/논리적접근을공급자에게허용하고공급자 참조). 보안취약 외부에서공급된소프트웨어와모듈을신뢰할수있게된다. 의활동은감시한다. 컴퓨터소프트웨어는보안취약점이유입되지않는비인가변경을예방하는감시와통제가이루어져야만이 에준비하고있어야한다. 하는것이바람직하다 조). 운영시스템의변경과설치는모두 정보시스템구성및변경관리프로세스 를준용하여야한다(A.12.5.1 설치단계에서는설치이후중요한고장또는결점발견시과거버전으로원상복구할수있는대책을사전 또한설치이후일정기간동안, 운영상태에대해모니터링을실시하는것을의무화 참 제18절 정보시스템 획득, 개발 및 유지 218
시스템시험데이터보호(Protection 시험데이터를신중하게선택, 1세부보안통제항목 보호하고통제하여야한다. of system test data) [ISO/IEC 27001 4. A.12.4.2] 시스템파일의보안[ISO/IEC 27001 A.12.4] 요구사항이다 2해설 법적으로보호하고있거나회사의기밀데이터가시험데이터에포함되는경우에보안을유지하는데대한 만약이러한정보가시험목적으로사용되는경우에는,민감한상세항목과내용을인식이불가능하도록사용 이전에제거하거나수정한다. 다음의지침은운영데이터가시험목적으로사용되는경우, 개인정보를포함하고있는운영DB의사용하거나민감한모든정보는시험목적에사용하는것을피한다. 3) 1) 2) 운영정보는시험이완료된후즉시시험어플리케이션시스템에서삭제한다. 운영어플리케이션시스템에적용하는접근통제절차를시험어플리케이션시스템에도적용한다. 운영정보가시험어플리케이션시스템에복사될때마다별도의인가를득한다. 그데이터의보호를위해적용한다. 4) 운영정보의복사와사용을감사추적을위해기록한다. 에필요한데이터를운영환경의데이터를시험환경으로이관하여사용하는경우가대부분이며이러한경우에 3실행지침 개인정보또는민감한데이터의보안에주의를기울여야한다. 시스템테스트와인수테스트는운영환경과유사한수준의테스트데이터의볼륨을필요로한다. 따라서테스팅 용자가직접테스트데이터를준비하는경우에도보안을유지하여야하므로, 적용하여야한다. 의사용자또는관리책임자의승인과검토를거치는것을테스팅준비절차에포함하여야한다. 시험데이터를운영환경의데이터를토대로확보하는경우에는해당데이터자산의소유자, 동일한시험데이터보안통제를 즉해당업무부서 업무부서의사 경우가많다. 하는로직을추출프로그램에반영하도록한다. 대개운영환경에서테스트데이터를가져오는경우에는시험데이터추출프로그램을직접작성하여활용하는 또한상기민감한정보를포함하고있는테스팅에참여하는모든인원에대해서는보안서약서에대해서명하 이러한경우에는주민등록번호, 전화번호등개인정보와민감한정보를일정한규칙에따라위장 도록하여만일의경우를대비한다. 제18절 정보시스템 획득, 개발 및 유지 219
프로그램소스코드접근통제(Access 프로그램소스코드에대한접근을제한하여야한다. 1세부보안통제항목 control to program source cod5) [ISO/IEC 4. 시스템파일의보안[ISO/IEC 27001 A.12.4.3] 27001 A.12.4] 인가수정을예방하기위한통제가적용되어야한다는것이다. 2해설 프로그램소스코드와관련항목(설계서, 프로그램소스코드는실행코드를만들기위한핵심자산이다. 명세서, 검증및확인계획)의접근은비인가기능의추가/변경/삭제 따라서이들에대한접근을엄격히차단하여비 와의도하지않은변경을예방할수있도록엄격히통제한다. 에코드를반입하고반출하는중앙저장소에대한통제를실시한다 1) 다음의지침을컴퓨터프로그램훼손을줄이기위한프로그램소스라이브러리접근통제에고려한다. 가능하다면, 프로그램소스라이브러리는운영시스템에서보유하지않는다.; 프로그램소스코드는프로그램소스라이브러리 4)적절한인가를득한후에프로그램소스라이브러리와관련항목의갱신과프로그래머에게프로그램 2) 3) 프로그램소스코드및라이브러리는수립한절차에따라관리한다.; 5) 프로그램목록은안전한환경에서유지한다(A.10.7.4 지원인원이프로그램소스라이브러리에대한무제한적인접근권한을주어서는안된다.; 7) 6) 프로그램소스라이브러리의유지보수및복사는엄격한변경통제절차를따른다(A.12.5.1 프로그램소스라이브러리의모든접근에대한감사로그를유지한다. 소스를제공하는것을허용한다 참조). 참조). 접근권한을갖고있는기술지원인력(예. 3실행지침 바람직하다. 라이브러리에접근하는모든활동을통제하고감사로그에자동적으로로깅하도록하는솔루션을갖추는것이 프로그램소스코드는운영환경에서분리된환경의중앙저장소에서관리하고, 데이터베이스관리자, 시스템프로그래머, 접근을통제한다. 오퍼레이터등)이소스코드 특히특별한 수립하고이행하도록한다. 운영중인프로그램소스코드라이브러리에대한접근통제절차는정보시스템운영절차에포함하여 상용화된형상관리도구들은프로그램소스코드에대한접근통제와접근활동의로깅기능을갖추고있다. 제18절 정보시스템 획득, 개발 및 유지 220
통제항목 개발및지원프로세스에서의보안(Security [ISO/IEC 27001 A.12.5] 개발및지원프로세스에서의보안[ISO/IEC in development and support processes) 27001 A.12.5] 통제목표 어플리케이션시스템소프트웨어와정보의보안을유지하기위함. 든시스템변경을검토하는것을보장하여야한다. 어플리케이션시스템에대한관리자책임이곧프로젝트/지원환경의보안에대한책임이어야 프로젝트와지원환경을엄격히통제하여야한다. 변경통제절차 [ISO/IEC 그들은시스템과운영환경의보안을훼손하지않는다는것을점검하기위해제기된모 27001 A.12.5.1] 변경을공식적인변경통제절차를적용하여통제하여야한다. 통제항목 세부 운영시스템변경이후 [ISO/IEC 어플리케이션의 기술적검토 27001 A.12.5.2] 운영시스템이변경되었을때, 운영또는보안에부정적영향이미치지않는다는것을보장하기위해 검토하고시험하여야한다. 업무에중요한어플리케이션을조직적 소프트웨어패키지 변경제한 정보유출 A.12.5.3] 소프트웨어패키지의수정을단념하게하고, 모든변경을엄격하게통제하여야한다. 꼭필요한변경으로제한하고, 외주소프트웨어개발 [ISO/IEC 27001 A.12.5.4] A.12.5.5] 정보유출이가능한기회를예방하여야한다 1)변경절차는구성관리절차를준용하되다음을포함하여야한다. 외주소프트웨어개발을조직이감독되고감시하여야한다. 인가된사용자에의해변경이이루어짐을보장함 변경에의해통제및무결성절차가손상되지않음을보장함 합의된인가수준의기록을유지함 작업개시전에세부제안에대한공식적인승인을획득함 통제항목 모든소프트웨어갱신을위한버전통제를유지함 해설 2)운영체제변경이후어플리케이션기술적검토 모든변경요구에대한감사추적을유지함 변경의이행은적시에일어나며관련된업무프로세스를방해하지않음을보장함 3)소프트웨어개발아웃소싱의경우다음사항을고려한다. 시스템전반에영향을줄수있는보안취약점점검 오동작, 정상적인기능과성능의발휘여부 라이선스협정, 성능저하시과거시스템의회귀결정 코드의품질및보안기능성에대한계약요구사항 완료된작업의품질및정확도의심사또는감사를위한접근권한 3자가실패하는경우에미완날인증서협정 수행된작업의품질및정확도의보증 코드소유권및지적재산권 악성코드탐지를위해설치이전시험 제18절 정보시스템 획득, 개발 및 유지5. 221
변경통제절차(Change 변경을공식적인변경통제절차를적용하여통제하여야한다. 1세부보안통제항목control procedures) _[ISO/IEC 5. 27001 개발및지원프로세스에서의보안[ISO/IEC A.12.5.1] 27001 A.12.5] 그항목을참조하고있는모든프로그램과화면, 템은타산업의제품과달리변경이제품의한컴포넌트에발생하게되는경우, 2해설 어야하는타컴포넌트가존재하기때문이다. 정보시스템의변경이필요한경우에는공식적인변경통제절차에따라야하는것을요구하고있다. 예를들어데이터베이스의특정항목이름을변경하는경우에는 보고서서식이동시에변경하여야한다. 그변경에따라동시에변경되 정보시스 스템의중요한변경이발생하는경우에는문서화, 기존보안및통제절차가훼손되지않고, 변경통제프로세스는위험평가, 정보시스템의손상을최소화하기위해공식적인변경통제절차를정립하고이행한다. 변경영향분석, 프로그래머에게는그들의업무에필요한시스템의파트만을접근하 필요한보안통제의명세화등을포함한다. 명세화, 시험, 품질관리, 구현등공식프로세스를준수한다. 신규시스템도입/기존시 는것과모든변경에대한공식적인합의와승인을득하는것을보장한다. 변경통제프로세스는 가능한경우, 3실행지침어플리케이션과운영환경의변경통제절차를통합한다(A.10.1.2 참조). 동으로구분한다. 립한다. 변경통제절차는IT서비스관리국제표준(ISO/IEC 이프로세스는크기1) 구성항목의식별, 2) 20000)의 구성및변경관리프로세스 요구사항에따라정 변경통제절차수립시고려사항은다음과같다. 구성항목의변경통제, 3) 구성상태의전파, 4) 구성감사활 1) 3) 2) 4) 통제절차를따르고무결성이손상되지않음을보장하기위해검토; 인가된사용자가변경하는것을보장; 수정을필요로하는모든소프트웨어, 합의한인가수준의기록을유지(변경통제절차의준수를확인하기위해); 5) 6) 7) 변경이전, 인가된사용자가변경이전에승인하는것을보장; 시스템문서(요구사항명세서, 변경에대한세부계획에대한공식적인승인을획득; 설계서, 사양서, 정보, 데이터베이스엔티티및하드웨어를파악; 8) 9) 갱신되며구문서는별도로보관하거나처분하는것을보장; 모든소프트웨어갱신을위한버전을통제; 모든변경요청에대한감사추적을유지함; 시험명세서, 사용자지침서등)들이변경의완료시점에 j) k) 정보시스템의변경은개발및시험환경에서실시하고, 운영문서(A.10.1.1 변경을적시에실시하고관련업무프로세스를방해하지않음을보장. 참조)와사용자절차서는유지보수필요성에따라변경하는것을보장; 이관하여야만이많은보안부작용을해소할수있다(A.10.1.4 정확성과완전성을검증한이후에운영환경으로 참조). 제18절 정보시스템 획득, 개발 및 유지 222
운영시스템변경이후어플리케이션의기술적검토 (Technical 1세부보안통제항목 5. 개발및지원프로세스에서의보안[ISO/IEC 27001 A.12.5] 운영시스템이변경되었을때, 을보장하기위해검토하고시험하여야한다. review of applications after 업무에중요한어플리케이션을조직적운영/보안에부정적영향을미치지않음 operating system changes) [ISO/IEC 27001 A.12.5.2] 이프로세스는다음을포함하여야한다: 않도록변경된정보시스템에대해검사, 2해설 운영중에있는정보시스템변경이발생한후에는장애발생, 검토및시험을실시하여야한다는요구사항이다. 접근통제불일치등보안위반현상이발생하지 1) 2) 3) 4) 운영시스템변경에따라보안이훼손되지않음을보장하기위한어플리케이션통제와무결성절차검토; 연간지원계획과예산에운영시스템변경으로발생하는검토와시험을반영함을보장; 특별한단체또는개인은취약성및벤더의패치및고정의방출감시를위해책임성이주어져야 이행이전에적절한시험과검토를할수있도록운영시스템의변경을적시에통지함을보장; 한다(A. 운영시스템변경에따라사업연속성계획에적절히변경되고있음을보장(A.14 12.6 참조). 참조). 차 에포함하여절차를수립한다. 3실행지침 영환경등을모두고려한다. 운영시스템변경후의검사, 검토및시험활동은대개 정보시스템유지보수절차 또는 구성및변경관리절 운영시스템변경후검사, 검토및시험절차의정립시고려사항은다음과같다 운영시스템의변경으로인해실시되는검증활동은기능, 성능, 운영절차, 운 3) 1) 2) 4) 독립적인조직에의한운영시스템변경의완전성과정확성검증 변경요청시정의한기능, 시험환경이운영환경과유사한환경에서실시됨을보장 필요한모든시스템문서가변경이전에갱신됨을보장 성능, 보안, 운영환경, 운영절차등의요구사항을토대로점검/시험항목준비보장 7) 6) 5) 운영이관후기대하지않은보안영향이발생하는경우즉시이전의버전으로원상복구할수있음을보장 운영이전에보안취약성점검을실시하고필요한조치가완료됨을보장 변경된정보시스템의운영을위한사용자/운영자교육이운영이전에완료됨을보장 제18절 정보시스템 획득, 개발 및 유지 223
소프트웨어패키지변경제한(Restrictions 소프트웨어패키지의수정을단념하게하고, 1세부보안통제항목 on changes 5. to 개발및지원프로세스에서의보안[ISO/IEC 한다. 꼭필요한변경으로제한하고,모든변경을엄격하게통제하여야 software packages) [ISO/IEC 27001 A.12.5.3] 27001 A.12.5] 에대한변경을엄격히제한하고, 여하지않은인원이변경하는경우, 2해설 소프트웨어패키지는수많은하부컴포넌트들이상호결합되어만들어진제품이다. 변경이불가피한경우에는치밀한준비와점검을필요로한다. 예상하지못한변경부작용이발생할가능성이매우높기때문에이들제품 따라서설계와개발에참 1) 2) 3) 소프트웨어패키지의수정이불가피한경우에는다음사항을고려하여야한다: 4) 패키지에서구현하고있는통제와무결성프로세스의훼손; 공급자의동의획득필요성; 만일변경이필요하면, 공급자의표준프로그램갱신으로요구되는변경을벤더로부터획득할수있는가능성; 로변경한다. 변경의결과로조직이향후소프트웨어를유지보수에대한책임을지게된다면그영향. 설치됨을보장하여야한다(A.12.6 있도록완전하게시험, 소프트웨어변경관리프로세스는최신의패치와어플리케이션이인가된모든소프트웨어에대해 문서화한다. 현행소프트웨어버전을그대로유지하고변경은명확하게식별된업그레이드버전으 하고유효성을확인하여야한다. 참조). 별도의요구가있는경우에는변경에대해독립적인평가조직에의해시험 모든변경은향후소프트웨어변경이필요한경우에다시적용될수 개발에참여한엔지니어가없고관련시스템문서(요구사항명세서, 3실행지침 변경결과를초래할가능성이높아그변경을엄격히통제할필요가있다. 버전으로확보하지못한경우가대부분이다. 소프트웨어패키지는상용제품을구매하거나외부조직에게개발을의뢰하여확보하게된다. 이와같은이유로인해소프트웨어패키지의변경은매우위험한 설계서, 사양서, 시험명세서등) 따라서설계와 등을최신 용하여야하며, 또한소프트웨어패키지의변경이발생한경우, 만약소프트웨어패키지의변경이필요한경우에는 정보시스템구성및변경관리프로세스 를엄격하게적 일방책임에서변경조직과의공동책임으로바뀌게될수있다. 그패키지의설계와개발에참여한엔지니어를포함하여변경조직을구성하는것을권장한다. 서를관리한다. 최신으로갱신하고, 패키지소프트웨어의각컴포넌트에대한변경전후비교가가능한수준으로변경통제문 그이후하자보수와유지보수에대한책임이패키지공급자의 따라서패키지유지보수를위해시스템문서를 충족하는가를검증하고유효성을확인하기위해요구사항분석, 게실시하여야한다. 변경된소프트웨어패키지에대한검사, 검토및시험은기능+성능+보안요구사항, 설계, 구현, 시험, 설치, 운영환경및조건에대해 인수단계별로엄격하 제18절 정보시스템 획득, 개발 및 유지 224
정보유출(Information 정보유출이가능한기회를예방하여야한다. 1세부보안통제항목leakag5) [ISO/IEC A.12.5.4] 5. 개발및지원프로세스에서의보안[ISO/IEC 27001 A.12.5] 1) 2해설 2) 정보유출위험을제한하기위해다음사항을고려한다. 위장과변조(Masking 제3나자정보를추론할거나, 숨겨진정보를위한외부매체와통신의스캐닝; and Modulating); 그러한행동의발생가능성을줄이고위한시스템과통신의 (예. 은닉채널의사용) 4) 5) 3) 예, 컴퓨터시스템의자원사용감시; 시스템과소프트웨어위장은높은무결성을갖는것으로간주함. 현행법규또는규제가허용하는경우개인과시스템활동의정기적인감시; 평가제품사용(ISO/IEC 15408 참조).; 등급의주체에게정보를전달하는방법을말한다. 3실행지침 은닉채널(Covert 은닉채널에는2가지종류가있다 Channel)은의도되지않은통신채널로서공유된자원을통하여높은등급의주체가낮은 1) 2) 프로세서가읽어내는방법 은닉저장채널(Covert 은닉타이밍채널(Covert storage timing channel) 하나의프로세스서가특정저장매체에정보를기록하고다른 은닉채널에대응하는방법은다음과같다 타프로세서에게정보를중개하는방법 시스템의자원의사용을조절하여하나의프로세서가 1) 2) 데이터를가져가지때문에기존프로세서보다트래픽증가를보고판단한다 은닉채널은대역폭(Bandwidth)에의존하기때문에트래픽이증가하게됨. 시스템프로세스분석과HIDS탐지, 통신대역폭의엄격한제한 특정프로세서가동작하면서 제18절 정보시스템 획득, 개발 및 유지 225
외주소프트웨어개발(Outsourced 외주소프트웨어개발을조직이감독되고감시하여야한다. 1세부보안통제항목 software development) 5. 개발및지원프로세스에서의보안[ISO/IEC A.12.5.5] 27001 A.12.5] 이러한감독과감시활동의제안요청, 2해설 적시에적절한방법으로수행하여야한다. 소프트웨어개발을전문회사의외주용역에의해수행하는경우에조직의감독과감시에대한요구사항이다. 외주소프트웨어개발에대해서는다음사항을고려하여야한다.: 제안, 계획, 분석, 설계, 구현, 시험, 설치, 인수등모든생명주기단계에서 4) 3) 2) 1) 제3자의고장사건에서의승격협정; 실행작업의품질과정확도인증; 라이센스협정, 완료한작업의품질과정확도감사를위한접근권한; 코드소유권및지적재산권(A.15.1.2 참조); 5) 6) 코드의품질과보안기능성에대한계약적요구사항; 악성, 트로이목마탐지를위한설치이전시험. 적시에인도할수있는능력과출력에대한치밀한검토/검사/시험과피드백이필수적이다. 3실행지침 외주용역발주이후뿐만아니라이전에도감독과감시활동을수행하여야한다. 특히조직보안성과에부정적영향을최소화하기위해다음과같은감독과관리활동을실시하여야한다. 외주업체에게올바른인풋을 2) 4) 1) 3) 소프트웨어개발과정에서준수하여야하는조직의보안프로세스 소프트웨어제품에반영하여야하는보안요구사항과표준 5) 소프트웨어개발외주인원에대한보안교육과훈련 소프트웨어의보안취약성점검을위한전문조직의운용 소프트웨어제품의보안성과의검사, 검토, 시험활동 상기감독과감시활동들을외주관리를위한관련절차와지침에통합하여야한다. 제18절 정보시스템 획득, 개발 및 유지 226
중소기업의기술보호를위한 통제항목 기술적취약성관리(Technical Vulnerability Management) _[ISO/IEC 27001 A.12.6] 세부보안통제실행지침서 통제목표 로효과적으로구현되어야한다. 기술적취약성관리는취해진대책이효과적임을확인하기위해체계적이고반복적인방식으 공표된기술적취약성을악용하는결과로발생하는위험을줄이기위함 통제항목 세부 리케이션을포함하여야한다. 기술적취약성통제 [ISO/IEC 27001 A.12.6.1] 정보를획득하고, 사용하고있는정보시스템의기술적취약점에대한시의적절한 이에대한고려사항은운영시스템, 그러한취약성에대한조직의노출수준을평가 모든기타사용중인어플 1)취약점점검대상 관련된위험을다루기위해적절한대책을강구하여야한다. 통제항목 2)취약점점검도구 웹서버, 어플리케이션등을대상으로한다. DNS서버, DHCP서버, DB서버등서버, 라우터, 스위치등네트워크장비, 정보보호시스템, 해설 3)취약점점검항목의선정 자동화된스캐닝도구, 위협요인을식별하고, 설비내설치된응용프로그램의취약점등정보통신설비에문제가발생하거나또는발생할수있는 점검에필요한다음의취약점점검항목을선정한다. 체크리스트등을활용한다 -설비내주요설정이잘못됨으로인한취약점 -설비내운용되는기본프로그램에대한취약점 -설비내사용자및파일시스템의취약점 -시스템의네트워크서비스및데몬프로그램관련취약점 -설비운영체제상의취약점 4) 발견된취약점에대해서는보안사고관리절차에따라조치한다 -설비내설치된응용프로그램의취약점등 제18절 정보시스템 획득, 개발 및 유지 227
기술적취약성의통제(Control 사용하고있는정보시스템의기술적취약점에대한시의적절한정보를획득하고, 1세부보안통제항목 의노출수준을평가하고, 관련된위험을다루기위해적절한대책을강구하여야한다. of technical vulnerabilities)_ [ISO/IEC 27001 A.12.6.1] 그러한취약성에대한조직 관리[ISO/IEC 27001 A.12.6] 평가하는위험평가절차를거쳐적절한대책을강구하는것을요구하고있다. 2해설 6. 취약성 효과적인기술적취약성관리를위해서는최신의완전한정보시스템자산의목록을유지하는것이선결조건이 정보시스템의취약점을점검, 분석한후에그취약점이상존하는위협에어느정도이용될수있는가를 트웨어가어떤시스템에인스톨되어있는지), 다. 잠재적기술적취약성이발견되는경우적시의적절한조치를강구하여야한다. 기술적취약성관리를위해서는소프트웨어공급자, 소프트웨어책임자등의특별한정보를필요로한다. 버전번호, 현재최신의설치상태(예를들면어떤소프 b) a) 기술적취약성에대한효과적관리프로세스를정립하기위해서는다음의지침을따라야한다. (자산재고목록참고, 역할과책임을정의한다. 조직은기술적취약성관리(취약성감시, 관련기술적취약성파악과인식을유지하기위해사용된정보자원을소프트웨어와다른기술 A.7.1.1)을위해식별한다. 위험평가, 이들정보자원은자산재고의변경이발생하거나다른신규 패치, 자산추적,필요한조정책임포함)에연관된 c) d) 또는유용한자원이발견되었을때갱신한다.; 조치에는취약한시스템의패치또는다른통제를적용하는것을포함할수있다. 잠재적인관련기술적취약성의통지에대응하여야하는시간간격을정의한다.; 잠재적인기술적취약성이파악되는경우, 조직은관련위험과취하여야하는조치를식별한다. f) e) 만약패치가가능한경우에는패치의설치에관련된위험을평가한다. 절차(A.13.2 조치의긴급도에기술적취약성을개선한다. 참고)에따른다.; 그러한조치는변경관리(A.12.5.1 참고) ; (취약성에따른위험과패치의설치위험을비교한다.); 또는정보보안사고대응 g) 평가한다. 패치를설치하기전에패치가효과적이고수용하기어려운부작용이발생하지않을보장하기위해시험하고 취약성관련서비스/능력차단하기; 접근통제의적용또는추가. 만약패치가가용하지않은경우에는다음과같은기타통제를고려한다.: h) 취해진모든절차에대해감사로그를유지한다.; 실제공격을발견/예방을위한감시강화; 취약성인식수준제고. 예) 네트워크경계에서의방화벽설치등(A.11.4.5 참조); j) i) 고위험의시스템을맨처음에다룬다.; 기술적취약성관리프로세스를정기적으로감시하고, 효과성과효율성을보장하기위해평가한다.; 제18절 정보시스템 획득, 개발 및 유지 228
3실행지침 중소기업의기술보호를위한 세부보안통제실행지침서 안등을포함하여정립한다. 정보시스템의기술적취약성을파악하기위한프로세스는취약점점검대상, 취약점탐지이후에는위험평가를실시하고필요한조치를취하는순서로진행하 점검도구, 관리[ISO/IEC 는것이일반적이다. 점검항목개발, 27001 조치방 A.12.6] 1) 웹서버, 정보시스템기술적취약성관리프로세스의전형적인사례는다음과같다 6. 취약성 2) 어플리케이션등 취약점점검도구 취약점점검대상 자동화된스캐닝도구, DNS서버, DHCP서버, 체크리스트등을활용, DB서버등서버, 어플리케이션의경우에는체크리스트를통한코드검토적용 라우터, 스위치등네트워크장비, 정보보호시스템, 3) 위협요인을식별하고, 취약점점검항목의선정 설비내설치된응용프로그램의취약점등정보통신설비에문제가발생하거나또는발생할수있는 설비운영체제상의취약점 설비내주요설정이잘못됨으로인한취약점 설비내운용되는기본프로그램에대한취약점 점검에필요한다음의취약점점검항목을선정한다. 4) 설비내사용자및파일시스템의취약점 다. 발견된취약점에대해서는위험평가절차에따라위험평가를실시한후평가결과에따라적절한조치를취한 시스템의네트워크서비스및데몬프로그램관련취약점 설비내설치된응용프로그램의취약점등 2) 1) 네트워크장비, 기술적취약점점검요령은다음과같다 정보통신망및네트워크구성식별: 응용프로그램(서비스) 정보보호시스템등정보통신설비에대한구성정보를파악한다. 취약점점검: ping이나포트스캔을이용하여네트워크에서동작중인서버, 3) 되어있는서비스포트를확인한다. 네트워크취약점점검: 아이디, 비밀번호및데이터등의가로채기, 이경우불필요한서비스가동작중이라면제거하는것이좋다. 포트스캔등의기법을이용하여네트워크상의정보통신설비에활성화 4) 위협들에대해점검한다. 파악한다. 시스템취약점점검: 정보통신설비에대한내부적취약점, 즉설비의운영체제의보안취약점을상세하게 스푸핑, 서비스거부공격등기술적인 5) 와일치하는지검사한다. 무결성점검: 중요파일에대한변경및손상여부를알기위해무결성점검도구를이용하여원본파일정보 제18절 정보시스템 획득, 개발 및 유지 229
부 록 부록1. 보안통제 용어 해설 부록2. 보안통제 관련 국내 법규 현황 부록3. [사례] 보안관리매뉴얼
부록1. 보안통제 용어 해설 공격(Attack) 가용성(Availability) 감사추적(Audit 결과(Consequence) Trail) 논리폭탄(logic 기밀성(Confidentiality) bomb) (ㄱ~ㅇ) 무결성(Integrity) 바이러스(Virus) 부인방지(Non-repudiation) 서비스수준협약(SLA: 사업연속성(Business 분산서비스거부공격(DDOS) 사건(Event) 스니핑(Sniffing) 시정조치(Corrective continuity) 악성코드(Malicious code) action) Service Level Agreement) 예방조치(Preventive 영향(Impact) 워치독스푸핑(watchdog 에이알피스푸핑(Address action) Resolution spoofing) Protocol Spoofing) 위험관리(Risk 웜바이러스(Worm 위험(Risk) 위험감소(Risk management) reduction) virus) 위험기준(Risk 위험보유(Risk 위험분석(Risk 위험산정(Risk criteria) 위험수용(Risk retention) 위험수준평가(Risk analysis) estimation) 위험전가(Risk 위험식별(Risk identification) acceptance) 위험소통(Risk transfer) communication) evaluation) 위험처리(Risk 위험평가(Risk 위험회피(Risk treatment) assessment) 인증(Authenticity) 위협(Threat) 이동코드(Mobile avoidance) 인증성(Authentication) Code) 목차 중소기업의기술보호를위한 세부보안통제실행지침서 자산(Asset) 잔여위험(Residual 적용성보고서(SoA: Risk) 접근통제(Access 전자자료교환(EDI: 절차(Procedure) Electronic Statement Data of Applicability) 정보보안(Information control) security) Interchange) 정보보안경영관리시스템 (ISMS: 정보보안사건/이벤트(Information Security Management security System) 정보용량관리(Capacity 정보보안사고(Information 정보보안위험(Information Management) security incident) Risk) event) 정보처리설비(Information 정책(Policy) 제3자(Third 지적소유권(IPR: party) Intellectual processing Property Rights) facilities) 지침(Guideline) 책임성/책임추적성(Accountability) 통제(Control) 침투시험(Penetration 취약성(Vulnerability) 통제목표(Control 쿠키스니핑(Cookie objective) sniffing) test) 확률(Probability) 트로이목마(Trojan 프로세스(Process) 효과성(Effectiveness) horse) 효율성(Efficiency) (ㅈ~ㅎ) 232
(Availability) 가용성 부록1. 보안통제 용어 해설 (ㄱ) (VPN: virtual 가상사설통신망 private network) (Audit 감사추적 Trail) (Consequence) 결과 (Confidentiality) (Attack) 기밀성 공격 인가된엔티티의(사람등) 중소기업의기술보호를위한 [KS X ISO/IEC 27001:2006] 요구에따라접근과사용이가능한성질 세부보안통제실행지침서 [ISO/IEC 공중망상에사설망을구축하여마치사설구내망또는전용망같이이용하는통신망. 신사업자가제공하는간단한소프트웨어프로그램으로이용자는자신의망구성을정 The property 27001:2009] of being accessible and usable upon demand by an authorized entity 의하고임의의전화번호체계를구축할수있다. SDNS(software 스는공중통신망에서의고도의망관리기능을이용자에게제공하여기업내에분산되 defined network service)와가상전용선서비스를시작하였다. 1985년미국AT&T사가최초로이서비통 어있는사업소간의구내선다이얼, 비스를제공한다. 내의제어단말을전화회사의망관리데이터베이스에접근하여수시로각종사항을변 또한통화요금도일반장거리통화보다저렴하고, 구내선별요금명세, 각종통계보고작성등의서 감사를위해입력된데이터가어떤변환과정을거쳐출력되는지의과정을기록하여추 경, 추가할수있다. [IT용어사전] 고객기업은자사 적하는방법. 류를추적하고각단계의이상유무를검정하는데사용된다. 정보처리시스템에서는감사기록데이터를이용하여사용자의비인가된행위, 하나의처리과정또는하드웨어의고장, 정전동안에일어나는입출력오 사건의산출(outcome) 행위의처리과정, 정보시스템활용현황등에대한정보를조사한다. [KS A ISO/IEC Guide 73] [IT용어사전] 사용자 비고1. 비고2. 한사건으로부터하나또는그이상의결과가나타날수있다. 비고3. 결과는긍정적인것에서부터부정적인것에까지이를수있다. 결과는정성적또는정량적으로표현될수있다. 비인가개인, 성질[KS 자산의비인가접근과비인가사용을위해파괴, 도용에대한시도[ISO/IEC X 엔티티, 27001:2006] 프로세스들이사용할수없거나노출하지않은정보의 27001:2009] 노출, 변경, 기능중단, The individuals, property entities, that information processes is not [ISO/IEC made 27000:2009] available or disclosed to unauthorized 233
(logic 논리폭탄 bomb) 부록1. 보안통제 용어 해설 (ㄴ~ㅂ) (Integrity) 무결성 바이러스 부인방지 (Virus) (Non-repudiation) (DDOS: 분산서비스거부공격 Distributed Denial Service) Of 중소기업의기술보호를위한 건의발생이나특정한데이터의입력을기폭제로컴퓨터에부정한행위를실행시키는 보통의프로그램에오류를발생시키는프로그램루틴을무단으로삽입하여, 세부보안통제실행지침서 것. 자편지폭탄, 이버테러리즘의수법으로사용된다. 프로그램이전혀예상하지못한파국적인오류를범하게한다. 컴퓨터바이러스등과같이인터넷등컴퓨터통신망을이용한범죄나사 주로이메일폭탄, 특정한조 목마를응용한다. [IT용어사전] 오류를발생시키는부호의삽입에는보통트로이전 자산의정확성과완정성을보호하는성질[KS The 27000:2009] 데이터및네트워크보안에있어서정보가인가된사람만이접근또는변경할수있는 확실성. property of safeguarding the accuracy and X ISO/IEC completeness 27002:2006] 등의엄격한인가관행을유지하는것이다. 무결성대책은네트워크단말기와서버의물리적환경통제, 한편, 데이터무결성은열, of assets 데이터접근억제 먼지, [ISO/IEC (surge)와같은환경적해이에의해위협받을수있는데, 대책은네트워크관리자만의서버접근, 것을말하며, 방지대책, 전력선서지, 데이터무결성의네트워크관리대책은현재의인가수준을모든사람에게 정전기방전, 자력으로부터하드웨어와저장장치들을보호하는 케이블혹은커넥터와같은전송선의외부접촉 데이터무결성의물리적환경 전기적서지 유지시키고, 애, [IT용어사전] 자기자신을복제할수있는기능을가지고있으며, 바이러스공격과같은불시의재난에대한대비책을세우는것을말한다. 시스템관리절차, 관리항목, 유지보수사항을문서화하며, 컴퓨터프로그램이나실행가능한 정전과서버장 부분을변형시키고그곳에자신또는자신의변형을복사해넣는명령어들의조합. 어사전] 사건의발생또는미발생과사건에엔티티(사람등)의포함에관한논쟁을해결하기위 [IT용 써사실부인을방지하는보안기술. 해주장하는사건과행동의발생또는그엔티티의기원을입증하는 능력[ISO/IEC 메시지의송수신이나교환후, 지않았다고주장하는송신자의부인을막는송신부인방지, 27000:2009] 실을송달되지않았다고주장하는수신자의부인을막는송달부인방지, 하고도수신하지않았다고주장하는수신자의부인을막는수신부인방지등이부인방 또는통신이나처리가실행된후에그사실을증명함으로 지기술의대상이된다. 예를들면, 이메일이나메시지를송신하고도송신하 수있는제3 대칭기술(관용암호방식)을사용하는부인방지에서는신뢰할 메시지가송달(전달)된사 발행하기위한통신규약을책정하고있다. 신뢰기관(TTP)의원조를얻어이들기능을실현하며, 비대칭기술(공개키암호방식)을사용하는 부인방지증명서를 메시지를수신 부인방지에서는디지털서명기술을응용하여부인방지증명서를발행하기위한통신 [IT용어사전] 네트워크로연결되어있는많은수의호스트들의패킷을범람시킬수있는DOS(denial 부인방지는공증과같은역할을한다. of 스템에대해성능저하및시스템마비를일으키는기법. 하드웨어나소프트웨어등을무력하게만들어, 를일으키는모든행위를의미한다. 매우다양한공격이가능하고, service) 공격용프로그램을분산설치하여이들이서로통합된형태로공격대상시 방법으로는smurf, trinoo, SYN 즉시주목할만한결과를얻을수있으며, Flooding 등이있다. 시스템이정상적인수행을하는데문제 [IT용어사전] 공격은공격할시스템의 234
(Event) 사건 부록1. 보안통제 용어 해설 (ㅅ- o) (Business 사업연속성 (SLA: 서비스수준협약 Service continuity) Agreement) (Spooping) 수프핑 Level (Corrective 시정조치 (Sniffing) 스니핑 action (Address 에이알피스푸핑 (Malicious 악성코드 Protocol Resolution Spoofing) code) (Preventive 예방조치 (Impact) action) 영향 (watchdog 워치독스푸핑 spoofing) 특정한단위상황(a 중소기업의기술보호를위한 비고1. set circumstance)의발생[ks A ISO/IEC Guide 세부보안통제실행지침서 비고2. 비고3. 사건은확실하거나또는불확실할수있다. 사건은단일하거나중복적일수있다. 사건과연관된확률은주어진기간에대하여추정될수있다. 73] 지속적인사업운영을보장하기위한프로세스와절차 Processes [ISO/IEC 서비스제공자와고객사이에서비스와합의된서비스수준을문서화한협약[KS 27000:2009] and/or procedures for ensuring continued business operations 승인받은사용자인체하여시스템에접근하려는시도. 20000-1] [IT용어사전] X 른시스템에접근할수있다. 으로가장해보내는문서를빼내는행위등이이에해당한다. 스푸핑이란'골탕먹이다, 고자하는호스트의IP 한다.네트워크상에서서로신뢰관계에있는시스템간에는자신의어카운트를가지고다 주소나e-메일주소를바꾸어서이를통해해킹을하는것을말 속여먹다'라는뜻을지닌'spoof'에서나온말로해커가악용하 시스템사용자의ID와패스워드를도청하는것.[경제용어사전] 예를들어, '갑'과'을'이서로정보를교환할때해커가'갑' [경제용어사전] 발견된부적합또는기타바람직하지않은상황의원인을제거하기위한조치. [KS 비고1. 비고2. 하기위해취해진다. 비고3. A 9000:2001] 부적합에는하나이상의원인이있을수있다. 시정조치는재발을방지하기위해취해지는반면, 시정(Correction)과시정조치는구별된다 예방조치(3.6.4)는발생을방지 악의적인목적을위해작성된실행가능한코드의통칭으로자기복제능력과감염대상 기법. 유무에따라바이러스, 퓨터의MAC 주소결정프로토콜(ARP) 주소로변경하면모든데이터가자신의컴퓨터로모니터링이가능한공격 윔, 캐쉬메모리를변조시켜공격대상의MAC 트로이목마등으로분류된다.[IT용어사전] 나웹서버보안이강화되자, 서브넷내의PC들을감염시키는기법이다. 과거에해커는유명한웹서버자체를공격해악성코드경유지로활용했다. 네트워크의서브넷내에침투해ARP 위장패킷으로해당 주소를자신의컴 코드가설치되면약간의조작으로동일구역내의다른시스템에쉽게악성코드가설치 될수있다. [IT용어사전] 어떤시스템에ARP 위장기능을가진악성 그러 업무목적의성취수준에대해악영향을미치는변화 비고1. 비고2. [KS 잠재적인부적합또는기타바람직하지않은잠재적상황의원인을제거하기위한조치 X ISO/IEC 잠재적인부적합에는하나이상의원인이있을수있다. 예방조치는발생을방지하기위하여취해지는반면, 27005:2009] 위해취해진다. 망간패킷교환(IPX)에서네트웨어서버가클라이언트와의접속여부를알기위해사용 하는워치독패킷에대한응답을클라이언트를대신하여행하는기능. [KS A 9000:2001] 시정조치는재발을방지하기 버가클라이언트와의접속여부를계속확인하기위해클라이언트에보내는데, 간동안응답이없으면서버와의세션은종료된다. 클라이언트로인해링크가단절되는문제가발생하게되는데, 서버측에워치독스푸핑라우터를설치하여클라이언트를대신하여응답하도록한것 이러한워치독패킷사용상에도많은 이문제를해결하기위해 워치독패킷은서 이워치독스푸핑이다. 일정기 [IT용어사전] 235
웜바이러스 (Worm virus) 부록1. 보안통제 용어 해설(ㅇ) (Risk) 위험 (Risk reduction) 위험감소 (Risk management) 위험관리 (Risk 위험기준 criteria) (Risk 위험보유 위험분석 retention) (Risk 위험산정 analysis) (Risk estimation) 컴퓨터바이러스의하나. 중소기업의기술보호를위한 프로그램이다. 보통 웜(worm) 이라고한다. 컴퓨터에근거지를둔지렁이와같은기생충 이라는뜻의부정 컴퓨터바이러스와는달리다른프로그램을 세부보안통제실행지침서 감염시키지않고자기자신을복제하면서통신망등을통해널리퍼진다. 템에나쁜영향을미칠정도는아니었으나후에 실제로해를끼치는웜이출현하여통신망전체에증식된예도있다. [IT용어사전] 당초에는시스 비고1. 사건의확률및그결과의조합[KS 비고2. 비고3. 용어 위험"은일반적으로최소한부정적인결과가있을가능성이있을 어떤경우에도위험이란예상과의편차(deviation)를말한다. 안전과관련된다른현안(issue)은ISO/IEC 때만사용된다. A ISO/IEC Guide Guide 73] X 위험은산업분야별로 리스크' 위험에관련된확률, ISO/IEC 27005:2009] 부정적결과또는양자모두를경감시키기위해취해지는조치[KS 또는'위험성'으로표현된다. 51 참조 비고. 위험에관하여어떤조직을지시하고통제하는잘조화된활동 [KS 성 이란용어는 확률 이란용어대신에사용된다. 이표준[KS ISO/IEC Guide X ISO/IEC 73] 27005:2009]에서위험감소에있어서 발생가능 위험의유의성(significance)을평가하기위한기준항목 비고. [KS A 등을포함한다. 위험관리는일반적으로위험평가, ISO/IEC Guide 73] 위험처리, 위험수용, 위험소통 비고. 특정위험으로부터의손실부담또는효과획득을수용하는것. 경적측면, 다른투입요소를포함할수있다. 위험기준에는관련비용및이익, 당사자의관심사, 우선순위(priority), 법적시행령적요건, 평가(assessment)에대한 사회-경제및환 위험의출처를파악하고크기를산정하기위한정보의체계적인사용 [KS 비고. 고려한다. 정보보안위험에서위험보유에관해서는오직부정적결과(손실)만을 ISO/IEC 27005:2009] [KS 비고. [KS 위험분석은위험수준평가, ISO/IEC 27001:2006] 비고1. 위험의확률과결과에대하여값을할당하는프로세스 X ISO/IEC 이표준에서위험산정에있어 활동(activity) 이라는용어는 27005:2009] 위험처리, 위험수용의기초를제공한다 비고2 확률(probability) 이라는용어를대신하여사용된다. 이표준에서위험산정에있어 가능성(likelihood) 이라는용어는 프로세스(process) 라는용어를대신하여사용된다. 236
(Risk 부록1. 보안통제 위험수준평가 acceptance) 위험수용 용어 해설 (ㅇ) (Risk (Risk identification) evaluation) 위험식별 (Risk 위험전가 transfer) (Risk communication) 위험소통 (Risk treatment) 위험처리 (Risk assessment) 위험평가 (Risk avoidance) 위험회피 (Mobile 이동코드 (Threat) Code) 위협 (Authenticity) 인증 (Authentication) 인증성 위험을받아들이는결정[KS X ISO/IEC 27001:2006] 중소기업의기술보호를위한 세부보안통제실행지침서 위험의심각성을결정하기위하여정해진위험기준대비산정된위험을비교하는과정 위험의구성요소를찾아내고, [KS 비고. 본국제표준(ISO/IEC 27001:2006] 27005:2009] 27005)에서는위험식별"프로세스" 목록화하고, 특성화하는프로세스 한위험에대한손실부담또는효과획득을다른당사자와공유하는것. [KS X "활동"으로사용 ISO/IEC 27005:2009] 용어대신 의사결정자및기타이해관계자간의위험에대한정보교환또는공유활동[KS 비고. ISO/IEC 고려한다. 정보보안위험에서위험전가에관해서는오직부정적결과(손실)만을 비고. 확률(probability), 기타다른측면등과관련될수있다. 위험소통의정보는위험존재(existence), 27005:2009] 강도(severity), 수용성(acceptability), 특성(nature), 처리(treatment), 형태(form), X 위험분석과위험수준평가의전반적인과정[KS 위험을수정하기위한대책의선택및이행과정[KS 비고. 사용된다. 본국제표준(ISO/IEC 27005)에서용어 통제 는 대책 과동의어로써 A ISO/IEC X ISO/IEC Guide 27001:2006] 위험상황에관련되지않기로하는결정또는위험상황으로부터피하는활동[KS 73] 시스템/조직에피해를일으킬지도모르는원치않는사고의잠재적원인을말한다[KS ISO/IEC 27005:2009] X 자바애플릿(applet [학술논문] 27002:2006] )이나스크립트와같이원격지에서실행가능한코드 X Property 엔티티(사람등)의요구가엔티티라는성질 앤티티가요구한특성이정확하다는보증을제공 that an entity is what it claims to be [ISO/IEC 27001:2009] Provision 27001:2009] of assurance that a claimed characteristic of an entity is correct [ISO/IEC 237
(Asset) 자산 부록1. 보안통제 용어 해설 (ㅈ) (EDI: Electronic 전자자료교환 Interchange) Data (Residual 잔여위험 (SoA: 적용성보고서 Statement Risk) Applicability) of (Procedure) 절차 (Access 접근통제 (Information 정보보안 security) control) (ISMS: 정보보안경영시스템 Management Information Security System) 중소기업의기술보호를위한 비고. 조직에게가치를제공하는모든것[KS 다음과같은다양한정보유형이존재한다 X ISO/IEC 27001:2006] 세부보안통제실행지침서 e) d) a) b) c) 물리적자산, 정보자산 사람자산, 소프트웨어자산, 서비스자산; 그들의자격, 컴퓨터등 컴퓨터프로그램등 기업간수주, 준화된포맷과규약에따라컴퓨터간에온라인으로전달하는것. f) 유형자산, 발주, 수송, 평판과이미지등 결제등상업거래를위한자료를데이터통신회선을통해표 역량, 경험 유럽경제위원회(UN/ECE)의주관으로전자자료교환(EDI) 되어1988년4월프로토콜의명칭을EDIFACT로하고, (비즈니스프로토콜)의핵심인구문규칙을국제표준(ISO 동년7월에EDI 9735)으로채택하였다. 프로토콜의표준화가합의 1986년에국제연합 정보표현규약 어사전] 위험처리후남아있는위험 [IT용 조직에ISMS에적절하게적용가능한통제목표와통제를정의한문서. [KS 비고. X 통제목표와통제는위험평가의결과와결론, ISO/IEC 27001:2006] 활동또는프로세스를수행하기위하여규정된방식[KS 법적/규정적요구사항, 사업요구사항을기초로한다. 계약상의의무, 정보보안을위한조직의 위험처리프로세스, 비고1. 비고2. 용어가흔히사용된다. 절차서 로부를수있다. 절차가문서화되면 작성된절차 또는 문서화된절차 라는 절차는문서화될수도있고문서화되지않을수도있다. 절차를포함하고있는문서)는 A 9000:2001] 사업과보안요구사항을근거로자산접근의인가와제한을보장하는수단[ISO/IEC 27000:2009] 정보의기밀성, 확실성과같은기타성질이포함될수있음 [KS 정보의수집 가공 저장 검색 송신 수신중에정보의훼손 변조 유출등을방지하기위한 관리적 기술적수단, X ISO/IEC 27001:2006] 무결성, 또는그러한수단으로이루어지는행위. 정보의가용성의보존; 추가적으로인증성, 책임성, 부인방지및 [IT용어사전] 사업위험관리초점에기초하여정보보안의구축, 위한종합적인경영시스템의일부를총칭 [KS 비고. X 프로세스와자원들을포함한다. 경영시스템은조직적인구조, ISO/IEC 27001:2006] 정책, 계획수립, 이행, 활동, 운영, 책임, 감시, 관행, 검토, 절차, 유지, 개선하기 238
(Information 정보보안사건 security event) 부록1. 보안통제 용어 해설 (ㅈ) (Information security 정보보안사고 incident) (Information 정보보안위험 (Capacity 정보용량관리 Management) security Risk) (Information 정보처리설비 processing facilities) (Third(Policy) 제3자 party) 정책 (IPR: Intellectual 지적소유권 Property Rights) (Guideline) 지침 중소기업의기술보호를위한 암시하는시스템, 정보보안정책의위반, 서비스또는네트워크상태의발생 보호실패, 보안관련사전에알려지지않은상황등의가능성을 세부보안통제실행지침서 [KS An possible unknown [ISO/IEC identified X ISO/IEC breach occurrence 27001:2006] of information of a system, service policy or or network failure of state safeguards, indicating or 사업운영을방해하고정보보안을위협하는심각한개연성을갖는원하지도기대하지 TR situation 18044:2004] that may be security relevant a previously 도않은정보보안한사건또는일련의사건 [KS A a information single X ISO/IEC a series 27001:2006] 주어진위협이자산또는자산그룹의취약점을이용하여조직에피해를발생시킬잠재 significant security probability of [ISO/IEC unwanted of compromising TR 18044:2004] or unexpected business information operations security and threatening events that have 정보시스템전체의처리능력을관리, 성[KS 비고. 부문이필요로하는데이터처리량이나서비스품질을예상해서그에대응할수있도록 위험은사건의발생가능성과그결과의조합으로측정된다 X ISO/IEC 27005:2009] 컴퓨터의능력을할당하기위한작업전부를말한다. 할서비스내용과수준을예상하는서비스레벨관리, 위관리, 조정하는것. 컴퓨터나기억장치를이용하는각 자원관리등으로나눌수있다. 정보시스템이용자에게제공해야 모든정보처리시스템, 시스템을구성하는기기의처리능력과수량및배치등을파악해서조정하는 서비스또는인프라, [IT용어사전] 또는그들이위치한물리적장소[KS 처리량을측정, 예측하는업무범 경영자에의해공표된전체적인의도와방향[KS ISO/IEC 27002:2006] X ISO/IEC 27002:2006] X 관계자로부터독립하다인것으로서인식된그사람또는신체로문제의결과에고려함 [KS 지적활동으로인하여발생하는모든재산권. 유권과문화창달을목적으로하는저작권으로분류된다. 신안권, X ISO/IEC 27002:2006] 산권(복제권, 보호협약(파리조약), 의장권( 意 匠 權 상표권, 상호권등이있으며, 크게산업발전을목적으로하는공업소 있으며, 미국에서는사업비밀보호를위한부정경쟁방지법으로도보호된다. 출판권, 방송권) 특허협력조약(워싱턴조약), 등이있다. 지적재산권관련국제법으로는공업소유권 세계저작권협약(파리조약) 저작권에는저작인접권, 공업소유권에는특허권, 저작자재 최근에는 등이 실용 컴퓨터나통신기술에서소프트웨어비중이커지면서소프트웨어에대한지적재산권도 정책에서제시한목표를성취하기위해무엇을해야하고어떻게해야만하는지를명확 하게정의한설명서[KS 보호되고있다.[IT용어사전] X ISO/IEC 27002:2006] 239
(Accountability) 책임성 부록1. 보안통제 용어 해설 (ㅊ~ㅍ) (Vulnerability) 침투시험 취약성 (Penetration test) (Cookie 쿠키스니핑 sniffing) 통제목표 (Control) 통제 (Control (Trojan 트로이목마 objective) horse) 프로세스 (Process) 엔티티(조직/사람등)의행동과의사결정책임[ISO/IEC 중소기업의기술보호를위한 [책임추적성] 시스템내의각개인은유일하게식별되어야한다는정보보호원칙. 27000:2009] 세부보안통제실행지침서 칙에의해서정보처리시스템은정보보호규칙을위반한개인을추적할수있고, 은자신의행위에대해서책임을진다. 하나또는둘이상의위협에의해이용될수있는자산/자산그룹의약점 [IT용어사전] 각개인 이원 [KS 1정보시스템에취약성이존재하여실제로악용될수있는지를확인하기 위해평가자가직접침투를실시하는시험 X ISO/IEC 27002:2006] 2시스템의정보보호기능의취약점을찾아내기위하여시도하는시험 [IT용어사전] 사용자의웹브라우저에있는쿠키를훔치거나엿보는해킹기법. 쇼핑몰등을방문하면웹서버는각종필요한정보를사용자의하드디스크(HD)에저장 해놓는데여기에는사용자가로그인했을때입력한ID나패스워드등보안상민감한 정보도들어있다. 다른사람의손에들어가게되면사용자는개인정보유출등의심각한피해를입을수 이러한정보가저장된파일이쿠키이며, 쿠키스니핑에의하여이것이 사용자가게시판이나 도있게된다. 관리, 기술, 경영, [IT용어사전] 통제이행의결과로달성하고자하는것에대한설명 포함한위험을관리하는수단[KS 비고. 통제는또한보호또는대책과동의어로사용된다 법적요구를충족할수있는정책, X ISO/IEC 27002:2006] 절차, 지침, 관행또는조직구조를 [ISO/IEC 다른사람에게서빌린프로그램이트로이목마와같은역할을하여빌린사람이파일을 훔치거나변경함으로써프로그램에버그를가져오는것. 투유형의하나로, 15939:2007] 로써영구적으로시스템내에상주할수도있고, 모두지워버릴수도있다. 계속적인불법침투가가능하도록시스템내에부호를만들어놓음으 [IT용어사전] 소기의목적을달성한후에그자취를 운영체계에대한일반적인침 입력을출력으로변환시키는상호관련되거나상호작용하는활동의집합 [KS 비고1. 비고2. 비고3. A 9000:2001] 프로세스의입력은일반적으로다른프로세스의출력이다. 조직에서의프로세스는일반적으로가치를부가하기위하여통제된 조건하에서계획되고수행된다. 결과로산출된제품의적합성이즉시또는경제적으로검증될수없는 경우의프로세스를흔히 특별프로세스 라고부른다. 240
(Probability) 확률 부록1. 보안통제 용어 해설 (ㅎ) (Effectiveness) 효과성 (Efficiency) 효율성 사건이발생가능한정도[KS 중소기업의기술보호를위한 비고1. 확률의수학적정의는 어떤무작위사건(random A ISO/IEC Guide 73] event)에부여되는 세부보안통제실행지침서 0과1의실수값 이다. (relative 또는사건이일어날믿음의정도(degree 확률은발생의장기적인(long-run) 상대빈도 비고3. 비고2. 확률에대한믿음의정도는 매우드문(rare)/드문(unlikely)/보통 위험를묘사하는데확률보다빈도(frequency)가이용될수있다. 와연관될수있다. (ISO 3534-11.1 참조). 믿는정도가높으면확률은1에근접한다of belief) 같은단어로써표현된등급(ranks)이나분류(classes)가채택될수있다. (moderate)/빈번(likely)/거의확실(almost (incredible)/있음직하지않은(improbable)/아주적은(remote)/가끔일 어나는(occasional)/가망이있는(probable)/자주일어나는(frequent) 과 certain) 또는 믿어지지않는 계획된활동이실현되어계획된결과가달성되는정도[KS 달성결과와사용된자원수준과의관계[KS A 9000:2001] A 9000:2001] 241
번호 21 산업기술의유출방지및보호에관한법률 부정경쟁방지및영업비밀보호에관한법률 법률명 산업기술의부정한유출방지 타인의영업비밀을침해하는행위를방지 제정취지 34 통신비밀보호법 정보통신기반보호법 통신비밀보호및자유신장 5 정보통신망이용촉진및정보보호에관한법 률 호전자적침해행위에대비하여주요정보통신기반시설의보 6 공공기관의개인정보보호에관한법률 정보통신서비스를이용개인정보를보호와 공공기관의컴퓨터 폐쇄회로텔레비전등정보의 정보통신망을건전하고안전하게이용 7 신용정보의이용및보호에관한법률 신용정보업을건전하게육성하고신용정보의효율적 이용과체계적관리를기하며신용정보의오용 남용 처리또는송 수신기능을가진장치에의하여처리 으로부터사생활비밀등을적절히보호 되는개인정보의보호 10 89 위치정보의보호및이용등에관한법률 전자금융거래법 전자서명법 전자금융거래의안전성과신뢰성을확보 전자문서의안전성과신뢰성을확보 11 위치정보의유출 오용및남용으로부터사생활의 비밀등을보호 12 전자상거래등에서의소비자보호에관한법률 사항을규정함으로써소비자의권익을보호 전자상거래및통신판매등에대한공정한거래에관한 13 유비쿼터스도시의건설등에관한법률 유비쿼터스도시의효율적인건설및관리등에관한 사항을규정하여도시의경쟁력을향상 14 국가공간정보에관한법률 국가공간정보체계의효율적인구축과종합적활용및 15 관리에관한사항을규정 16 국가정보화기본법 정보보호시스템평가 인증지침과공통평가기준제시 17 컴퓨터프로그램보호법 프로그램저작권보호 18 저작권법 지적재산권보호 19 주민등록법 전기통신기본법 주민등록번호오용, 허위통신예방 도용, 유포방지 국내중소기업의기술보호를위해적용되는핵심법규. 20 21 전기통신사업법 반도체집적회로의배치설계에관한법률 사업자의통신비밀누설및통신방해등금지 반도체기밀보호 법규에대한상세검색과다운로든법제처국가법령정보센타(www.law.go.kr)참조 형법 비밀침해, 전자기록침해, 도박, 명예훼손, 사기등예방 부록 2. 국내 보안 관련 법규 보안 관련 주요 법규 현황 242
고산업기술을보호함으로써국내 산업의경쟁력을강화하고국가의 안전보장과국민경제의발전에이 산업기술의부정한유출을방지하 산업기술 바지 국가핵심기술 국가연구개발사업등 산업기술을보유한기업, 국가로부터연구개발비를지원받 아개발한국가핵심기술보유자 전문기관, 대학등 연구기관, 물적 적용범위 부정경쟁방지및영업비밀보호에관한법률은기본적으로민간기업의영업비밀누설인경우에만처벌. [제정배경] 또한국내기업이재정악화등의이유로국가핵심기술을중국등해외기업으로이전하는경우도국가적차원 국개핵심기술은보유한정부출연연구소, (부경법제18조) 의규제가필요할수있음 그기업에유용한영업비밀을침해한경우형사처벌한다고규정하고있으나부경법으로는 산업기술의유출방지및보호계획의수립, 대학등을통한산업기술의유출에대한효과적인통제가부족함 -기본계획: -시행계획: 산업기술보호위원회의설치(제7조) 지경부장관이관계중앙행정기관과의협의후수립 시행 관계중앙행정기관장이기본계획에따라수립 시행 시행(제5조, 제6조) -기능: -구성: 지식경제부, 산업기술유출방지및보호에관한기본계획및시행계획, 기획재정부, 지정 변경및해제, 보건복지가족부, 교육과학기술부, 국가핵심기술의수출, 환경부, 외교통상부, 국토해양부장관 법무부, 국가연구개발사업의보호실태조사등심의 국방부, 국가핵심기술의 농림수산식품부, -산업기술을보유한기업, -산업기술의유출방지및보호를위한방법절차등에관한지침 산업기술보호지침의제정 보급(제8조) -국가핵심기술: 국가핵심기술의지정 변경 해제(제9조) 국내외시장에서차지하는기술적 경제적가치가높거나관련산업의 연구기관, 전문기관, 대학등이활용 -절차: 성장잠재력이높아해외유출시국가안보/국민경제에중대한악영향을줄우려가있는기술 -국가연구개발사업수행중성과물의외부유출방비를위한대책수립 시행 -보호구역의설정, 국가핵심기술및국가연구개발사업의보호조치(제10조, 관계중앙행정기관장의통보 산업기술보호위원회심의 이해관계인진술 지정 국가핵심기술의해외매각 수출에대한승인 신고(제11조제1항, 출입허가, 휴대품검사등기술유출방지를위한기반구축조치의무 제12조) -승인: -신고: 기업, 연구기관등이국가로부터연구개발비를지원받아개발한국가핵심기술 연구기관등이보유 관리하고있는승인대상이아닌국가핵심기술 제4항) -부정한방법으로타인의산업기술을취득 사용 공개하는행위 산업기술유출및침해행위금지(제14조) -국가핵심기술및국가연구개발사업으로개발한산업기술의유출또는유출우려 -지경부장관및정보수사기관장에신고 산업기술유출및침해신고의무(제15조) -산업기술을유출 사용 공개하거나제3자가사용하게하는행위 -징역형과벌금형은병과가능하며미수범과예비음모자도처벌 -산업기술국내유출: -산업기술해외유출: 산업기술의유출행위등에대한벌칙(제36조, 5년이하징역또는5억원이하벌금 10년이하징역또는10억원이하벌금 제37조) 부록 2. 국내 보안 관련 법규 산업기술 유출방지 및 보호정책 수립 시행 국가 핵심기술 보호 강화 산업기술 유출침해 금지 및 신고 의무화 제정목적 산업기술의 유출방지 및 보호에 관한 법률 인적 적용범위 243
하여건전한거래질서를유지 국내에널리알려진타인의상표ㆍ상호(상호) 등을부정하게사용하는등의부정경쟁행위 와타인의영업비밀을침해하는행위를방지 우려가있는경우법원에그행위의금지또는예방을청구 영업비밀보유자는영업비밀침해행위를하거나하려는자에 대하여그행위에의하여영업상의이익이침해되거나침해될 의영업상이익을침해하여손해를입힌자는그손해를배상 고의또는과실에의한영업비밀침해행위로영업비밀보유자 제정목적 기술상또는경영상의정보(제2조제2항). 정보의종류에제한이없음 할책임을짐 -1) -3) 비밀성: 비밀관리성: 알려지지않은정보, 상당한노력에의하여비밀로유지된 2) 독립적경제성: 독립된경제적가치를가지는것 통신및대화의비밀과자유에대한제한은 그대상을한정하고엄격한법적절차를거치 도록함으로써통신비밀을보호하고통신의 누구든지이법과형사소송법또는군사법원법의규정에의하 자유를신장 지아니하고는우편물의검열ㆍ전기통신의감청또는통신사 실확인자료의제공을하거나공개되지아니한타인간의대화 혼신제거를위한전파감시 복역중인사람에대한통신, [예외]환부우편물등의처리, 를녹음또는청취하지못함파산선고를받은자에대한통신, 수출입우편물에대한검사, 구속/ -미국주요기업의73.5% 2000년발표자료) -일본150개조사기업중42% 이신문2002년기사) (미국경영자협회 -한국250개조사기업중89.9%(니혼게이자 (한국노동 의내용은재판또는징계절차에서증거로사용할수없음. 나그내용및불법감청에의하여지득또는채록된전기통신 제3조의규정에위반하여, 불법검열에의하여취득한우편물이 당사자의사전동의가있는경우 자감시근절을위한시민연대2003년발표) 용도제한및모니터링에대한고지 밀침해죄구성요건미성립 비밀침해또는감청에해당하지않음, 정기적으로실시필요 비 봉함/비밀장치한사람의편지, 봉함/비밀장치한사람의편지, 처한다 자는3년이하의징역이나금고/500만원이하의벌금에 문서또는도화를개봉한 등특수매체기록을기술적수단을이용하여그내용을 알아낸자도제1항의형과같다문서, 도화또는전자기록 하여정보통신망에침입하여서는안된다 누구든지정당한접근권한없이또는허용된접근권한을초과 제48조(정보통신망침해행위등의금지) 정보통신망법 부록 2. 국내 보안 관련 법규 영업비밀이 될 수 있는 정보 영업비밀 성립요건 제정목적 전자메일 모니터링 현황 [해결방안 : 당사자 동의] 부정경쟁방지 및 영업비밀보호에 관한 법률 영업비밀 침해행위 금지 (제10조) 영업비밀에 침해에 대한 손해배상책임 (제11조) 통신비밀보호법 통신 및 대화비밀의 보호(제3조) 불법검열에 의한 우편물의 내용과 불법감청에 의한 전기통신내용의 증거사용 금지(제4조) 형법 제316조 (비밀침해) 244
전자적침해행위에대비하여주요정보통신 기반시설의보호에관한대책을 주요정보통신기반시설보호대책의수립(제5조) 안정을보장 수립 시행함으로써동시성을안정적으로 주요정보통신기반시설의보호계획수립(제6조) 운용하도록하여국가의안전과국민생활의 주요정보통신기반시설의지정등(제8조) 주요정보통신기반시설침해행위등의금지(제12조) (직무상취득한) 벌칙제12조규정위반(제28조) 1제12조의규정을위반하여주요정보통신기반시설을 교란 마비또는파괴한자는10년이하의징역또는1억원 비밀유지의무(제27조) 벌칙제27조규정위반(제29조) 2제1항의미수범은처벌한다. 이하의벌금에처한다. 징역, 제27조의규정을위반하여비밀을누설한자는5년이하의 정보통신망이용촉진및정보보호등에관한법률제2조제1항 처한다. 10년이하의자격정지또는5천만원이하의벌금에 전기통신기본법제2조 1."전기통신"이라함은유선ㆍ무선ㆍ광선및기타의전자적방식에의하여부호ㆍ문언ㆍ음향또는영상을 컴퓨터의이용기술을활용하여정보를수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신또는수신하는정보통신체제를말한다. "정보통신망"이란 전기통신기본법 제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및 2."전기통신설비"라함은전기통신을하기위한기계ㆍ기구ㆍ선로기타전기통신에필요한설비를말한다. 송신하거나수신하는것을말한다. 스를이용하는자의개인정보를보호함과아 정보통신망의이용을촉진하고정보통신서비 과공공복리의증진에이바지 할수있는환경을조성하여국민생활의향상 울러정보통신망을건전하고안전하게이용 문서또는관련기록을적법한절차에따르지아니하거나전자 전자문서중계자는전자문서중계설비에의하여처리되는전자 문서발신자및수신자의동의없이공개하여서는아니된다. 전자문서등의공개제한(제21조) (제22조~제24조) 개인정보의수집 이용동의, 개인정보의관리책임자의지정등(제27조) 수집이용제한, 제공동의등 제정목적 개인정보를안전하게취급하기위한내부관 개인정보취급방침의공개(제27조의2) 개인정보에대한불법적인접근을차단하기 리계획의수립ㆍ시행 개인정보의보호조치, 정보통신망침해행위등의금지(제48조) 침해사고의대응, 비밀등의보호(제49조) 신고등(제48조의2, 누설금지, 파기(제28조~제29조) 속이는행위에의한개인정보의수집금지등(제49조의2) 전자우편주소의무단수집행위등금지(제50조의2) 제48조의3) 접속기록의위조ㆍ변조방지를위한조치 개인정보를안전하게저장ㆍ전송할수있는 위한침입차단시스템등 접근통제장치의설치ㆍ운영 백신소프트웨어의설치ㆍ운영등컴퓨터바 암호화기술등을이용한보안조치 중요정보의국외유출제한등(제51조) 그밖에개인정보의안전성확보를위하여 이러스에의한침해방지조치 국외이전개인정보의보호(제63조) 필요한보호조치 부록 2. 국내 보안 관련 법규 제정목적 개인정보의 보호조치 (제28조) 정보통신기반보호법 정보통신망 이용촉진 및 정보보호에 관한 법률 245
전자문서의사용(제5조) 전자금융거래의법률관계를명확히하여전 접근매체의선정과사용및관리(제6조) 자금융거래의안전성과신뢰성을확보함과 거래내용의확인(제7조) 아울러전자금융업의건전한발전을위한기 오류의정정등(제8조) 반조성을함으로써국민의금융편의를꾀하 금융기관/전자금융업자의책임(제9조) 고국민경제의발전에이바지 접근매체의분실과도난책임(제10조) 전자지급거래계약의효력(제12조) 전자화폐의발행과사용및환금(제16조) 안전성의확보의무(제21조) 벌칙(제49조) 전자금융거래기록의생성및보존(제22조) 다음각호의어느하나에해당하는자는7년이하의징역/5천만원이하의벌금 : 양관의명시와변경통지등(제24조) 1. 2. 3. 4. 접근매체를위조하거나변조한자 위조/변조된접근매체를판매알선ㆍ판매ㆍ수출또는수입하거나사용한자 5. 획득하거나획득된접근매체를이용하여거래한자 분실/도난된접근매체를판매알선ㆍ판매ㆍ수출또는수입하거나사용한자 수입하거나사용한자 전자금융거래를위한전자적장치또는정보통신망에침입하여허위그밖의부정한방법으로접근매체를 강제로빼앗거나, 횡령하거나, 사람을속이거나공갈하여획득한접근매체를판매알선ㆍ판매ㆍ수출또는 전자문서의안전성과신뢰성을확보하고그 이용을활성화하기위하여전자서명에관한 전자서명의효력(제3조) 기본적인사항을정함으로써국가사회의정 공인인증기관의지정(제4조) 보화를촉진하고국민생활의편익을증진 (공인인증기관)결격사유(제5조) 공인인증업무준칙등(제6조) 공인인증서의발급(제15조) 공인인증서의효력의소멸, (제16조~제18조) 효력정지, 폐지등 제정목적 날인또는기명날인을요하는경우전자문서 [전자서명의효력(제3조)] 1다른법령에서문서또는서면에서명, 에공인전자서명이있는때에는이를충족한 공인인증서를이용한본인확인등(제18조의2) 것으로본다. 서명 공인인증기관의안전성확보(제18조의3) 2공인전자서명이있는경우에는당해전자서 인증업무에관한설비의운영(제19조) 명이서명자의서명, 전자문서의시점확인(제20조) 이고, 전자서명생성정보의관리(제21조) 이변경되지아니하였다고추정한다. 인증업무에관한기록의관리(제22조) 3공인전자서명외의전자서명은당사자간의 서명날인또는기명날인 공인인증서의관리(제22조의2) 약정에따른서명, 당해전자문서가전자서명된후그내용 인증업무의장애발생신고(제22조의3) 로서의효력을가진다. 서명날인또는기명날인으 전자서명생성정보의보호등(제23조) 개인정보의보호등(제24조) 전자서명인증관리업무(제25조) 이용자의준수사항(제25조의2) 부록 2. 국내 보안 관련 법규 제정목적 전자금융거래법 전자서명법 246
중소기업의기술보호를위한 세부보안통제실행지침서 제1장총칙 제1조(목적) 제2조(용어의정의) 제3조(적용범위) 제4조(보안원칙) 제2장관리적보안 제1절보안조직 제4조(보안성검토) 제5조(보안심사위원회) 제6조(간사) 제7조(심사위의심의사항) 제8조(심사위의운영) 제9조(보안협의회) 제10조(보안협의회의구성) 제11조(보안협의회의운영) 제12조(정보보호책임자의임명및임무) 제13조(보안책임자및보안담당자의임명) 제14조(보안책임자및전산분임보안책임자의임무) 제15조(정보보호전담자의임무) 제16조(시스템보안담당자의임무) 제17조(보안담당관의교체) 제18조(보안업무세부시행계획수립및집행) 제19조(자체보안진단) 제20조(보안업무심사분석) 제2절비밀문서보안 40조(비밀의분류) 제41조(비밀세부분류지침) 제42조(예고문) 제43조(재분류검토) 제67조(비밀의지출) 제68조(비밀의인계) 제69조(안전지출및파기계획) 제70조(비밀문서통제관및통제) 제71조(비밀소유현황조사보고) 제72조(중요정책자료등에대한보안대책) 제73조(전시비밀관리) 제3절전자문서보안 제35조(DRM 운용체제) 제36조(적용범위) 제37조(역할) 제38조(관리체제및권한설정) 제39조(전자문서의보안관리) 제4절전산자료보안 제99조(전산자료보안관리) 제100조(정보통신망관련자료관리) 제101조(전산자료보호등급분류기준) 제102조(보호호등급별보안대책) 제103조(중요자료등의전산처리) 제5절인적자원보안 제21조(신원조사) 제22조(신원조사대장의비치) 제23조(신원조사회보서의관리) 제24조(해외출장자에대한관리) 부록 3. [사례] 보안관리매뉴얼 247 제43조(재분류검토) 제44조(비밀사본의파기) 제45조(비밀기록물의이관) 제46조(비밀의수발) 제47조(경유문서의처리) 제48조(수발담당자의유의사항) 제49조(발송절차) 제50조(오착비밀문서의발송절차) 제51조(영수증의관리) 제52조(영수증의작성요령) 제53조(비밀의보관) 제54조(보관용기) 제55조(비밀보관용기의열쇠관리) 제56조(비밀보관책임자) 제57조(비밀보관정책임자의교체시인계인수절차) 제58조(비밀관리기록부) 제59조(비밀관리기록부의갱신절차) 제60조(비밀관리기록부철의보존) 제61조(비밀문서의외주발간) 제62조(비밀과제의외주용역등) 제63조(워드프로세서등자체장비이용시보안통제) 제64조(비밀의복제 복사) 제65조(비밀의원본및사본관리) 제66조(비밀의대출및대외기관에대한자료제공) 제25조(외국인임용관련보안대책) 제26조(임시직원의업무한계및비밀취급등) 제27조(비밀취급인가권자) 제28조(비밀취급인가대상) 제29조(비밀취급인가요청) 제30조(비밀취급인가및관리 제31조(서약) 제32조(비밀취급인가의해제) 제33조(비밀취급인가증의회수처리) 제34조(비밀취급인가증의재발급) 제94조(협력업체보안관리) 제150조(보안교육) 제151조(정보보호교육및훈련) 제155조(책임) 제156조(징계) 제6절보안사고관리 제148조(사이버공격초동조치) 제149조(사이버공격대응활동) 제152조(감독, 감사및지도 점검) 제153조(보안사고) 제154조(보고사항)
제7절사업연속성관리 제107조(재난복구대책) 제127조(개인정보의수집) 제128조(개인정보파일의보유범위) 제8절개인정보보호 제126조(개인정보보호의원칙) 제131조(개인정보파일대장의작성) 제129조(개인정보파일의보유 변경시사전협의) 제130조(개인정보보호방침) 제135조(처리정보의열람) 제136조(처리정보의열람제한) 제132조(개인정보의안전성확보등) 제137조(처리정보의정정및삭제등) 제133조(처리정보의이용및제공의제한) 제134조(개인정보파일의파기) 제9절정보보호시스템보안 제138조(도입) 제139조(운영및보안관리) 제140조(목적외사용제한) 제141조(원격관리제한) 제142조(사용자관리) 제143조(긴급사태관리 제10절시설보안 제74조(중요시설등에대한방호) 제75조(보호구역의설정) 제76조(보호구역의보호대책) 제77조(보호구역의관리책임) 제78조(기타중요서류 자재등의안전관리) 제83조(시설변경등에따른보안성검토) 제79조(출입증의발급) 제80조(출입증의반납) 제81조(제한 통제구역의출입절차) 제82조(보안및화기단속책임) 제11절보안자재보안 제84조(무선통신보안관리) 제85조(국제통신보안관리) 제86조(보안자재의주관) 제87조(암호자재의관리) 제88조(암호자재의보관책임자) 제89조(보안자재의인계인수) 제90조(보안자재의사용) 제91조(보안자재의긴급파기) 제92조(보안자재의사고) 제93조(대도청점검활동) 부록 3. [사례] 보안관리매뉴얼 제3장 물리적 보안 중소기업의기술보호를위한 세부보안통제실행지침서 제12절정보통신운영보안 제96조(계획수립) 제97조(정보통신시스템보안성검토) 제98조(취약점분석평가) 제104조(중요자료저장보조기억매체관리) 제105조(정보통신시스템보안관리) 제106조(정보통신시스템운영) 제108조(내부직원정보보호) 제109조(PC 제110조(계정관리) 제111조(패스워드관리) 제112조(암호정책및사용) 제113조(악성코드방지대책) 보안관리) 제114조(전자우편등의보안관리) 제115조(업무망과인터넷망분리) 제116조(인터넷등외부망연동) 제117조(홈페이지등공개용서버관리) 제95조(홈페이지보안관리) 제118조(원격근무보안관리) 제122조(인터넷전화정보보호) 제13절외부용역사업정보보호 제123조(무선랜정보보호) 제119조(용역계약및자료제공시보안대책) 제124조(와이브로보안관리) 제120조(외부용역사업정보보호일반) 제125조(저장매체내장디지털복사기보안관리) 제121조(용역업체에대한보안지도및감독) 제14절정보시스템개발보안 제144조(분석및설계보안관리) 제145조(구현및이행보안관리) 제146조(변경관리) 제147조(준용) 제4장 기술적 보안 248
제1조(목적)본규정은주식회사ABC(이하 회사 라한다)의보안업무의적정한운영과관리를위하여필요한사항을규정함을목적으로한다. 1 보안담당부서 이라함은보안업무를주관하는부서를말한다. 2 문서통제부서 이라함은문서사무를통제하는부서를말한다. 3 경영정보시스템운영부서 라함은경영정보시스템을운영및재구축하는부서를말한다. 제2조(용어의정의)본규정에서사용하는용어의정의는다음각호와같다. 6 보안담당자 라함은보안업무를담당하는각부서또는팀의보안실무자를말하며, 4 생산부서 라함은비밀을생산하는부서를말한다. 5 보안책임자 라함은보안담당부서의장을말하며, 전산부서(정보보호전담팀)의장을말하며, 분임보안책임자 라함은보안업무를취급하는각부서의장을말한다. 전산분임보안책임자 라함은정보통신보안(정보보호) 시스템보안담당자 라함은정보통신보안(정보보호) 관련제반업무를주관하는특정 7 정보보안 또는 정보보호 라함은정보통신수단으로수집 가공 저장 검색 송수신되는정보의유출 위변조 훼손등을방지하거나정보 통신망을보호하기위하여관리적 물리적 기술적수단을강구하는일체의행위를말한다. 무를담당하는각부서또는팀의보안실무자를말한다. 업 8 개인정보 라함은생존하는개인에관한정보로서당해정보에포함되어있는성명 주민등록번호및화상등의사항에의하여당해개인을 식별할수있는정보(당해정보만으로는특정개인을식별할수없더라도다른정보와용이하게결합하여식별할수있는것을포함한다)를 10개인정보보호관련 처리정보 라함은개인정보파일에기록되어있는개인정보를말한다. 9 개인정보파일 이라함은컴퓨터등에의하여처리할수있도록체계적으로구성된개인정보의집합물로서자기테이프 자기디스크등전자 적인매체에기록된것을말한다. 11 전산자료 라함은전산장비에의하여전자기적인형태로입력 보관되어있는각종정보(data)를말하며, 12 정보보호시스템 이라함은전산자료의내용을보호하기위하여사용되는기술(소프트웨어)나전자기기(하드웨어)를말하며암호프로그램, 프, 보안장치등을포함한다. 디스크등보조기억매체를포함한다. 그자료가입력되어있는자기테이 제3조(적용범위)당사의보안업무에관한사항은보안업무규정(대통령령), 13 이동식저장장치 라함은USB 보조기억매체를말한다. 메모리, 착탈식하드디스크등특별한중간매체및설정없이단말기에쉽게연결하여바로사용할수있는 제4조(보안원칙) 라한다) 또는다른법령에특별한규정이있는경우를제외하고는본규정에서정한바에따른다. 동규정시행규칙(대통령훈령) 및감독기관시행세칙(이하 세칙 이 1위험을각오하거나참아내려고해서는안되면관리하려고하는자세를가져야한다 6보안위험을감시하고수용할수없는위험인경우에적절한조치를취한다 3운영또는관리프로세스에보안통제를통합한다 4정보시스템의오용에따른부정행위가능성을정보시스템의관리에고려한다 5보안수준에대한정기적인보고가이루어져야한다 2개인은보안통제가자신의직무의역할에포함된다는점을인식한다 8법률및규제위반이저지른조직을합당한징계조치를취한다 7정보의등급분류와위험수용에대한기준을정책에반영한다 부록 3. [사례] 보안관리매뉴얼 제 1 장 총 칙 249
제4조(보안성검토)1각부서의장은제74조중요시설이나제97조정보통신시스템을신ㆍ증설또는도입ㆍ변경하거나시 스템개발과관련하여PROJECT를진행하고자할경우에는계획수립단계부터보안대책을강구하여야하며, 제1절보안조직 보안책임자및전산분임보안책임자에보안성검토를요청하여야한다. 2각부서의장은보안성검토를요청시다음각항의사항을포함한다. 1. 사업목적및추진계획 이를바탕으로 5. 4. 2. 3. 보안관리수행체계(조직, 기술제안요구서 6. 정보통신망구성도 7. 정보통신시스템설치장소에대한보안관리방안등물리적보안대책 정보통신시스템보안관리에서요구하는보안대책(제97조4항) 재난복구계획 인원) 등자체관리적보안대책 3보안책임자는시설등에대하여물리적보안성검토를실시하고, 관련한준수사항등의보안성검토를실시한다. 4전산분임보안책임자는정보통신시스템보안성검토결과및외부기관의보안성검토진행과관련하여의견을기재하여 8 기타보안(전산분임보안)책임자가필요하다고인정하는자료 보안책임자에게통보하며, 보안책임자는각분야의보안성검토사항을취합하여의뢰부서에회신한다. 전산분임보안책임자는정보통신시스템도입및운영과 그결과를포함하여회신한다. 6각부서의보안성검토요청건이다음각호에해당될때에는보안심사위에심의를요청한다. 5보안책임자는보안성검토결과를의뢰부서에회신하기전보안심사위의심의나외부기관의보안성검토절차를이행후 1. 각부서의사업계획이직무규정상보안심사위원회위원장의전결이필요한 다만, 사업추진일정이긴박한경우에는의뢰부서와협의한다. 7보안성검토결과를통보받은부서는해당사업추진시보안성검토결과에따라보안을강화하고 2. 3. 당사의주요정보통신기반시설과관련되는사업에해당되는경우 대외기관요청등보안심사위원회의심의가필요할경우 사업(컨설팅포함) 8보안성검토관련세부절차는 보안성검토절차서 에따른다. 제5조(보안심사위원회)1보안업무의효율적인운영과주요보안대책및내규의합리적제 개정을도모하기위하여보안심사 이를보안성검토부서에응신한다. 위원회(이하 심사위 라한다)를둔다. 2심사위는해당보안업무담당전무이사(전무이사유고시본부장)를위원장으로, 임자및분임보안책임자중3인이상을매건별로위원장이지명한다. 원장과보안책임자, 3심사위의위원장이유고시에는위원중직제순에따라차순위위원이그직무를대행한다. 인사담당부서의장이관장한다. 신원특이자의보직및비밀취급인가에관한사항은위 상임이사또는본부장중2인이상, 보안책 제6조(간사)심사위의서무를처리하기위하여간사1인을두며, 제7조(심사위의심의사항)위원회는다음각호의사항을심의한다. 1보안업무에관한제규정의제정, 개정및폐지에관한사항 간사는보안책임자가된다. 2연도별보안업무의기본계획수립에관한사항 4보안사고및보안관련제규정위반자의처리에관한사항 3신원특이자의보안관리에관한사항 5중요사업에대한보안성검토및승인 6기타보안업무수행상필요하여위원장이부의하는사항 부록 3. [사례] 보안관리매뉴얼 제 2 장 관리적 보안 250
제8조(심사위의운영)1위원장은회의를소집하고그의장이된다. 중소기업의기술보호를위한 2심사위는위원과반수의출석과출석위원과반수의찬성으로의결하며가부동수인경우에는위원장이결정권을가진다. 세부보안통제실행지침서 3위원장은필요하다고인정하는때에는관계자를회의에출석시켜의견을진술하게할수있다. 4심사위의의결은긴급을요하거나기타위원장이필요하다고인정한경우서면에의한결의로써갈음할수있다. 5심사위의심의결과는회의록(별지제1호서식)으로보존하여야한다. 제9조(보안협의회)보안업무의능률향상과부서간협조체제를구축하기위하여보안협의회를둔다. 제10조(보안협의회의구성)보안협의회의회장은보안책임자가되며, 제11조(보안협의회의운영)1보안협의회는매분기마다1회씩정기로개최하고, 용부서분임보안책임자를정회원으로하고, 협의회안건에따라회장이분임보안책임자중추가로지명할수있다. 회원은전산분임보안책임자및총무, 회장이필요하다고판단할경우에는수 인사, 시스템운 2보안협의회는다음사항을협의한다. 시로개최할수있다. 1. 2. 3. 보안업무수행에필요한대책수립 4. 보안업무(자체)감사또는지도 점검에관한사항 보안업무와관련하여(전산)분임보안책임자역할과진행방향조율 제12조(정보보호책임자의임명및임무)1정보보호전담팀을소관하는본부장은보직과동시에정보보호책임자로임명 되며, 정보보호책임자가신규임명될때에는3일이내에소속 직급 직책 직급 성명 연락처(전자우편주소포함) 기타회장이필요하다고인정하여부의하는사항 2정보보호책임자는정보통신기반보호법시행령제9조및국가정보보안기본지침에의거다음각호의업무를총괄하는 감독기관에통보해야한다. 정보보호에관한총괄책임자를말한다. 등을 1. 2. 3. 회사주요정보통신기반시설보호대책의수립 시행 4. 취약점분석 평가및전담반구성 5. 회사주요정보통신기반시설의보호에필요한조치명령또는권고의이행 침해사고시감독기관및수사기관등에통지 7. 6. 회사주요정보통신기반시설의복구및보호에필요한조치 8. 소관분야정보보호업무조정및감독 정보보호위규적발강화및사고조사처리 정보보호감사 지도점검실시 10. 9. 정보보호수준평가 관리 기타다른법령에규정된당사주요정보통신기반시설의보호업무에관한사항 부록 3. [사례] 보안관리매뉴얼 251
제13조(보안책임자및보안담당자의임명) 중소기업의기술보호를위한 1회사보안담당부서의장과각부서장은보직과동시에보안책임자, 분임보안책임자에각각임명된것으로본다. 세부보안통제실행지침서 2보안담당자는분임보안책임자가임명한다. 3효율적인전산보안업무수행을위하여특정전산부서의장을 전산분임보안책임자 로임명할수있으며, 제14조(보안책임자및전산분임보안책임자의임무) 책임자는회사의보안책임자를보좌한다. 전산분임보안 1보안책임자는보안업무를총괄 조정하며, 2. 3. 1. 보안교육 비밀(대외비포함, 자체보안업무수행에관한계획 조정및감독 이하동일)소유현황조사 다음각호의임무를수행한다. 4. 5. 6. 7. 정보 통신보안업무에관한협조, 자체보안업무심사분석및감사 보안사고의조사보고 비밀취급인가및서약의집행에관한업무 조정 2전산분임보안책임자는정보통신보안관련제반업무를수행하며, 8. 9. 문서, 대도청보안관리 시설및유.무선전화, 팩시밀리및보안자재에대한보안관리 2. 1. 3. 정보통신망신, 정보통신보안활동계획수립 정보통신망및정보자료등의보안관리 증설시보안대책수립 다음각호의임무를수행한다. 4. 5. 정보통신보안업무지도 감독및교육 8. 6. 정보보호및보안시스템의보안관리 9. 7. 정보통신망취약성진단 기타정보통신보안관련업무 자체정보통신보안관련지침등제도개선 정보통신보안업무심사분석 3전산분임보안책임자는보직과동시에공공기관의개인정보보호에관한법률제20조의2에의거다음각호의업무를 수행하는개인정보관리책임관에임명된다. 3. 4. 1. 2. 개인정보처리실태의점검및감독 개인정보보호계획및방침의수립ㆍ시행 개인정보침해관련민원의접수ㆍ처리 4분임보안책임자는보안책임자의지휘 감독을받아보안업무를수행하고다음각호의업무를담당한다. 5. 1. 각종개인정보보호관련통계및자료의취합 2. 보안업무활동자체계획수립 집행및심사분석 소관보안업무에관한지도및감독 그밖에개인정보보호교육등그기관의개인정보보호를위하여필요한업무 3. 4. 소관보안업무의점검및진단 5분임보안책임자는부서내업무를위해개인정보파일이필요할경우보직과동시에분야별개인정보책임관에임명되 5. 6.기타제반보안관계규정에의하거나보안책임자가지시하는보안에관한사항 소속직원의보안교육 비밀소유현황파악및관리, 비밀취급인가자현황의조사및관리 며다음각호의업무를수행한다. 1. 2. 3. 4. 소관개인정보파일에대한안전성확보, 처리정보의취급내역에대한기록및현황관리 개인정보보호업무관련사항의보고 기타개인정보관리책임관이위임한개인정보보호관련업무 교육및관리감독 부록 3. [사례] 보안관리매뉴얼 252
6분임보안책임자가공석중일경우에는바로그하위직에있는자가그직무를수행한다. 중소기업의기술보호를위한 7보안담당자는분임보안책임자를보좌한다. 세부보안통제실행지침서 제15조(정보보호전담자의임무)1정보보호전담자는전산분임보안책임자의위임을받아정보보호및금융ISAC 운영, 1. 2. 유지에관한실무를담당하며적정정보보호수준유지를위한다음각호의임무를조정, 내부자정보보호교육주관/시행및외부자정보보호교육지원 정보보호업무지도, 주기적점검 주관한다. 업무의 3. 4. 5. 6. 보안성검토주관 7. 침해사고대응계획수립및조치, 취약정보통신망보안대책수립 정기적위험평가를통한보안관리 기타전산분임보안책임자가위임한사내정보보호업무활동 사고조사주관(침해사고대응팀소집) 2금융ISAC 제16조(시스템보안담당자의임무)1시스템보안담당자는분임보안책임자및정보보호전담자의지도, 다음각호의팀내정보보호업무를수행한다. 운영업무를총괄하자는자는보직과동시에정보보호전담자에임명된다. 1. 2. 정보보호침해사고발생시보고 정보통신시스템의정보보호대책적용 감독, 조정을받아 6. 3. 4. 5. 보안성검토의뢰 (외부인력업무종료시보안서약서재징구, 정보자산에대한위험평가를위한자산등급화 내부인력퇴직, 외부자정보보호교육주관/시행및외부자보안주관 이동등인사변경시접근권한변경신청 2시스템보안담당자는각부서의장이임명한다. 7. 기타정보보호전담자가수행을위임하는정보보호관련업무 출입카드반납, 사용자계정삭제처리요청등) 제17조(보안책임자교체)1보안책임자가교체되었을때는임명된날로부터5일이내에다음각호의서류를구비하여감독 기관위원장에게보고하여야한다. 1. 2. 3. 4. 신 구보안책임자명단1부 신원진술서1부. 인사기록카드사본1부. 소속 반명함판사진1매 직급 전임보안책임자 성명 직급 신임보안책임자 성명 발령 일자 비고 부록 3. [사례] 보안관리매뉴얼 253
2보안책임자인계인수서에포함되어야할사항은다음과같다. 중소기업의기술보호를위한 1. 보안업무현황 세부보안통제실행지침서 3. 2. 4. 비밀취급인가자현황및비밀문서보유현황 보안업무세부시행계획및이행실적 제18조(보안업무세부시행계획수립및집행)사장은감독기관으로부터통보받은보안업무시행세칙을근거로당사실정에 5. 심사위운영에관한사항 맞게보안업무세부시행계획을수립하여각팀장에게시달하고그1부를감독기관보안담당관에게제출하여야한다. 기타보안활동전반에관한사항 제19조(자체보안진단)1분임보안책임자는매월셋째주수요일을 사이버보안진단의날 로지정하여자체보안진단을실시 하여야한다. 수있다. 2보안진단시구체적으로시행하고확인할사항은다음각호와같으며, 통보한다 다만, 매월셋째주수요일에보안진단이불가능할때에는그날을기점으로최초업무일에, 진단결과개선사항또는문제점은보안책임자에게 실정에따라조정할 1. 2. 3. 4. 보안교육실시(중점보안관리사항, 전자문서DRM 사무실및휴게실, 운용실태 회의실등보안관리(PC 장기연수자/출장자등) 5. 6. 외래인및협력업체출입통제현황점검 비상연락망정비 약호, 음어자재및통신보안장비의점검및저장매체관리,책상/캐비넷사건, 사무실소등, 출입문잠금등) 3보안책임자는전항의보안진단결과나타난문제점을지체없이시정하고관계팀의협조가필요할때에는그 7. 8. 기타분야별, 보안일일점검표점검 4보안책임자는소관보안진단결과를종합하고문제점에대한해결책을적극강구하여야한다. 팀에통보또는협조요청을하여야한다. 요소별보안관리에관한사항 제20조(보안업무심사분석)1보안책임자는보안업무의효율적인관리를위하여보안업무세부시행계획에따라보안업무심 사분석을실시하여야한다. 2보안업무심사분석시에는다음사항에대한실적을파악하여문제점을발굴하고이에대한시정책을강구하여야한다. 1. 2. 보안업무세부시행계획에대한구체적시행사항 5. 3. 4. 자체보안교육, 심사위의운영에관한사항 비밀소유현황및비밀취급인가자현황에관한사항 팀별임무, 분야별보안대책에관한사항 보안감사및지도 점검에관한사항 3보안책임자는제2항의보안업무심사분석결과를감독기관보안담당관에게제출하여야한다. 6. 7. 보안자재, 기타감독기관에서요청하는사항 보안장비, 보안시스템운용등정보통신보안에관한사항 부록 3. [사례] 보안관리매뉴얼 254
제2절비밀문서보안 중소기업의기술보호를위한 세부보안통제실행지침서 제40조(비밀의분류)1비밀( 대외비 를포함한다. 2비밀을최초작성한자는작성과동시에다음의비밀분류근거표시를문서우측상단또는적당한여백에하여야한다. 록분류하여야하며, 과도또는과소하게분류하여서는아니된다. 이하같다)은그자체의내용과가치의정도에따라적절히보호될수있도 2cm 최초분류자 조정자 3비밀문서로분류하였을때에는그문서및첨부물의전후면하단중앙에전면표시및그면의일련번호로이 루어진면표시와매면상하단의중앙에비밀등급표지를하여야하며, 와첨부물이있을경우첨부물의첫면상단중앙에대외비표지를하여야한다. 4필름, 사진, 지도, 괘도, 상황판등은비밀임을알수있도록적절한부위에비밀표지를하여야한다. 대외비문서의경우에는그문서의표지 5비밀을결재또는공람하기위해작성한요약서는예고문, 밀표지를하는것이비밀보호상불이익하거나충분히위장된때에는비밀표지를아니할수있다. 시원본에첨부하여야한다. 사본번호및관리번호를부여하지아니하되반드 다만, 비 제41조(비밀세부분류지침)1규정제12조및규칙제9조의규정에의하여비밀의분류는국정원장이제정한비 밀세부분류지침에의한다. 2전항의비밀세부분류지침에추가또는정정을요하는사항이있을때에는금융위원회보안담당관에게추가 의위배여부를검토하여국정원장에게통보하고확정된사항을시달한다. 4비밀세부분류지침에포함되지아니한사항은그내용과유사한사항으로분류하여야한다. 또는정정을요청할수있다. 3보안담당관은제2항의규정에의한비밀세부분류지침에추가또는정정사항자료를종합하고기본분류지침 제42조(예고문)1비밀원본의예고문에는보호기간과함께보존기간을정하여다음각호와 1. 같이기재하고, 비밀원본만생산할경우 사본의예고문에는보호기간및보호기간경과후처리방법을기재하여야한다. 2.비밀원본과함께사본을생산할경우 보존기간 사본 보호기간~로재분류 보존기간 보호기간, ~로재분류(일자또는조건) 2보존기간의기산일은당해비밀원본을생산한날이속하는해의다음해1월1일로한다. 파기,~로재분류(일자또는조건) 부록 3. [사례] 보안관리매뉴얼 2.5cm 3.5cm 255
제43조(재분류검토)1비밀보관정책임자(이하 보관정책임자 라한다)는매월보안진단의날에소유비밀의 중소기업의기술보호를위한 예고문및내용을통한재분류검토를실시하여야한다. 세부보안통제실행지침서 2생산비밀의예고문또는등급을변경하였을때에는변경사항을해당문서수신기관(부서)에통보하여 1비밀사본의파기는소각, 제44조(비밀사본의파기) 정정하도록하여야하며, 검토를요청할수있다. 용해또는기타의방법으로비밀의원형을완전히소멸시켜야한다. 접수비밀의경우에도필요시생산기관(부서)에예고문및등급변경등재분류 2비밀사본의파기는보관정책임자또는그가지정하는비밀취급인가자의참여하여야한다. 3비밀사본을파기한때에는비밀관리기록부의비밀등급란부터사본번호까지를2개의적선으로삭제하고 4비밀사본을파기할경우에는비밀열람기록전을비밀에서분리하여관리번호, 파기일자와파기자, 파기확인자및파기근거를명시하여야한다. 제45조(비밀기록물의이관)-1회사가생산한비밀기록물은 공공기록물관리에에관한법률시행령 제68조의규정에따라 열람자기재사항등을재확인하고파기자, 철하여보관하여야한다. 파기확인자, 파기년월일및파기근거를기재한후따로 건명, 예고문, 비밀등급및 이관하여야한다. 2업무활용기타부득이한사유로이관이곤란하다고인정되는비밀원본은 공공기록물관리에관한법률시행령 제32조의 규정에따라이관시기를연장할수있다. 제46조(비밀의수발)1문서취급부서장및분임보안책임자는비밀문서수발부를비치하여야한다. 2비밀문서의기관내수발은비밀담당자가직접접촉하여수발한다. 3국가비상훈련시비밀문서를수발한경우별도의비밀문서수발부를비치한다. 제48조(수발담당자의유의사항)수발담당자는다음각호의사항에유의하여수발하여야한다. 제47조(경유문서의처리)경유하는비밀문서를접수한때에는접수부에기록(비고란에경유문서표시)하고시행문서에는문 서관리규정에의한경유표시인을날인한다음비밀문서에첨부된비밀열람기록전에열람자(검토자)가서명하고비밀문 서발송부에기록하여발송한다. 1. 2. 3. 접수문서수신기관의적정여부확인 수발문서의예고문기재여부확인 제49조(발송절차)1비밀문서는최종결재후즉시비밀관리기록부에등재하고비밀담당자가원본과시행문서를직접지참하 4. 5. 수발문서의비밀열람기록전첨부여부확인 여문서취급부서에발송을의뢰한다. 수발문서(Ⅱ급비밀)의영수증첨부여부확인 2사송부에의하여문서를전달하는경우에는사송인이비밀문서발송부(또는관리기록부) 비밀등급, 사본번호및표시유무 사송부(별지제8호서식)에등재한후수신처접수자의서명날인을받는다. 제50조(오착비밀문서의발송절차)1타기관으로부터접수된비밀은그발행기관의승인없이이를재차타기관으로발송할 수없으며오착비밀이라할지라도접수기관이임의로타기관에발송할수는없다.단, 소속기관에이첩하는것은예외로한다. 수령인란날인하여비밀문서 2오착접수된비밀을개봉하였을때에는개봉자가비밀열람기록전에서명날인한후다시문서수발계통을통하여발행기 관에발송한다. 3문서취급부서의분류착오로비밀을접수한수신부서는문서취급부서에반송하거나또는수신부서비밀관리기록부또는 수발부에의하여정당한주무부서(이하 주무부서 라한다)로인계하여야한다. 제51조(영수증의관리)1비밀영수증은연도별로구분일련번호를부여한다. 2등기우편으로발송된등기영수증은문서번호와관리번호등발송근거를기입하고등기영수증철에비치보관하여야한다. 3영수증은당해비밀문서를생산한부서에서보관하며, 니할때에는그수신기관에접수여부를확인하고영수증이회송되도록조치하여야한다. 제52조(영수증의작성요령)1송증과영수증의일련번호가일치되도록기입한다. 2송증의수신란에는비밀을접수한기관의장을기입한다. 우편으로발송한비밀문서에대한영수증이즉시회송되어오지아 3영수증의수신란에는비밀을발송한기관의장을기입한다. 4영수증발송자는이상시의유무란, 5비밀문서를접수한주무부서의문서수발담당자는지체없이동문서의영수증을기재하여반송한다. 접수자, 접수일자란을제외한기타란전부를기재한후발송한다. 부록 3. [사례] 보안관리매뉴얼 256
제53조(비밀의보관) 중소기업의기술보호를위한 1비밀의보관은특별한사유가없는한팀부서단위로분산관리한다. 다만, 소유비밀의건수등자체실정을감안하여보안책 세부보안통제실행지침서 2규칙제27조제4항의규정에해당하는비밀과기타보안책임자가필요하다고인정하는비밀은전항의보관장소이외에통 제54조(보관용기) 임자가지정하는장소에통합보관할수있다. 1비밀보관용기는보관정책임자단위로비치하고안전한금고(이중보관용기)로하여야하며, 2모든서류보관용기에는다음과같은관리책임자표시를하여야한다 제구역등따로보안책임자가지정하는장소에보관할수있다. 이중자물쇠장치를하여야한다. 지출순위 정부관리책임자 3cm 1보관정책임자는비밀용기의열쇠2개중1개를보관하고나머지1개는위치도와함께보안책임자에게인계하여야한다. 제55조(비밀보관용기의열쇠관리) 2보안책임자는보관정책임자로부터인수받은비밀보관용기의열쇠와위치도를견고한상자에넣고밀봉하여유사시에활용 제56조(비밀보관책임자) 1비밀보관정책임자는Ⅱ급이상의비밀취급인가중차장급이상중에서분임보안책임자가지명하는자로한다. 할수있도록근무가종료된시간에는당직자에게인계하고일과시간개시전에확인 인수하여야한다. 2제1항의규정에의한보관정책임자는Ⅱ급이상비밀취급인가를받은각팀의대리급이상직원을부책임자로지정하여야 3대외비이하의문서를취급하는부서의경우비밀취급인가를받지않은직원이라하더라도제1항및제2항의규정을준용 하여비밀보관정 부책임자를지명할수있다. 제57조(비밀보관정책임자의교체시인계인수절차) 1비밀보관정책임자가교체되었을때에는다음절차에의하여인계인수를하여야한다. 1. 2. 3. 비밀관리기록부에인계인수절차및인계인수일현재의등급별비밀보유건수를기재하여인계인수한후보안책임자 후임보관정책임자와인계인수를할수없는특별한사유가발생한때에는비밀보관부책임자와인계인수를하고 각팀은분임보안책임자의입회하에인계인수한후보안책임자의확인을받아야한다. 의확인을받아야한다. 4. 비밀을인수한자는비밀보관용기가다이얼인경우그번호를지체없이변경사용하여야한다. 후임보관정책임자와인계인수가가능하게된때에는지체없이전호의규정에의하여보관부책임자가후임보관 정책임자와인계인수를한다. 부록 3. [사례] 보안관리매뉴얼 6 cm 257
2비밀관리기록부에의하여인계인수할때에는다음예시와같이한다. 중소기업의기술보호를위한 예시 비밀인계인수 세부보안통제실행지침서 Ⅱ급:건 위와같이비밀문서를정히인계인수함. Ⅲ급:건 계:건 인계자직위 인수자직위 년월일 입회자직위 성명 제58조(비밀관리기록부) 확인자보안담당관성명 (인) (인) 1비밀관리기록부는보관정책임자단위로작성 비치한다. 2보관정책임자는비밀관리기록부사용요령(별지제9호서식)에따라비밀관리기록부를기록사용하여야한다. 제59조(비밀관리기록부의갱신절차) 1비밀관리기록부를갱신하고자할때에는현비밀관리기록부의끝면에 예시1 과같이보안담당관의사전승인 예시1 을얻어이기하여야하며, 확인하여야한다. 이기후에는신비밀관리기록부의끝면에 예시2 와같이기재하고보관정책임자가 <이기전> 위비밀을신비밀관리기록부에이기코자함. Ⅱ급:건 Ⅲ급:건 계:건 보관정책임자직위성명(인) 년월일 위사실을승인함. 보안담당관성명 년월일 (인) 부록 3. [사례] 보안관리매뉴얼 258
중소기업의기술보호를위한 <이기후> 세부보안통제실행지침서 Ⅱ급:건 위비밀을구비밀관리기록부에서이기하였음. Ⅲ급:건 계:건 예시2 이기자직급성명(인) 보관정책임자직위성명(인) 년월일 2제1항의규정과같이이기한때에는현비밀관리기록부상개개의근거란에신비밀관리기록부에이기하여새로이부여한 제60조(비밀관리기록부철의보존) 관리번호를기재하며, 까지2개의적선으로삭제하여야한다. 참조란에이기연월일의기재및이기자의서명또는날인을하고, 비밀등급란에서사본번호란 1다음각호의부철은5년간보존하여야한다. 1. 2. 3. 서약서철 비밀영수증철 비밀관리기록부 2다음각호의부철은3년간보존하여야한다. 4. 5. 6. 비밀열람기록전(철) 비밀대출부 비밀수발대장 3. 4. 1. 2. 비밀취급인가대장 비밀자료작업대장 5. 비밀문서발간승인서 비밀문서사송부 7. 8. 6. 보안시스템점검기록부 비밀지출승인서 신원조사대장 보안시스템증명서철 1비밀문서를외주하여전산사식, 제61조(비밀문서의외주발간) 2비밀문서의외주발간시에는사전에보안책임자의비밀(대외비)문서발간승인및문서통제부서의장의통제를받아동승인 인가를받은시설을이용하여야한다. 서(별지제10호서식) 사본을발간요구서에첨부하여조달의뢰하며, 공판, 프린트, 인쇄등(이하 외주발간 이라한다)을하고자할때에는관계기관의비밀취급 각호의사항을준수하여야한다. 1. 2. 요구부수와발간부수와의일치여부확인 작업과정에서비밀취급인가를받은발간작업종사자이외의자에대한접근방지 지정된참여자는발간전과정에직접입회하고, 다음 3발간입회자는발간작업종료후원지, 드디스크에입력된파일의흔적을완전히제거하여야한다. 3. 작업이일시중단되거나2일이상소요시비밀발간원고등관련자료의사무실이송보관또는발간업체내이중 캐비넷보관 봉인등필요한보안조치 파지, 잔여분, 작업지및기타폐지등을파쇄또는소각하고인쇄용전산장비의하 부록 3. [사례] 보안관리매뉴얼 259
제62조(비밀과제의외주용역등) 중소기업의기술보호를위한 1비밀문서의외주용역시에는의뢰부서의장이사전에보안성검토를하고적정비밀또는대외비로분류하여용역의뢰하 세부보안통제실행지침서 2비밀과제의용역계약서에는비밀엄수의무와임의사용시손해배상책임을명시하여야하며, 3회사의연구업무분장분임보안책임자는비밀연구과제보안관리책임자지정 운영등외주용역수탁에따른보안관리조항 원확인, 를수행토록하여야한다. 보안준수의무고지, 서약집행등보안조치를강구하고보안관리책임자를지정하여연구수행과정의보안감독업무 의뢰부서의장은참여자의신 4비밀정책또는비밀과제연구관련회의를개최하는부서의장은참여자에대한사전보안준수사항을고지한후보안서약을 을자체내규등에정하여야한다. 제63조(워드프로세서등자체장비이용시보안통제) 집행하고, 책을강구하여야한다. 회의자료를적정비밀또는대외비로분류하여회의종료후회수하는등회의장접근통제및자료의유출방지대 3워드프로세서또는복사기작업자는비밀작업시비밀자료작업대장(별지제11호서식)에작업사항을기록하고, 1워드프로세서, 2워드프로세서, 관정책임자가진다. 컴퓨터단말기, 복사기등자체장비로발간되는비밀문서에대한보관책임은분임보안책임자의통제하에보 복사기비밀작업요원은비밀취급인가를득한직원이어야한다. 제64조(비밀의복제 복사) 생산부수등을작업의뢰자입회하에확인후인계하며, 인수자는비밀문서배포선에의하여배포하여야한다. 생산면수, 1비밀의복제ㆍ복사는다음각호에해당하는경우를제외하고는이를할수없다. 또는복사할수없다. 1. 2. Ⅰ급비밀은그발행자의허가를받은때 ⅡㆍⅢ급및대외비는당해발행자의특정한제한이없는것으로서비밀취급인가를받은자가공무상필요한때 다만, 암호자재는어떠한경우에도복제 2Ⅱ급및Ⅲ급비밀에대한복제, 로기입한다. 복사를제한하고자할경우에는그비밀표지이면또는예고문상단에다음과같이적색으 3비밀을복제또는복사한경우에는그원본과동일한비밀등급과예고문을명시하고사본번호를 부여하여야한다. 이비밀은발행자의허가없이복제ㆍ복사할수없음 4복제또는복사한비밀원본의말미에는사본번호를포함한배포선을작성첨부하여야한다. 5접수또는최초생산후보관중인비밀을추가생산할필요가있어복제또는복사하고자할때에는그 비밀의첫면또는말미중적절한여백에사본근거를다음과같이표시하되보관책임자의승인으로써 사본근거의성명란에서명을받은후복제또는복사하여야한다. 부록 3. [사례] 보안관리매뉴얼 260
제65조(비밀의원본및사본관리) 중소기업의기술보호를위한 1비밀을생산하는경우결재권자의결재를득한본문을원본으로한다. 세부보안통제실행지침서 2원본작성과정에서생산된초안등작업자료는원본확정후지체없이파기하여야한다. 2제1항의규정에의거보관비밀을대출하였을때에는비밀대출부에소요사항을기록유지하여야하며, 제66조(비밀의대출및대외기관에대한자료제공) 1비밀의대출이라함은비밀보관책임자이외의비밀취급인가자가관련업무수행상보관장소로부터인출함을말한다. 제67조(비밀의지출) 자는비밀열람기록전에기록하여야한다. 비밀문서를열람한 1규정제26조및규칙제39조의규정에의하여비밀을지출하고자하는자는비밀지출승인서(별지제12호서식)에보안책 2비밀을발간하기위하여지출할때에는비밀문서발간승인서로써지출승인서를갈음할수있다. 3비밀지출을승인하였을때보관정책임자는지출후의보관상황및사후의회수책등에대한특별한보안조치를확인하여야 임자의승인을받아보관정책임자에게제출하고, 당해비밀과교환하여지출한다. 4비밀지출자는국내외출장시지참하는비밀을현지공관(국외출장) 5비밀을지출하여휴대하고다닐때에는반드시포장하거나봉투에넣어밀봉하여야한다. 6비밀지출자는출장종료시지참자료에대하여지체없이보관정책임자에게인계하여야한다. 나보안관리책임자를지정 운영하는등보안관리대책을강구하여야한다. 또는경찰관서(국내출장) 등국가기관에위탁관리하거 제68조(비밀의인계) 제69조(안전지출및파기계획) 규칙제40조제1항의규정에의하여비밀을인계할때에는비밀관리기록부에인수자의 1보안책임자는비상시에는비밀(중요문서및주요물자)안전지출및파기계획에의거행동한다. 날인또는서명을받아인계하며따로목록을작성하여인수기관에교부할수있다. 2분임보안책임자는안전지출및파기계획이당사실정에적합하도록목적, 3보안책임자는비상시에대비하여비밀을안전하게지출또는파기할수있도록동계획을정기적으로소속직원들에게주 또는파기의절차및장소, 내용은공휴일및야간등평상시보다지휘가어려운상황에서도원활하게대처할수있도록하여야한다. 최종확인및보고, 기타행정사항등을포함한부서별또는안전지출및파기계획을수립하되그 적용범위, 지출또는파기의시기, 시행책임, 제70조(비밀문서통제관및통제) 1비밀을생산하여발송하고자할때에는보안책임자및문서통제부서의통제를받는다. 지시켜야한다. 2분임보안책임자는다음각호의사항을정리하고보안책임자또는문서통제부서의장의 다음통제인을날인한다. 부록 3. [사례] 보안관리매뉴얼 261
2. 1. 기본분류지침및비밀세부분류지침에의한기준보다과소또는과도분류여부를확인하고불필요한비밀의생 생산비밀의비밀세부분류지침에의한분류여부검토 보안담당관 통제... 2cm 3. 4. 분류표시, 재분류한문서에는그문서의표면여백에다음과같은재분류표지를적색으로표시하고재분류일자를기입 산을억제한다. 예고문, 비밀열람기록전유무, 배포선의타당성등을검토하고발송번호를부여한다. 통제관재분류호 5cm 2cm 2cm... 제71조(비밀소유현황조사보고) 5. 통신보안장비(전화, 팩시밀리, 암호등의발신방법을적색으로기재또는날인하여야한다. 팩시밀리등) 및암호에의하여발신할문서에는기안용지협조란여백에전화, 제72조(회사중요자료등에대한보안대책) 보안책임자는규칙제42조의규정에의한비밀소유현황과비밀취급인가자현황조사서(별지제13호서식)를조사기준익 1국가보안목표시설운용이나상급기관지침과관련된자료로서누설될경우시책면의차질및사회적물의를야기할수있 월10일까지감독기관본부보안담당관에게제출한다. 어다음각호와같이직무수행상특별히보호를요하는중요자료는대외비이상적정등급으로 분류하여관리한다. 2고객DB, 1.전산실설계도 려가있는중요한자료는대외비에준하는등급으로관리하여야한다. 2. 3. 회사예산서 기타상급기관지침관련중요한시행자료등 개인정보, 사업계획서, 전산개발, 영업또는계약등과같이누설될경우회사에사업상차질또는손해를끼칠우 부록 3. [사례] 보안관리매뉴얼 (문서통제부장) (인) 262
제73조(전시비밀관리) 중소기업의기술보호를위한 1모든비밀은생산또는접수와동시에전시또는비상사태하의후송할비밀을선별, 표시후일반비밀과동일보관용기 세부보안통제실행지침서 2최종결재권자는비밀문서의결재과정에서반드시전시후송비밀여부를결정하여야한다. 3제1항및제2항의규정에의거후송대상비밀로분류된때에는당해문건및비밀관리기록부상에다음예시와같이표시한 에함께보관할수있으나구분관리하여야한다. 예시1. 비밀문건에표시할때 Ⅱ급비밀 예시2.관리기록부상 А 표시직경1cm원형 비밀등급 Ⅱ/ А SECRET 제35조(DRM 권한을한정부여하여문서를운용 관리하여야한다. 운용체제)업무용PC(이하 PC"라한다)에서문서생성시암호화를하고, 제3절전자문서보안 제36조(적용범위)당사의모든임 직원및당사업무를지원하는협력업체를대상으로전자문서보안관리에관한사항을규정 적법한사용자에한해서만문서유통 한다. 제37조(역할) 1보안담당부서는수립된DRM 2경영정보시스템운영부서는보안담당부서의문서보안관리정책에따라전자문서DRM운용정책을수립하고이에따른솔 3정보통신보안주관부서는DRM체제를운용하기위하여기술적지원을한다. 루션의개발 운용및관리를한다. 운용정책을보안관리사업계획에반영한다. 5DRM담당자는문서에암호를해제하거나, 4각부서는부서내DRM담당자선정심사를관련부서에의뢰하고DRM운용계획을전파및교육을실시, 호를해제하고자할경우에는부서장에게이의내용을보고한다. 무문서에대한보안관리실태를점검한다. 유통(전송/발송)할경우에는보안성검토를실시하며, 비일상적인사유로암 협력업체계약업 6부서(팀)원은문서생성시DRM암호가설정되도록하여야하며, 제38조(권한설정) 록유의하여야한다. 문서의DRM운용정책에따라사내정보가유출되지않도 제39조(전자문서의보안관리) 1DRM담당자는부서의문서유통에대한관리.감독을할수있는직책 2DRM담당자에게부여하는권한은문서정보의외부유출방지를강화하기위하여권한을적절히부여하여야한다. 또는직위자를대상으로부여한다. 전자문서생성시, 사항은 전자문서보안관리요령 에따른다 유통시, 저장, 출력및폐기등의단계별로문서의보안관리를하여야한다. 기타상세한 부록 3. [사례] 보안관리매뉴얼 관리번호...... 263
제4절전산자료보안 중소기업의기술보호를위한 세부보안통제실행지침서 제99조(전산자료보안관리) 1분임보안책임자는전산자료에대한유출이나파괴또는변조등에대비하여다음각호에따라전산자료를보호해야한다. 1. 2. 중요자료복사본(예비) 전산자료(보조기억매체) 확보및안전지역별도보관 2보조기억매체를활용하는팀의시스템보안담당자는월1회이상보유현황및관리실태를점검하고정보보호전담자의확 3. 4. 중요전산자료및장비의반출또는반입통제, 전산자료접근권한구분 통제 보유현황관리 인을받아야한다. 기록관리 제100조(정보통신망관련자료관리) 3민감한보고서나자료에대해서는자료별패스워드를사용하고보조기억매체를적극활용해야한다. 되거나일반으로분류된전산자료에대해서는그러하지아니한다. 다만, 공개또는회람 다음각호의자료는암호화하여해당업무부서의장, 력할경우대외비에준하여보관관리한다. 여전자문서형태로생산및관리하지않는다. 1. 정보통신망세부구성현황(IP 세부할당현황포함) 다만, 국가안보와도직결되는중요정보통신망관련세부자료는비밀로분류하 시스템보안담당자등업무관련자만접근할수있도록관리해야하며, 출 3. 4. 2. 보안취약성분석 평가결과물 기타보호할필요가있는정보통신망관련자료 국가용정보보호시스템운용현황 제101조(전산자료보호등급분류기준) 1전산자료는효율적보호를위하여중요도에따라보호등급을구분부여하여관리해야한다. 2제1항에의한전산자료의보호등급분류는다음과같이구분한다. 1. 가 급보호등급자료 유출또는손상되는경우에각급기관의업무수행에중대한장애를초래하거나개인신상에심각한영향을줄수있 는전산자료및대외비관련자료 2. 나 급보호등급자료 예) 사업기밀정보(증권네트워크설계정보, 개인의사생활침해가예상되는개인정보('나'급자료에추가로보유주식현황, 기록이추가로포함된경우) 거래내역통계자료등) 유출또는손상되는경우에각급기관의업무수행에장애를초래하거나개인신상에영향을줄수있는전산자료 거래내역등의 3. 다 급보호등급자료유출또는손상되는경우에각급기관의업무수행및기관의신뢰도에경미한영향을줄수있는 예) 고객주요정보자료(주민등록번호, 내부적으로활용되는자료 주소, 전화번호등) 제102조(보호등급별보안대책) 3'가'급의보호등급자료는중요자료라칭한다. 1 가 급보호등급으로분류된전산자료를보호하기위해서는다음각호의보안대책을강구해야한다. 4보호등급분류에대한상세내용은보호등급의구분(별지제15호서식)을참조한다. 1. 2. 3. 4. EAL3+ 자료별패스워드의사용과시스템접근권한을설정관리한다. 출력시중요자료출력물관리대장을작성하여관리한다. 출력시출력일시및면표시가자동표시되어야한다. 등급이상의인증을받고보안적합성검증필정보보호시스템을설치사용한다. 5. 출력시발생한파지등을작업종료후회수하여즉시파기한다. 부록 3. [사례] 보안관리매뉴얼 264
2 나 급보호등급으로분류된전산자료를보호하기위해서는다음각호의보호대책을강구해야한다. 중소기업의기술보호를위한 1. EAL3+ 등급이상의인증을받고국정원보안적합성을검증한정보보호시스템을설치사용세부보안통제실행지침서 3 다 급보호등급자료를보호하기위해서는EAL3 4서로다른보호등급의전산자료를보호하고자할경우에는가장높은보호등급에따른보안대책을강구해야한다. 5제1항내지제3항에서규정하지않은사항은제99조전산자료보안관리의보안대책을준용한다. 설치사용해야한다. 2. 시스템접근권한을설정관리 6전산자료의보호우선순위별관리책임자는다음각호와같다. 제103조(중요자료등의전산처리) 1. 2. 3. 가 급자료: 나 급자료: 다 급자료: 업무담당자 팀장. 다만, 화면조회는특정단말을지정하여관리해야한다. 1중요자료를생산 보관 분류 열람 출력 송수신 이관하는등의전자적처리는보안적합성검증필보안시스템을사용하여 2중요자료를전자적으로생산 열람 출력 송수신 이관시에는작업내용을전자적으로기록유지하여야하며송수신시에는 암호화하는등안전성을보장하기위한보안조치를수행해야한다. 제21조(신원조사)1보안책임자는다음각호에해당하는자에대한신원조사를신원조사기관에의뢰하여야한다. 정당성확인및부인을봉쇄하기위하여전자서명등을사용해야한다. 1.비밀취급예정자 2. 국가보안목표시설통제구역상주근무자 제5절인적자원보안 5. 6. 3. 4.비정규직원으로서통제구역에상주하거나빈번히출입하는자. 대하여는신원확인절차를거쳐신원조사를생략할수있다. 경비근무자등에대하여는신원조사에갈음하는조치를취하여야한다. 보안장비및자재관리자 기타보안업무상사장이필요하다고인정하는자 다만2개월미만상주하는비정규직원에 제22조(신원조사대장의비치) 1신원조사대장(별지제2호서식)은비밀취급인가및제반인사관리의기본자료로써활용하여야한다. 2신원조사대장은각부서별로구분하여작성한다. 제23조(신원조사회보서의관리) 1신원조사회보서는접수와동시신원조사대장에기록한후인사기록서류와함께통합관리하여야한다. 2퇴직자또는전출자는신원조사대장에퇴직또는전출일자를기록하여적선으로삭제하며퇴직자신원조사회보서는퇴직 제24조(해외출장자에대한관리)장기간해외출장이나파견등으로비밀취급이불필요한자에대해서는비밀취급인가를지체 없이해제하고비밀취급인가증을회수 파기처리하여야한다. 자인사기록서류와함께관리하고타기관으로전출된자의신원조사회보서는인사기록서류와함께그전출관서로이송하 제25조(외국인임용관련보안대책)1업무상자문및기타의목적을위하여외국인과고용계약을체결할경우에는임용30일 전국가정보원에신원조사를의뢰하여야하며신원특이자는심사위의심의를거쳐임용여부를결정하여야한다. 2고용할외국인과고용계약을체결할때에는근무중알게된기밀사항을계약기간중이나계약만료후에누설할경우의손 해배상책임과피고용인업무의한계설정등보안유의사항을명시하여계약서를작성하고서약을집행하여야한다. 3보안책임자는재직중인외국인이퇴직할경우에는업무기간중지득한비밀등중요자료에대한누설및사적이용금지를 내용으로하는보안서약서를작성하여야하며각종자료의무단반출여부를확인하여야한다. 제26조(임시직원의업무한계및비밀취급등)임시직원에게는비밀취급등보안상중요한업무를처리하게할수없다. 각부서의장이부득이한사유로임시직원을보안업무에종사시키고자할때에는철저한보안교육및감독등필요한조치를 강구하여야한다. 제27조(비밀취급인가권자)규정제7조제1항제4호에의하여Ⅰ급, Ⅱ급, Ⅲ급비밀과암호자재의취급인가는감독기관위원 다만, 장이한다. 부록 3. [사례] 보안관리매뉴얼 265
제28조(비밀취급인가대상)비밀취급인가대상자는특별한사유가없는한다음각호와같다. 중소기업의기술보호를위한 1. 사장및임원 세부보안통제실행지침서 2. 3. 비밀보관정 부책임자 제29조(비밀취급인가요청)비밀취급인가를요청할때에는제25조의규정에의한비밀취급인가권자에게비밀취급인가요 청서(별지제3호서식)를제출하여야한다. 4. 기타인가권자가필요하다고인정하는자 각부서의보안업무담당자와직책상비밀을항상사무적으로취급하는자 제30조(비밀취급인가및관리)1비밀취급인가권자는인가자현황, 부등을검토하여비밀취급을인가하여야한다.다만, 2비밀취급인가및해제와인가등급의변경은문서로하여야하며, 밀취급인가및해제내용을비밀취급인가대장(별지제4호서식)에기록하여야한다. 심사위의심의가요구되는사항에대해서는그심의결정내용을첨부 보안책임자또는인사부서의장및분임보안책임자는비 신원조사회보내용, 인가의필요성, 인가기준의저촉여 제31조(서약) 1보안책임자는비밀취급을인가한자에대하여인가와동시에서약(보안업무규정시행규칙별지제1호서식)을집행하여 2감독기관각부서의장및보안산하기관의장은국가비상훈련의실시나각종회의등에서비밀취급인가를 조치를취하여야한다. 제32조(비밀취급인가의해제)1업무의변동등으로인하여비밀취급인가를해제하고자할때에는분임보안책임자는보안책 임자에게해제요청서(별지제5호서식)를제출하여야하며, 받지않은직원에대하여비밀사항을일시적으로취급하게할수있다. 보안책임자는인가권자는해제통지를요청하여야한다. 이경우에는서약서징구, 보안교육등필요한보안 4보안산하기관의비취인가대상자에대한비밀취급인가의해제는비취인가대상에서비취인가대상이외의직책으로보직변 경시해제된것으로보며이경우에도보직변경일을기준으로해제요청및해제통지를하여야한다. 2비밀취급인가가해제된자에대해서는비밀취급인가대장에해제사유와해제일자를기재하고적선으로삭제하여야한다. 3비밀취급인가자가퇴직할때에는전출또는퇴직된날에비밀취급인가가해제된것으로본다. 제33조(비밀취급인가증의회수처리)회수된인가증은즉시그표면에적색으로대각선을그어무효표시를하고소각또는파 쇄처리하여야한다. 제34조(비밀취급인가증의재발급)비밀취급인가증을분실 훼손하였을때에는분실사유서(별지제6호서식) (별지제7호서식)를제출하여비밀취급인가증을재발급받아야한다. 제94조(협력업체보안관리) 비밀준수및이의위반시손해배상책임사항을명시하여야한다. 1회사업무를위하여협력업체와계약을체결할경우계약담당팀장은협력업무수행계약서에 및재발급요청서 2보안담당팀장은계약시또는계약종료시협력업체선임관리자를통하여보안관리를하며, 3협력업체계약종료시에는개발등의업무와관련된팀장은업무와관련된중요서류및PC 점검한다. 와의계약에이를명시하여야한다 협력업체는회사의보안관리규정과고객또는관계기관의보안요구사항을준수하여야한다. 등의반납, 출입안내를한다. 제150조(보안교육) 해당부서장은협력업체 문서정보삭제등을 1보안책임자는다음과같이자체계획을수립하여보안교육을실시하여야한다. 1. 2. 3. 4. 보안업무의향상과보안관리의철저를위하여전직원을대상으로연1회이상정기보안교육을실시하여야한다. 5. 신규채용자에대하여는채용시에보안업무전반에대한교육을실시하여야한다. 해외여행자에대하여는출국전에적절한자체보안교육을실시하여야한다. 6. 비밀취급인가예정자에대하여는사전에충분한보안교육을실시하여야한다. 퇴직자에대하여PC내의문서삭제, 보안책임자는보안담당자를대상으로반기1회이상보안교육을실시하여야한다. 항은 퇴직시정보보호절차서 에따른다 기자재회수및기밀등의누설금지등의보안교육을실시하여야한다. 이의세부사 부록 3. [사례] 보안관리매뉴얼 266
제151조(정보보호교육및훈련) 중소기업의기술보호를위한 1연간정보보호대책수립시정보보호전담자는정보보호교육계획을문서화하여수립한다. 세부보안통제실행지침서 2정보보호교육은사내직원, 으로하는정보보호전문교육으로실시한다. 3정보보호교육의분야별내용은다음과같다. 1. 보안관리규정등소개 정보보호일반교육 외부직원, 신규직원을대상으로하는정보보호일반교육과정보통신시스템업무종사자를대상 2. 사용자정보보호관련준수사항(법적인책임) 정보보호사고처리절차 기타정보보호관련내용 기술적정보보호일반 취약점점검결과및조치 모니터링및전산보안사고처리절차 정보통신시스템보안관리요령, 정보보호전문교육 기타정보보호관련내용 절차등의세부내용 4제1항에의한교육계획수립시최신정보보호규정및기술등을습득하기위하여국가정보대학원에개설된관련교육과 정을이수하는내용을포함할수있다. 5정보통신시스템업무종사자에대한정보보호전문교육은연2회이상실시한다. 1모든직원은회사자산을안전하게보호해야할책임이있다. 제155(책임) 제156(징계) 성실히준수해야한다. 2모든직원은보안업무와관련한외부의법적요건, 본규정을위반한경우에는내부규정에따라처벌을할수있으며사안에따라관계법령에서정한민, 관련기관의정보보호요구사항이나관련요령등을 이될수있다. 제6절보안사고관리 형사상의처벌대상 제148조(사이버공격초동조치) 1직원및시스템관리자는이상징후발생시정보보호전담팀으로관련사항을통보하여야하며, 정보통신망에대하여해킹, 산망분리등초동조치를해야한다. 2단순웜 바이러스감염등경미한사항은자체처리후필요시감독기관에통보해야한다. 3전산망마비또는자료유출등중대사고발생시에는초동조치후즉시감독기관에통보하여지원을받아야한다. 웜 바이러스유포등사이버공격인지시피해실태를파악하고관련로그자료보존및필요시전 정보보호전담팀은사내 4제3항과관련하여피해시스템은사고원인규명시까지증거보전을의무화하고임의자료삭제또는포맷을하여서는안된 제149조(사이버공격대응활동) 1사이버공격대응절차를수립 시행하고이행실태를지속확인점검해야한다. 2감독기관에서사이버공격관련경보발령시소관분야직원을대상으로관련사항을전파하고대응조치를이행하며진행상 황을예의주시하는등대응절차에따라신속하게대처해야한다. 3제2항에따른경보단계별조치사항은감독기관에게통보해야한다. 4제1항에구체적으로명시되지않은사항은 국가사이버안전관리규정 과 국가사이버안전매뉴얼 에따른다 1감독기관보안담당관이당사의보안업무에대하여감사및지도, 제152조(감독, 2보안담당팀은각부 실및지방출장소에대하여자체보안감사또는지도 점검을실시한다. 3실시결과특별히개선, 사위에보고하여야한다. 감사및지도 점검) 4보안감사를위한세부절차는 정보보안감사절차서 에따른다. 보완등을요하는사항이있을때에는이에상응하는조치를하거나요구할수있으며, 점검을하거나그이행상황을요구시이에응하여야한다. 그결과를심 부록 3. [사례] 보안관리매뉴얼 267
제153조(보안사고) 중소기업의기술보호를위한 1임직원은비밀, 영업비밀, 중요자료, 기밀등을누설하거나불법적으로취득, 접근또는사용을하여서는안된다. 세부보안통제실행지침서 2임직원은보호관리대상에속하는전산자료또는전산장비시설이무단으로파괴되거나유출 변조되어정보보호업무수행 3사장은다음각호의보안사고발생시즉각감독기관보안담당관에게지체없이통보를취해야한다. 에지장을초래하여서는안된다. 2. 1. 3. 비밀의분실및도난또는손실 비밀의누설및전파 4상기전항의보안사고를범하였거나이를인지 발견한자는지체없이사고의일시 장소 사고내용및현재취하고있는조 치를가장신속한방법으로보안책임자에게보고하여야하며, 4. 보안대상의자재또는시설에대한파괴활동 기타보안상중대한사고발생 5전항의보고를받은사장은지체없이조사를실시하여사고관련자에대하여책임을물어야한다. 6보안사고를야기하고이를은닉한자또는보안사고를인지 발견하고도보고하지않은자에대하여는전항에준하여조치 하고출장또는여행중보안사고가야기되었을때에는먼저경찰관서등에신고하여야한다. 보안책임자는사장에게보고하여야한다. 다만, 비밀을휴대 7사장은보안사고의발생전반과조치결과를감독기관보안담당관에게지체없이서면으로보고하여야하며, 제154조(보고사항) 력정지또는취소등의필요한보안조치를하여야한다. 당해비밀의효 사장은외부기관으로부터보안감사나점검또는기타의보안조치를받았을때에는지체없이다음사항을지체없이감독기 관보안담당관에게보고하여야한다. 1. 2. 3. 4. 실시기관 실시자성명 지적사항과이에대한대책 수검일시 1인위적이거나자연적인원인으로인한정보통신시스템의장애발생에대비하여시스템이원화, 제107조(재난복구대책) 제7절사업연속성관리 2재난복구대책을정기적으로시험하고검토해야하며업무연속성에대한영향평가를실시해야한다. 3정보통신망장애에대비한백업시설을확보하고정기적으로백업을수행해야한다. 적인재난복구대책을수립 시행해야한다. 백업관리및복구등종합 4제3항에의거백업시설을설치할경우에는정보통신실과물리적으로일정거리이상위치한안전한장소에설치하여재난 에대비해야한다. 부록 3. [사례] 보안관리매뉴얼 268
제8절개인정보보호 중소기업의기술보호를위한 세부보안통제실행지침서 1개인정보를수집하는경우그목적을명확히하여야하고, 제126조(개인정보보호의원칙) 2개인정보관련처리정보의정확성및최신성을보장하고, 3개인정보관리의책임관계를명확히수립해야한다. 여야하며, 목적외의용도로활용하여서는안된다. 그보호의안전성을확보해야한다. 목적에필요한최소한의범위안에서적법하고정당하게수집하 4개인정보의수집 활용등개인정보의취급에관한사항을공개하여야하며, 제127조(개인정보의수집) 등정보주체의권리를보장해야한다. 개인정보처리에있어서처리정보의열람청구권 1사상 신조등개인의기본적인권을현저하게침해할우려가있는개인정보를수집하여서는안된다. 2개인정보를수집하는경우개인정보수집의법적근거, 의가있거나법률에수집대상개인정보가명시되어있는경우에는그러하지않는다. 홈페이지등을통하여정보주체가그내용을쉽게확인할수있도록안내해야한다. 목적및이용범위, 정보주체의권리등에관하여문서또는인터넷 다만, 제129조제2항중어느하나에해 다만, 정보주체의동 제128조(개인정보파일의보유범위) 당하는개인정보파일을보유할목적으로개인정보를수집하는경우에는그러하지않는다. 당사는소관업무를수행하기위하여필요한범위안에서개인정보파일을보유할수있다. 제129조(개인정보파일의보유 변경시사전협의) 1개인정보파일을보유하고자하는경우(다른공공기관으로부터처리정보를제공받아보유하고자하는경우를제외한다)에 우에도또한같다. 는필요시다음각호의사항을감독기관과협의해야한다. 2. 1. 개인정보파일의보유목적 개인정보파일의명칭 다음각호의어느하나에해당하는사항을변경하고자하는경 3. 4. 5. 보유기관의명칭 개인정보파일에기록되는개인및항목의범위 2제1항은다음각호의어느하나에해당하는개인정보파일에대하여는이를 7. 6. 개인정보의수집방법과처리정보를통상적으로제공하는기관이있는경우에는그기관의명칭 적용하지않는다. 개인정보파일의열람예정시기 1. 국가의안전및외교상의비밀그밖에국가의중대한이익에관한사항을기록한개인정보파일 열람이제한되는처리정보의범위및그사유등 2. 3. 4. 5. 범죄의수사, 조세범처벌법에의한조세범칙조사및관세법에의한관세범칙조사에관한사항을기록한개인정보파일 보유기관의내부적업무처리만을위하여사용되는개인정보파일 법령의규정에의하여비밀로분류된개인정보파일 공소의제기및유지, 형의집행, 교정처분, 보안처분과출입국관리에관한사항을기록한개인정보파일 제130조(개인정보보호방침) 6. 7. 법령의규정에의하여일반에게공개하도록되어있는처리정보가기록된개인정보파일 1다음각호의내용이포함된개인정보보호방침을정해야한다. 자료ㆍ물품또는금전의송부등의목적만을위하여보유하는개인정보파일등 1. 2. 3. 4. 제129조제1항각호의사항. 개인정보관리책임관의성명 소속부서 직위및전화번호그밖의연락처 인터넷홈페이지접속정보파일등인터넷홈페이지를통하여수집되는개인정보의보호에관한사항 그밖에개인정보의보호를위하여필요한사항 다만, 같은조제2항각호의개인정보파일에관한사항을제외한다. 2제1항에따라개인정보보호방침을정한경우에는그내용을관보또는인터넷홈페이지등에게재해야한다. 부록 3. [사례] 보안관리매뉴얼 269
중소기업의기술보호를위한 1제129조제2항각호에따른개인정보파일을제외하고는당사가보유하고있는개인정보파일별로같은조제1항각호에 제131조(개인정보파일대장의작성) 세부보안통제실행지침서 2제1항에의하여일반인이개인정보파일대장을열람할수있는장소를지정하고이를고시해야한다. 따른사항을기재한대장(이하개인정보파일대장(별지제18호서식)이라칭함))을작성하여일반인이열람할수있도록해 제132조(개인정보의안전성확보등) 1개인정보를처리하거나개인정보파일을정보통신망에의하여송 수신하는경우개인정보가분실 도난 누출 변조또는훼 2홈페이지를구축ㆍ운영하는과정에서개인정보가노출또는유출되지아니하도록관리적ㆍ기술적조치를취해야한다. 3개인정보의처리에관한사무를다른공공기관또는관련전문기관에위탁할수있으며, 손되지아니하도록안전성확보에필요한조치를강구해야한다. 4제3항에따라개인정보의처리에관한사무를위탁하고자하는경우에는관보또는인터넷홈페이지등을통하여미리그 출 변조또는훼손되지아니하도록안전성확보에필요한조치를취해야한다. 사실을공개해야한다. 이경우개인정보가분실 도난 유 5당사로부터개인정보의처리를위탁받은자에대하여도제1항을준용하며, 제133조(처리정보의이용및제공의제한) 황ㆍ입출력자료및개인정보파일의관리등에관한기록과실태를점검할수있다. 당사는수탁기관에대하여개인정보의처리현 1개인정보를법률에따라보유기관내부또는보유기관외의자에대하여이용하게하거나제공하는경우를제외하고는당 2개인정보보유목적에따라처리정보를이용하게하거나제공하는경우에도업무수행에필요한최소한의범위로그이용또 3제1항에도불구하고다음각호의어느하나에해당하는경우에는당해개인정보파일의보유목적외의목적으로처리정보 해개인정보파일의보유목적외의목적으로처리정보를이용하게하거나제공하여서는안된다. 익을부당하게침해할우려가있다고인정되는때에는그러하지않는다. 는제공을제한해야한다. 를이용하게하거나제공할수있다. 2.처리정보를보유목적외의목적으로이용하게하거나제공하지아니하면법률에서정하는소관업무를수행할수없는 1. 정보주체의동의가있거나정보주체에게제공하는경우 다만, 다음각호의어느하나에해당하는경우에도정보주체또는제3자의권리와이 3. 4. 5. 경우로서공공기관개인정보보호심의위원회의심의를거친경우 조약기타국제협정의이행을위하여외국정부또는국제기구에제공하는경우 6. 보주체외의자에게이용하게하거나제공하는것이명백히정보주체에게이익이된다고인정되는경우 통계작성및학술연구등의목적을위한경우로서특정개인을식별할수없는형태로제공하는경우 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로동의를할수없는경우로서정 4제3항제2호내지제7호에의하여처리정보를정보주체외의자에게이용하게하거나제공하는때에는처리정보를수령한 자에대하여사용목적 사용방법기타필요한사항에대하여제한을하거나처리정보의안전성확보를위하여필요한조치 7. 범죄의수사와공소의제기및유지에필요한경우 를강구하도록요청하여야하며, 법원의재판업무수행을위하여필요한경우 5보유기관으로부터처리정보를제공받은자는보유기관의동의없이당해처리정보를제3자에게이용하게하거나제공해서 6제3항제2호내지제5호및제7호에따라보유목적외의목적으로이용하게하거나제공하는경우에는그이용또는제공 는안된다. 이러한요청을받은정보수령자는처리정보의안전성확보를위한조치를취해야한다. 제134조(개인정보파일의파기) 에게재해야한다. 의법적근거 목적및범위등에관하여필요한사항을정보주체가쉽게확인할수있도록관보또는인터넷홈페이지등 1개인정보파일의보유목적달성등당해개인정보파일의보유가불필요하게된경우에는당해개인정보파일을복구가불가 능하도록지체없이파기해야한다. 2제1항에따라개인정보파일을파기한경우개인정보파일을파기한사실을1개월이내에관보또는인터넷홈페이지등에 공고해야한다. 다만, 파기한개인정보파일이제129조제2항각호의어느하나에해당하는경우에는그러하지않는다. 다만, 다른규정에따라보존하여야하는경우에는그러하지않는다. 부록 3. [사례] 보안관리매뉴얼 270
제135조(처리정보의열람) 중소기업의기술보호를위한 세부보안통제실행지침서 1정보주체는개인정보파일대장에기재된범위안에서본인에관한처리정보의열람(문서에의한사본의수령을포함한다)을 2제1항에의한열람청구를받은때에는제136조각호의어느하나에해당하는경우를제외하고는청구서를받은날부터10 청구할수있으며, 일이내에청구인으로하여금당해처리정보를열람할수있도록해야한다. 이경우열람청구서(별지제19호서식)를제출해야한다. 당한사유가있는때에는청구인에게그사유를통지하고열람을연기할수있으며, 이경우10일이내에열람하게할수없는정 3청구인이처리정보를열람함에있어서제3자의개인정보가누설되지않도록필요를조치를취해야한다. 람하게해야한다. 그사유가소멸한때에는지체없이열 제136조(처리정보의열람제한) 제135조에의하여열람을청구한청구인으로하여금당해처리정보를열람하도록하는것이다음각호의 어느하나에해당하는경우에는그사유를통지하고당해처리정보의열람을제한할수있다. 1. 다음각목의어느하나에해당하는업무로서당해업무의수행에중대한지장을초래하는경우 가. 나. 다. 조세의부과 징수또는환급에관한업무 라. 자본시장과금융투자업에관한법률에따른불공정증권거래를방지하기위한업무 학력 기능및채용에관한시험, 법률에의한감사및조사에관한업무 자격의심사, 보상금 급부금의산정등평가또는판단에관한업무 제137조(처리정보의정정및삭제등) 2. 개인의생명 신체를해할우려가있거나개인의재산과기타의이익을부당하게침해할우려가있는경우 1제135조에따라본인의처리정보를열람한정보주체는문서로당해처리정보의정정또는삭제를청구할수있다. 2제1항에의한정정또는삭제청구를받은때에는처리정보의내용의정정또는삭제에관하여법률에특별한절차가규정 른규정에당해처리정보가수집대상으로명시되어있는경우에는그삭제를청구할수없다. 다만, 다 3제2항에의한조사를함에있어필요한때에는당해청구인으로하여금정정또는삭제청구사항의확인에필요한증빙자 되어있는경우를제외하고는지체없이이를조사하여필요한조치를한후그결과를당해청구인에게통지해야한다. 료를제출하게할수있다. 제138조(도입) 제9절정보보호시스템보안 1상용정보보호시스템또는정보저장및보호기능이탑재된정보통신시스템(USB 2정보보호시스템의도입은정보보호전담팀과협의를통해진행한다. 하고자할경우 보안적합성검증필 제품을도입해야한다. 메모리, 디지털복합기포함)을사용 부록 3. [사례] 보안관리매뉴얼 271
제139조(운영및보안관리) 중소기업의기술보호를위한 1검증필정보보호시스템은비인가자의출입통제가용이한장소에설치해야한다. 세부보안통제실행지침서 2정보보호시스템관리자는정보보호시스템설치시요구되는시험절차와보안관리기준을사전에수립 시행하고, 3운용요원에대하여다음각호의사항에대한교육 훈련계획을체계적으로수립 시행해야한다. 에대해서는정보보호전담자의승인을받아야한다. 1. 운용관리직무지식 설치결과 4정보보호시스템관리자는검증필정보보호시스템에서P2P 2. 3. 시스템취약성분석및보안진단방법 5정보보호시스템관리자는주기적으로다음각호의사항을점검하고월1회정보보호전담자의확인을받아야한다. 를차단하도록패킷필터링정책을설정해야한다. 보안사고발생시긴급대응능력등 1. 검증필정보보호시스템에일반사용자계정이있는지여부등업무에불필요한서비스사용을금지하고관련서비스포트 2. 3. 4. 검증필정보보호시스템사용자권한설정의적절성여부 검증필정보보호시스템기능에영향을줄수있는프로그램설치및은닉여부 6정보보호시스템을설치할때에보안기능설정을위하여감독기관에게기술지원을요청할수있다. 5. 6. 검증필정보보호시스템에대한비인가자의물리적 기술적접근차단대책 7침입차단시스템(방화벽)의운용과관련한방화벽룰등록및변경은 방화벽룰등록및변경절차서 를참고한다. 비인가자의침입여부를확인하기위한시스템접근기록등 주기적인보안패치및업그레이드여부 제140조(목적외사용제한) 1정보보호시스템관리자는검증필정보보호시스템을원격으로관리하여서는안된다. 제141조(원격관리제한) 검증필정보보호시스템을사용할경우설치목적외사용및보안기능의임의변경등을하여서는안된다. 보보호전담자의승인하에원격으로관리하되다음각호의사항을준수해야한다. 2. 1. 원격관리자의접속패스워드임시부여및소통내용암호화등보안대책적용 원격관리시간을최소화 다만, 부득이한경우는정 2정보보호전담자는제1항에의한승인을위하여다음각호의사항을확인하는등보안조치를수행해야한다. 3. 2. 1. 인가되지않은원격관리가수행되는지주기적확인점검 3. 4. 접속주소, 원격접속사유(출장, 원격접속할사용자, 원격접속후사용자계정및패스워드회수등조치사항 접속시간전산망유지보수등) 사용자계정, 패스워드 제142조(사용자관리) 의사항을반영하여사용자관리대장을유지해야한다. 정보보호시스템관리자는복수의사용자가시스템을공동사용하는경우사용자에대한효율적관리를위하여다음각호 1. 2. 3. 소속기관및부서, 사용자계정부여일자및유효기간 사용자의현재상황(근무, 사용자이름, 휴가, 출장, 사용자계정, 사용중지등) 패스워드 제143조(긴급사태관리) 여정보보호시스템별위기관리매뉴얼등을참조하여다음각호의백업및복구절차등을수립 시행해야한다. 정보보호시스템관리자는인위적 자연적으로발생되는시스템장애,가동중지등긴급사태에대비하기위하 1. 3. 4. 2. 정상상태로의복구절차 백업시설구성, 긴급사태에대비한조직, 긴급사태에대비한정기적훈련과교육실시등 백업방법및절차 임무및업무처리절차 부록 3. [사례] 보안관리매뉴얼 272
제74조(중요시설등에대한방호)1국가보안목표시설등중요시설에대해서는중요시설방호지침에의거자체방호계획을수 제10절시설보안 제75조(보호구역의설정) 2기타특별한보호가필요한중요시설을보유하고있는기관은자체실정에맞는방호대책을 1사장은장비및자재의보호를위하여필요한장소에일정한범위를정하여보호구역을설정, 수립 시행하여야한다. 2보호구역은그중요도에따라제한지역, 3 제한지역 이라함은비밀또는재산의보호를위하여울타리또는경비원에의하여일반인의출입에감시가요구되는지역 제한구역 이라함은비밀또는주요시설및자재에대한비인가자의접근을방지하기위하여그출입에안내가 제한구역및통제구역으로나눈다. 운용및해제할수있다. 4당사의보호구역설정기준은다음과같다. 요구되는구역을말하며, 1. 제한지역 울타리와경비에의해보호되고있는당사의전지역 통제구역 이라함은비인가자의출입이금지되는보안상극히중요한구역을말한다. 2. 3. 제한구역 통제구역 전기관련시설(전원, 전산실, 통신실, M/T실(보관실, 발전, 변전실) 소산실) 기계실(항온항습시설, 자동제어실), CSM 센터, 네트워크센터 제76조(보호구역의보호대책) 1보호구역에대하여는철저한보안대책을수립, 조에따라다음과같이대책이강구되어야한다. 1. 2. 출입인가자의한계설정과비인가자의출입통제책 주야경계대책 이행하여야하며, 특히제한구역및통제구역에는그구역의기능및구 3. 4. 5. 6. 외부로부터의투시, 방화대책 경보대책 기타필요한보안대책도청및파괴물질의투척방지대책 2보호구역내의출입자가쉽게볼수있도록출입문중앙에보호구역(제한지역, 한다. 25cm 제한구역, 통제구역) 표지를다음과같이부착 통제구역 (글씨:흑색) 25cm (사선:적색) 제한구역 (글씨:적색) 부록 3. [사례] 보안관리매뉴얼 10cm 10cm 제 3장 물리적 보안 273
중소기업의기술보호를위한 3통제구역에는관계직원의출입을통제하고출입자명부(별지제14호서식)를비치하고기록 유지한다. 세부보안통제실행지침서 4보호구역이외의장소에출입을통제하고자할때에는다음과같은표지를출입문중앙또는잘보이는곳에 부착하여출입자를제한할수있다. 관계자외출입을금함 1보호구역에대한관리책임은그시설및재산을관리하는팀장에게있으며사장은이에대한전반적인책임을진다. 제77조(보호구역의관리책임) 7cm 2보호구역관리책임자는항시출입자의동태를감시하고안내와통제등보안대책을강구한다. 하도록자체경비대책을마련하는등안전관리에노력하여야한다. 당직근무를하게하거나이에상응한보안조치를취하여야한다. 1보안책임자는사무실의보안유지를위하여최종퇴실자로하여금보안상태의이상유무를확인하게하고, 2사장은중요시설(전산실, 제78조(기타중요서류 자재등의안전관리) 기계실, 통신실, 교환실, 기타주요설비)이외부로부터파괴, 도난또는유실사고가발생하지아니 직원으로하여금 제79조(출입증의발급) 1당사임직원으로입사한자는다음각호의구비서류를제출하고출입증발급을보안담당팀에의뢰하여야한다. 2출입증을분실한직원은출입증재발급신청사유서(별도양식)를제출하여야한다. 4. 1. 2. 3. 호적등본(입사시제출자불요) 반명함판사진 출입증발급신청서(별도양식) 제80조(출입증의반납) 주민등록등본(입사시제출자불요) 제81조(제한 통제구역의출입절차) 1제한 통제구역의상시출입을필요로하는직원은출입증발급신청서항목중의출입장소를명시후제출하거나, 출입증을발급받은자가그직에서퇴직하였을때또는기타결격사유가발생하였을때에는즉시이를 협조문서를제출하여관련팀및보안담당팀의승인을얻어야한다. 반납하여야한다. 2제한 통제구역의임시출입을필요로하는직원은 제한 통제구역임시출입증발급신청서 (별도양식)를제출하여관련팀 3직원이공사, 보수, 작업등의목적으로협력업체근로자와같이출입하여야할경우에는출입을요하는근로자개별신분을 동일내용의 확인하고상기와같이승인을얻은후출입할수있다. 1각사무실또는시설물에보안및화기단속책임자를둔다. 제82조(보안및화기단속책임) 2보안및화기단속책임자는사무실또는시설물의사용자중최상위직에있는자가정책임자, 이에는작업전과정에걸쳐안전및보안감독을하여야한다. 1. 2. 3. 있는자가부책임자가되며다음각호의임무를수행한다. 실내및책임구역내의보안및화기단속 실내및책임구역내의근무인원에대한교육 일과후보안단속사항의확인 차상위직에 제83조(시설변경등에따른보안성검토) 건물내전산실, 보안담당팀에의뢰하여야한다. 부대시설등의설치, 변경등의사유가발생하여안전관리및보안성검토가필요할경우, 부록 3. [사례] 보안관리매뉴얼 35cm 274
제11절보안자재보안 중소기업의기술보호를위한 세부보안통제실행지침서 제84조(무선통신보안관리) 제85조(국제통신보안관리)1보안책임자는국제통신망에의한기밀및중요자료의누설방지를위하여다음각호의보안대 중요자료를대상으로하는경우반드시국가용보안시스템(암호장비, 일반무선통신망(팩시밀리, 전화등)은보안성이없는일반자료 단순공개자료소통시사용함을원칙으로하며, 보안자재)을활용하여야한다. 비밀등 1. 2. 2국제통신망으로업무관련사항을송수신하고자하는경우에는자료및소통내용에대한보안통제를실시하여야한다. 국정원장이개발하거나안전성을검증한암호장치와정보보호시스템의도입운용 국정원장이안전성을확인한정보통신망보안대책의시행 책을강구하여야한다. 제86조(보안자재의주관)보안책임자는보안자재관리를주관하고다음각호에정하는임무를수행한다. 3. 4. 1. 2. 보안자재의관리 보안자재의수령및배부 5. 보안자재보관책임자에대한교육 보안자재의회수및반납 6. 인감등록서의관리 1수령한음어자재는자재증명서상에관계직원의공람을하고, 제87조(암호자재의관리) 보안자재사고의보고및전말조사 2보안책임자는자체용음어또는약호를제작, 없다. 보안심사위원회를통하여필요한팀에서사용하게할수있다. 기타일체의표시를금하며어떠한경우에도복제, 복사할수 제88조(암호자재의보관책임자) 1암호재재보관책임자는제3장제3절문서보안의비밀보관정책임자가된다. 2암호자재보관책임자는다음각호의임무를수행하여야한다. 4. 1. 2. 3. 암호자재의점검 암호자재의수령, 암호자재기록부의기록유지 음어자재증명서의관리 반납및관리 3암호자재는비밀보관용기에보관하되암호자재보관함을따로비치하여야하며, 6. 5. 암호자재사고에대한보고 암호자재사용법교육 4암호자재는현재용, 보관하지못한다. 과거용, 미래용으로구분하여보관하되현재용을제외하고는보관책임자가봉함, 그함에는암호자재이외의다른물건을 5암호자재보관책임자는음어자재점검기록부를비치, 6암호자재를보유하고있는팀은암호자재기록부를비치하고기록유지하여야하며,관리번호는부여하지않는다. 월1회이상점검한후매월1회보안책임자의확인을받아야한다. 봉인하여보관하여야 부록 3. [사례] 보안관리매뉴얼 275
제89조(보안자재의인계인수) 중소기업의기술보호를위한 보안자재의보관책임자가교체되었을때에는보안자재기록부에다음예시와같이인계 인수한다. 세부보안통제실행지침서 예시 반납용자재명칭: 현재용자재명칭: 예비용자재명칭: 계 : 매 매 위의보안자재를정히인계인수함. 인계자직위 인수자직위 년월일 제90조(보안자재의사용) 확인자보안책임자성명 (인) 1다음각호에해당하는경우에는음어자재를사용하여야한다. (인) 1. 2. Ⅱ급비밀이하의내용을소통하는경우암호자재를사용한다. 2전신전화및기타통신수단에의하여수령받은암호문은이를평문화하여비밀문서인경우에는비밀관리기록 3. 4. 대외비이하의내용을소통하는경우약호재재를사용한다. 기타직무상보호를요하는사항을유 무선으로발신할경우보안자재를사용할수있다. Ⅲ급비밀이하의내용을소통하는경우음어자재를사용한다. 3암호문을해독하여평문으로작성한때에는그평문서여백에음어자재의명칭및해독자성명을기입날인 4암호문의작성은2개종류의보안자재를혼합하여사용할수없다. 부에기재관리한다. 제91조(보안자재의긴급파기) 제92조(보안자재의사고) 사장및보안책임자가보안자재를긴급파기하였을때에는지체없이감독기관본부보안담당관을경유하여 감독기관위원장에게보고하여야한다. 제93조(대도청점검활동) 사장은보안자재의사고를인지하였을때에는지체없이감독기관본부보안담당관을경유하여감독기관 위원장에게보고하여야한다. 및점검을실시한다. 유선전화, 적외선, 무선주파도청등으로부터주요비밀의유출을방지하기위하여필요시도청에대한감시 부록 3. [사례] 보안관리매뉴얼 276
제96조(계획수립) 정보보호전담팀은국가정보보안기본지침제5조에의거연간정보보호대책을수립 시행해야한다. 제12절정보통신운영보안 제97조(정보통신시스템보안성검토) 1각부서의장은국가정보보안기본지침제11조에의거업무를전산화하고자할때계획수립단계부터자체보안대책을강 2보안성검토대상은다음과같다. 구하여야하며, 완료직전의시험운영단계에서도보안성검토를할수있다. 1. 정보통신망을신 증설하거나서버등정보통신시스템을교체하는경우 이를바탕으로정보보호전담팀에게보안성검토를의뢰해야한다. 다만, 정보보호전담팀과협의후사업 2. 3. 4. 5. 내부정보통신망을외부망과연결하고자하는경우 위탁할경우 정보보호관련규정을제정또는개정하고자할경우 6. 국가용정보보호시스템또는검증필정보보호시스템을도입운용하고자할경우 외부기관및업체의보안감리또는보안컨설팅(보안취약성분석 평가포함)을받거나정보처리 보안관제등의업무를 3정보보호전담팀은제출된내용을검토한후그결과와외부기관보안성검토필요사항을기재하여보안책임자에게통보 7. 무선랜등무선망을사용하여업무를처리하거나원격근무지원등을위해시스템을도입하는경우 4제6항제5호의자체보안대책강구사항에는다음각호를포함해야한다. 기타정보통신운용환경변화로인하여보안성검토가필요하다고인정되는경우 검토는보안책임자의협조를얻을수있다. 1. 2. 국가기관간망연동시당해기관간보안관리협의사항 국가용정보보호시스템또는검증필정보보호시스템도입및운용계획아래각호중인원, 시설, 문서등일반보안관련 5보안성검토결과수립된보완대책에대하여추진경과를점검하는등의사후점검을실시해야한다. 3. 4. 5. 서버, 전산자료보호대책 기타전산분임보안책임자가필요하다고인정하는항목 단말기, 네트워크등정보통신시스템의요소별기술적보안대책 6정보통신시스템보안성검토관련세부절차는 보안성검토절차서 에따른다. 제98조(취약점분석평가) 1정보보호전담팀은주요정보통신기반시설등주요정보통신시스템에관하여다음각호의내용을고려하여, 번씩정기적으로취약점분석평가를실시한다. 1. 2. 취약점분석평가계획수립 자산식별, 위협요인및취약점분석 2년마다한 3. 5. 4 위험분석 기존보호대책의적정성등파악 3취약점분석평가업무를외부기관에위탁하는경우다음각호의사항을고려해야한다. 22년주기의정기취약점분석평가를실시하지않는중간연도에다음각호의내용을고려하여, 보호대책수립 1. 수탁기관의업무수행능력및비밀준수에대한신뢰성 약식취약점분석평가를실시 4전산분임보안책임자는실시한취약점분석ㆍ평가의결과를반영하여수립한연간정보보호대책을매년3월말까지관계감 독기관에제출해야한다. 2. 3. 비밀유지준수의무를계약서에명시 5취약점분석평가와관련된위험평가수행절차는 위험평가절차서 를참고한다. 위탁업무수행에필요한지원자료및결과물의인계인수및관리대책 부록 3. [사례] 보안관리매뉴얼 제 4장 기술적 보안 277
제104조(중요자료저장보조기억매체관리) 중소기업의기술보호를위한 세부보안통제실행지침서 1중요자료가평문또는암호화저장되어있는보조기억매체를사용하고자할경우에는유출, 2중요자료가저장된보조기억매체는매체별로해당보호등급및관리번호를부여하고중요자료관리기록부에등재하며이 위변조등에대비한보안대책을강구하고해당업무부서의승인을받아야한다. 중캐비닛또는금고에보관해야한다. 이경우에는매체전면에보호등급및관리번호가표시되도록해야한다. 훼손, 비인가자의접근및내용 제105조(정보통신시스템보안관리) 자료가검증필정보보호시스템으로암호화저장된보조기억매체는그러하지아니할수있다. 다만, 2시스템관리자는각종서버ㆍ정보통신장비등의정보통신시스템이불필요한서비스를허용하지않도록보안기능을설정 1정보통신시스템(정보통신망포함)의보안관리를위하여정보통신시스템별로관리책임자(이하 시스템관리자 라한다)를 하여야하며, 지정운영해야한다. 3시스템관리자는정보통신시스템장애시효과적으로대응하기위해탐지, 관련세부절차는 사용자계정및접근권한관리절차서 를참조한다. 최소권한부여원칙에의해업무상필요한범위내에서만사용자접근권한을부여해야한다. 기록, 분석, 보고, 복구등적절한조치를취해야 사용자접근권한 4시스템관리자는취약점분석평가시진단결과를조치하여야하며, 야한다. 1. 2. 서버접속일시, 전산자료열람 출력등에대한사용자, 접속자및접속방법등정보통신망접근기록(1차) 일시, 자료제목등의전산자료접근기록(2차) 시스템접속시다음각호사항이자동기록되도록해 5시스템관리자는다음각호와같이자동수록된접근자료(Log 1. 2. 3. 접근자료는접속의성공여부와무관하게기록유지 자동수록된자료는정보보호사고발생시확인등을위하여1년이상보관(백업자료포함, 시스템접근기록은매일점검하고분석내용을월1회시스템보안담당자에게보고 Data)를관리해야한다. 6시스템관리자는각종서버의보유자료에대해업무별, 4. 3회이상접속시도의오류가발생하는경우경보발생및시스템관리자에통보기능부여 출방지를위한보호대책강구 자료별중요도에따라사용자별접근권한을차등부여해야한다. 보관형태는각팀의팀장이정함) 및외부유 7시스템관리자는비인가자가의정보통신시스템침입사실을인지한경우시스템보호를위한접속차단등초동조치를취 8사용자별자료접근범위는서버에등록하여인가여부를식별토록하고인가된범위이외의자료접근을통제해야한다. 9정보통신시스템에대하여외부업체의원격유지보수작업을허용하여서는안된다. 하고지체없이정보보호전담팀에통보해야한다 10정보통신시스템에대하여전산망불법침입(해킹) 겨야한다. 책을강구한후원격유지보수작업을허용할수있으며, 및바이러스피해예방을위해최신패치등의방법을강구해야한다. 이때에도원격유지보수내용을확인감독하여반드시기록을남 다만, 부득이한경우에는필요한보안대 11시스템도입계약시저장매체교환 반출, 12PC 등의정보통신시스템을교체 반납 폐기하거나고장으로외부에수리를의뢰하고자할경우에는저장매체탈거, 임차기간만료에따른반납시저장자료삭제등보안조치방안을계약서상명시해 13각부서의장은주요정보통신시스템을식별및분류하여목록으로관리하고주기적으로갱신해야한다. 14보안절차, 료삭제등의보안조치를수행해야한다. 운영매뉴얼, 운영기록등주요정보통신시스템에대한문서들은안전하게보관하고적절한폐기절차에따라폐기 부록 3. [사례] 보안관리매뉴얼 278
제106조(정보통신시스템운영) 중소기업의기술보호를위한 1정보통신시스템운영의보안유지를위해네트워크분리, 침입차단시스템설치, 접근권한통제, 원격접속에대한운영책임 세부보안통제실행지침서 2신규정보통신시스템의설치시, 3신규정보통신시스템의도입, 4정보통신시스템에대하여해당업무에서요구되는성능요구사항을충족시킬수있도록성능관리를수행해야한다. 등에대한방안이수립되고시행되어야한다. 5정보통신시스템에대하여해당업무에서요구되는용량요구사항을충족시킬수있도록용량계획을통해적정한용량을확 업그레이드에따른인수기준을수립되어야하고, 보호대책을검토하고, 필요시보호장비를설치하고관리해야한다. 보하고, 최적의관리방안을수립하여용량관리를수행해야한다. 이내용이계약서에반영되어야한다. 6인터넷망과접속시보안적합성검증필정보보호시스템(침입탐지시스템, 7주요정보통신시스템관리는내부특정터미널에서만할수있도록제한한다. 8외부에서네트워크를통해정보통신시스템을관리할경우에는사용자인증, 링을수행해야한다. 침입차단시스템등)을통하여접근통제및모니터 9사용자의정보통신시스템운용및접근이허용된범위안에있는지를확인하기위해모니터링이수행되고관련결과를정 10모니터링을위한감사기록을생성하고, 기적으로점검해야한다. 분석하며일정기간동안보관해야한다. 암호및접근통제기능을설정해야한다. 11기타정보통신시스템운영시준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의정보통신시스템정보 1직원의채용및인사이동시에는사용자계정, 제108조(내부직원정보보호) 보호부분을참고한다. 2직원의퇴직시, 고, 이전근무지의PC 퇴직하는직원이사용하던전산관련자산의사용자계정말소, 및관련자료는회수또는삭제등의정보보호조치를취해야한다. 업무권한등에대한사용자계정및접근권한을새로받는것을원칙으로하 3그외, 를참조한다. 유지서약서재확인등의보호조치를해야한다. 직원이사내에서준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의사용자정보보호부분을참 퇴직시준수해야할정보보호관련세부절차는 퇴직시정보보호절차서 복구가불가능하도록자료완전소거및비밀 제109조(PC 1단말기를포함한PC 고한다. 2비인가자가PC를무단으로조작하여전산자료를유출, 행해야한다. 보안관리) 1. 등을사용할경우에는사용자및관리책임자를지정해야한다. 2. 장비별 자료별 사용자별패스워드사용 5분이상PC 작업중단시화면보호조치 위 변조및훼손시키지못하도록다음각호에정한보안대책을수 3. 4. 백신및PC용침입차단시스템등운용 6정보보호전담자는업무용노트북PC, 4PC에적용되는사용자계정(ID) 5PC P2P 사용자의계정발급및네트워크서비스이용관련세부절차는 PC 등업무와무관하거나보안에취약한프로그램의사용금지 및패스워드의취급관리는제111조계정관리의규정을준용한다. 7개인소유및재택근무용PC(노트북PC 신을활용하여해킹프로그램및웜 바이러스감염여부를점검해야한다. 등)는사내로반입또는반출하여사용하여서는안된다. PDA 등휴대용단말기의운용현황을파악하여관리하고, 사용자계정및IP발급절차서 를참고한다. 다만, 반출또는반입시최신백 9기타PC 8사용자PC에는고객정보및금융정보등중요정보가평문으로저장되어있어서는안된다. 장또는그위임을받은자의승인을받아전산장비관리대장에등록후반입또는반출할수있다. 보안관리를위해준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의사용자PC 부득이한경우에는해당업무부서의 을참고한다. 정보보호부분 부록 3. [사례] 보안관리매뉴얼 279
제110조(계정관리) 중소기업의기술보호를위한 1사용자계정(ID)은비인가자도용및정보통신시스템불법접속에대비하여다음각호의사항을반영하여관리해야한다. 세부보안통제실행지침서 3. 1. 2. 그룹별, 외부사용자의계정부여는불허하되부득이한경우에는담당팀장의책임하에유효기간을설정하는등보안조치를강 패스워드가없는사용자계정사용금지 구한후허용 업무별(업무단위), 사용자별접근권한부여 2계정운영담당자는사용자계정의등록 변경 폐기시시스템보안담당자에게그결과를보고해야한다. 35회에걸쳐사용자인증실패시정보통신시스템접속을중지시키고비인가자침입여부를확인점검해야한다. 4. 5. 계정의공동사용금지. 계정관리를담당자는계정운영담당자를지정 단, 담당팀의장및그위임은받은자의승인후사용가능 4계정운영담당자는사용자의퇴직또는보직변경등으로사용하지않는사용자계정이발생할경우이를신속히삭제해야 5계정운영담당자는사용자계정별접근권한에대해서정기적으로검토및점검해야한다. 6기타계정관리를위해준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의사용자계정및패스워드관리 제111조(패스워드관리) 1패스워드는PC등단말기의무단사용방지를위하여다음과같이구분사용해야한다. 부분을참고한다. 1. 2. 3. 패스워드(2차) 비인가자의정보통신시스템접근방지를위한장비접근용패스워드(1차) 정보통신시스템사용자가서버등정보통신망접속시인가된인원인지여부를확인하는사용자인증 3패스워드는다음각호사항을반영하여숫자와문자, 2비밀이나중요자료에는반드시자료별패스워드를부여하되공개또는열람자료에대해서는그러하지아니할수있다. 사용해야한다. 문서에대한열람 수정및출력등사용권한을제한할수있는자료별패스워드(3차) 1. 2. 개인신상및부서명칭등과관계가없는것 사용자계정(ID)과동일하지않은것 특수문자등으로8자리이상으로정하고월1회이상주기적으로변경 4. 6. 3. 5. 동일단어또는숫자를반복하여사용하지말것 일반사전에등록된단어는사용을피할것 7. 동일패스워드를여러사람이공유하여사용하지말것 이미사용된패스워드는재사용하지말것 5사용자의인사상변동시즉시해당패스워드를사용할수없도록조치해야한다. 6패스워드를종합관리하고자할경우에는해당업무부서의장(부서장, 4패스워드는입력시노출을최소화해야하며, 응용프로그램등을이용한자동패스워드입력기능사용금지 화면에나타나서는안된다. 7주기적으로패스워드관리의중요성에대한교육을시행해야한다. 암호화하여관리한다. 재한후대외비에준하여보관관리한다. 단, 패스워드를출력하여관리하고자할경우에는전산장비관리대장(별지제16호서식)에별도로등 팀장) 또는시스템보안담당자만접근할수있도록 8기타패스워드관리를위해준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의사용자계정및패스워드 1암호화기법을사용할경우에는보안성검토승인을득한암호화기법을사용하여야하고, 제112조(암호정책및사용) 관리부분을참고한다. 2암호사용시적절한알고리즘유형, 를지정 운용해야한다. 신뢰성및키길이를결정해야한다. 암호취급자및암호관리책임자 부록 3. [사례] 보안관리매뉴얼 280
제113조(악성코드방지대책) 중소기업의기술보호를위한 1웜 바이러스, 해킹프로그램, 스파이웨어등악성코드감염을방지하기위하여다음각호에따라정보통신시스템을운영관리해야한다. 세부보안통제실행지침서 1.출처, 3. 4. 2. 인터넷등상용망으로입수한자료는필히악성코드검색후사용 업무상불필요한서비스를제한 실행파일은읽기전용으로속성변경 그램으로진단후사용 유통경로및제작자가명확하지않은응용프로그램은사용을자제하고불가피한경우에는백신등관련검색프로 2악성코드감염이발견되었을경우, 2. 5. 6. 악성코드조기발견을위하여최신백신프로그램활용및보안업데이트실행 3. 1. 시스템이작동할때마다컴퓨터하드디스크의부트섹터및메모리등에악성코드가감염되었는지점검 4. 악성코드감염확산방지를위하여정보보호전담자및정보보호전담팀에게관련내용및보안조치사항을즉시보고 악성코드감염의재발을방지하기위하여원인분석및예방조치수행 최신백신등악성코드제거프로그램을이용하여퇴치 바이러스감염피해를최소화하기위하여감염된시스템사용중지및내부망과접속분리 시스템보안담당자또는PC 사용자는다음각호의조치를해야한다. 3정보보호전담팀은악성코드가신종이거나감염피해가심각하다고판단할경우에는관련사항을감독기관에신속히통보해야한다. 3PC 2인터넷을통한불법프로그램다운로드를금지한다. 제114조(전자우편등의보안관리) 1전자우편사용자는보안조치없이전자우편을이용한중요자료전송을금지하고출처가불분명한전자우편의경우열람하지말고삭제한 다. 1업무망과인터넷망의실시간연동은원칙적으로금지하며, 제115조(업무망과인터넷망분리) 등에서음란 도박 증권등업무와무관한인터넷사이트접근에대한통제를수행한다. 2정보통신망을상용망등외부망과접속하고자할경우에는비인가자의무단침입을방지하기위하여보안적합성이검증된침입차단 탐 제116조(인터넷등외부망연동) 1타기관과정보통신망을연결사용하고자할경우에는보안관리책임한계를정의하고보안대책을수립ㆍ시행해야한다. 불가피한경우엄격한보안대책을수립ㆍ시행해야한다. 3인터넷등상용망및타기관과의정보통신망연동시불법침입(해킹)을방지하고효율적인보안관리를위하여연결지점을지정운용하여 지시스템설치운용해야한다. 6침입탐지시스템은침입차단시스템안쪽에위치하도록구성하여각업무망을감시한다. 5침입탐지시스템을통한감시는외부 4정보통신망에사용되는 IP주소'를체계적으로관리하여야하며, Translation)를사용한다. 임의접속을차단해야한다. 7외부에노출된서버의보안을강화하기위하여호스트기반의침입탐지시스템을설치하여운영할수있다. 내부, 내부 내부, 내부 내부정보통신망을보호하기위하여사설주소체계(NAT:Network 외부구간으로분류하여침입탐지현황을분석한다. Address 제117조(홈페이지등공개용서버관리) 1외부에공개할목적으로설치되는웹서버등각종공개서버는내부망과분리하여위험구간(DMZ)내에운영하고보안적합성이검증된침 8인터넷또는외부망과연동할경우침입차단및침입탐지를우회하는구간이발생하지않도록보안네트워크로구성한다. 3공개서버는업무서비스를제외한모든서비스및시험 개발도구등의사용을제한하도록보안기능을설정해야한다. 4공개서버를통한서비스개시이전에보안취약성점검을정보보호전담팀에게의뢰하고발견된보안취약성을보완조치해야한다. 2서버에접근할수있는사용자계정을제한해야하며불필요한계정은삭제해야한다. 입차단 탐지시스템을설치 운용하는등보안대책을강구해야한다. 5정보보호사고에대비하여서버에저장된자료의철저한백업체계를수립 시행해야한다. 6공개서버를통해개인정보가유출, 7개인정보및금융정보등중요정보가저장된데이터베이스는위험구간(DMZ)내에설치, 서비스중에도보안취약성점검의뢰및취약성보완을수시로수행한다. 위 변조되지않도록보안조치를해야한다. 보관을금지한다. 또한, 부록 3. [사례] 보안관리매뉴얼 281
제95조(홈페이지보안관리) 중소기업의기술보호를위한 1홈페이지에게시되는사항의보안관리를위하여정보를게시하는부서는게시전다음과같은사항에해당되는지의여부 세부보안통제실행지침서 2. 3. 1. 를확인하여야한다. 4. 영업비밀여부 주요사업계획및회사동향 기타공개되었을경우회사에손해를끼칠수있다고예상되는사항 허가되지않은임직원및고객정보 2홈페이지운영담당부서는게시되는정보의보안관리를위하여주기적으로모니터링을하여야한다. 3홈페이지보안관리및개선을위하여홈페이지운영부서는보안담당팀과협의할수있다. 2원격근무관련보안사고발생시대응계획및처리절차를수립한다. 제118조(원격근무보안관리) 1재택ㆍ파견ㆍ이동근무등의원격근무가능업무및공개, 3주기적인원격근무보안점검표(별지제17호서식)을수행하여보안관리표준의정상시행여부를확인한다. 원격근무대상에서원칙적으로배제한다. 비공개선정기준을수립운영하고중요자료를취급하는업무는 5원격근무자대상의연간교육계획을수립하고주기적또는필요시보안교육을시행한다. 4원격근무자의담당직무에따라접근권한구분을구여한다. 6원격근무자의업무변경ㆍ인사이동ㆍ퇴직시이용권한재설정및삭제절차를마련하고인증관련정보나분실또는장기 제122조(인터넷전화정보보호) 7원격근무자의접근권한을정기적으로검토및조정한다. 간원격근무용지원시스템미사용에대비하여주기적사용자재인증절차를마련한다. 2전화기에적용되는암호논리는민관용국가표준알고리즘(ARIA)을적용하고무선ㆍSW 1인터넷전화(VoIP)를사용할경우통화내용이소통되는전구간을암호화해야한다. 제123조(무선랜정보보호) 형태의취약한단말기사용을제한 1무선랜구축시보안성검토를하여안전한무선랜환경이되도록한다. 2무선단말기, 제124조(와이브로보안관리) 1사내에서와이브로(무선인터넷)를사용하기위해선단말기의내부업무망접속통제, 중기계(AP) 등구성요소별분실 탈취 훼손에대비, 물리적 관리적보안대책을강구하여야한다. 2업무용PC에서와이브로접속장치(USB형등)가인식되지않도록정보보호시스템설치등기술적통제대책을강구하여야 수립ㆍ시행해야한다. 해킹방지등의엄격한보안대책을 1분임보안책임자는부서(팀) 2유지보수작업은시스템보안담당자또는그위임을받은자의입회ㆍ감독하에실시하고저장매체반납ㆍ양여ㆍ폐기등의 제125조(저장매체내장디지털복사기보안관리) 3저장매체가내장된디지털복사기도입ㆍ임대시저장자료완전삭제기능이탑재여부를확인한다 불용처리시저장된자료를완전삭제조치한다. 저장매체내장디지털복사기의보유현황파악및유지보수이력을관리한다. 부록 3. [사례] 보안관리매뉴얼 282
제119조(용역계약및자료제공시보안대책)제13절외부용역사업정보보호 중소기업의기술보호를위한 세부보안통제실행지침서 1일찰공고서및계약서상용역과정중취득한기밀자료누설ㆍ유출금지등준수사항위반시손해배상책임등제재내용 을명문화한다. 2참여인원의신원조사, 3정보통신망도ㆍIP현황등자료제공시에는자료인계인수대장에기록등보안조치를하고민간자료는적정등급의비밀 로분류한후제공한다. 서약서징구및보안교육등보안조치를이행한다. 제120조(외부용역사업정보보호일반) 1정보화사업및보안컨설팅수행등외부용역사업을추진할경우, 2소프트웨어의개발을아웃소싱하거나유지보수를할경우정보보호에대한기준을제시하고, 어야한다. 3용역참여직원을대상으로보안교육및보안점검을실시하여야하며, 필요시감독기관에보안성검토를의뢰해야한다. 4분임보안책임자는외부용역참여직원이노트북등관련장비를반출또는반입할때마다악성코드감염여부, 이경우필요시감독기관에지원을요청할수있다. 이를점검하는절차를갖추 출여부를확인하는등보안조치를해야한다. 5분임보안책임자는용역사업종료시외부업체의노트북ㆍ보조기억매체등을통해기관내부자료및용역결과물이유출되 는것을방지하기위하여, 제공된데이터및시스템환경과관련한자산을모두회수, 파기또는복구가불가능하도록소거하고 자료무단반 비밀유지서약서의재확인, 6소프트웨어의개발, 적보안조치를강구해야한다. 참고한다. 수정등의아웃소싱착수시정보유출방지솔루션적용및소스코드취약점분석도구활용등의기술 필요시USB 소스코드취약점분석도구활용과관련세부절차는 소스코드취약점분석및개선절차서 를 및인터넷연결금지등의보호조치를하여야한다. 7분임보안책임자는용역업체로부터용역결과물을전량회수하고비인가자에게제공대여열람을금지하는등관리를철 7분임보안책임자는용역업체로부터용역결과물을전량회수하고비인가자에게제공 대여 열람을금지하는등관리를철 저해야한다. 8보안이요구되는용역결과물은대외비이상으로분류보관하고대외발간시에는주무부서의승인후시행한다. 9정보통신시스템에대한감리( 의사항을미리협의해야한다. 1. 2. 감리인및보조참여인원 감리일정및감리대상 영역 監 理 )를감리인에게의뢰하고자할때에는비밀및중요자료의유출방지를위하여다음각호 10기타외부용역사업시준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의외주용역시정보보호부분을 참고한다. 3. 4. 감리중점사항및보안점검대상항목 비밀및중요자료보호대책등 제121조(용역업체에대한보안지도및감독) 1용역업체에자체보안관리체계를구축토록하고정기ㆍ수시보안관리실태를점검, 2용역사업과정에서생산된모든자료는당사의파일서버또는정보보호전담자가지정한PC에저장ㆍ관리하고노트북ㆍ USB 3용역사업산출물생성시사전승인을받도록하고보안규정위반자발생시관련자재재등전용역과정에대한감독을철저 등전산장비ㆍ저장매체반출ㆍ입통제를절처히한다. 취약요인을발굴개선한다. 히한다. 부록 3. [사례] 보안관리매뉴얼 283
제14절정보시스템개발보안 중소기업의기술보호를위한 세부보안통제실행지침서 제144조(분석및설계보안관리) 1신규시스템개발, 2응용시스템설계시입력시요구사항을정의하고문서화하여야하며, 사용자접근권한의부여원칙과접근통제유형을포함해야한다. 기존시스템개선시보안요구사항을개발및개선계획서에문서화하여야하며, 입력데이터의정확성, 무결성, 보안요구사항에는 3응용시스템설계시내부처리요구사항을정의하고문서화하여야하며, 기위한표준을마련해야한다. 응용소프트웨어의처리작업을검증하고, 신뢰성을판단하 4응용시스템설계시출력요구사항을정의하고문서화하여야하며, 결성을회복할수있는기능을포함해야한다. 위한대책을마련해야한다. 출력데이터의정확성, 무결성, 신뢰성을판단하기 무 5응용시스템설계시반드시사용자인증에대한보안요구사항을고려해야한다. 6중요한메시지의경우무결성이요구될때메시지인증기법을적용하고비밀성이요구될시암호화를적용해야한다. 7응용시스템설계시다음과각호의요구사항을반영하여보안관련로그, 1. 2. 3. 관리자및사용자의로그인, 사용자인증정보및권한의변경 응용시스템시작및중지 로그아웃 감사증적등에대한기능을반영해야한다. 4. 5. 특수권한의수행 1응용시스템구현시코딩표준에따라응용시스템을구현하고, 제145조(구현및이행보안관리) 기타중요한응용시스템의이벤트 2운영프로그램의수정은적절한권한을지닌사람만이시행하여야하고, 3실행코드는성공적인테스트와사용자인수후에실행해야한다. 4테스트데이터는운영데이터에준하여보호하고통제하여야하며, 보안요구사항에대한시험을수행해야한다. 트환경에도적용해야한다. 운영환경에대하여적용되는접근통제절차를테스 운영시스템은실행코드만보유해야한다. 5소스프로그램에대한접근통제절차를수립하고이행해야한다. 6프로그램의개발, 7테스트시스템에서도주민번호, 제146조(변경관리) 테스트, 운영에관련되는정보통신망을분리, 계좌번호등중요정보는변환하여사용한다. 운영해야한다. 1정보통신시스템의파괴와손상을최소화하기위하여공식적인변경관리절차를수립하고이행해야한다. 2운영체제의변경이필요한경우응용시스템의운영이나보안에미치는영향을분석, 3소프트웨어패키지는변경을금지한다. 4업무상반드시소프트웨어패키지에대하여변경이필요할시에다음각호에대하여대한공급자동의를받고수행 해야한다. 검토하고기록해야한다. 제147조(준용) 2. 1. 변경사항에대한영향과유지보수에대한책임 변경내용에대한추후업데이트에대한지원보증 기타시스템개발시준수해야할정보보호관련규정은 정보통신시스템보안관리요령 의응용프로그램개발부분을 참조한다. 부록 3. [사례] 보안관리매뉴얼 284