2023. 9. 6. 13:40ㆍ보안 컨설팅/관리적 취약점 점검
관리01. 조직 전반에 적용하고 있는 정보보호 정책/지침 또는 규정이 수립되어 있는가?
- 정보보안지침을 제정하여 관리 필요
관리02. 정기적으로 정보보호정책의 타당성을 검토, 평가하여 수정 보완하고 있는가?
- 정보보호정책 및 정책시행 문서의 타당성 검토
- 보안감사 수행 결과
- 중대한 보안사고 발생
- 개인정보 및 정보보호 관련 법령 제,개정
- 새로운 위협 또는 미흡점 발견
- 정보보호 환경의 중대한 변화
- 조직 사업 환경의 변화(예: 신규 사업)
- 정보시스템 환경의 중대한 변화(예: 차세대 시스템 구축)
- 정보보호 활동의 주기, 방법 정기적 검토, 필요한 경우 제,개정하여 문서 반영
- 제정, 개정, 폐기 시 이력을 확인할 수 있는 절차 수립
관리03. 연도별 정보보안업무 세부추진 계획을 수립∙시행하고, 그 추진 결과에 대한 심사분석‧평가를 실시하는가?
- 정보보안 정책의 종합적 체계적인 추진을 위하여 연도별 정보보안 업무 세부 추진 계획을 수립하고 시행하여야 한다.
양호: 아래의 ①+② 항목에 의해 관리되고 있는 경우
① 당해년도 보안업무 추진계획
② 당해년도 보안심사위원회 심의 이력
관리04. 최근 1년간 기관장에게 연간 보호대책 등의 주요 정보보안 관련 사항을 보고하였는가?
- 정보보호활동의 경영진의 참여와 지원을 보장하고 최고경영자에게 승인을 받아야 함.
양호: 아래의 ①+② 항목에 의해 관리되고 있는 경우
① 당해년도 보안업무 추진계획
② 주요이슈 보고사항(사회적 큰 이슈에 대한 보고사항 등 증적)
※ 보고활동이 1회라도 있으면 양호 인정, 전결규정에 의한 결재 시 양호 인정
관리05. 보안활동을 계획, 실행, 검토하는 보안 전담조직 및 전담 보안담당자가 구성
되어있는가?
- 정보보호 실무조직 구성 여부
- 겸임 조직 시, 정보보호 조직 공식선언 또는 지정 필요
- 정보보호 조직의 정보보호 전문 지식 보유 여부, 실무 경력, 직무교육 이수 여부
관리06. 신원조회(민간기관 제외)가 수행되고 비밀유지서약서를 작성하고 있으며,
주기적으로 갱신되고 있는가?
- 신원확인 시, 독립적인 계약보인확인, 신용 및 전과 확인 필요
- 계약 직원 및 제 3자 신원확인 필요
- 신규 채용 인력 정보보호서약서 서명 및 제출 여부
- 정보보호서약서 관리 부서 지정 여부
- 비밀유지서약서 작성 여부
- 직무변경 시, 정보보호서약서 내용 환기 필요
관리07. 계약직 및 임시직원은 물론 정식직원 채용 시 신원, 업무능력, 교육정도, 경력
등에 대한 적격심사가 이루어지고 있는가?
- 지원자의 약력의 정확성
- 학력 및 전문성
① 채용 프로세스 보유
② 채용 시 평가기준 보유
관리08. 제3자(외부유지보수직원, 외부용역자 포함)에 의한 정보자산 접근과 관련한
보안요구사항을 계약에 포함하고 있는가?
외부자 위탁 시, 아래와 같은 보안요구사항 필요
- 외부자 직원 PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경,
화면보호기 설정 등)
- 조직 중요 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한
부여 및 해지 절차
- 무선 네트워크 구축 및 사용 제한(필요 시 위험분석을 통한 보안대책 마련 후
책임자 승인)
- 주기적 보안점검 수행
- 정보보호 관련 법률 준수(개인정보 처리 관련 등)
- 정보보호서약서 제출(비밀유지, 정보보호 책임 등)
- 위탁 업무수행 직원 대상 주기적인 정보보호 교육 수행
- 업무수행 관련 취득한 중요정보 유출 방지 대책
- 외부자 내부 네트워크(업무망) 연결 시 인터넷 접속 제한
- 외부자 사무실 공간에 대한 물리적 보호조치(장비 및 매체 반‧출입, 출입통제 등)
- 재위탁 하도급 계약 시 본 계약 수준의 보안요구사항 정의
- 보안요구사항 위반 시 처벌, 손해배상 책임
- 보안사고 발생에 따른 보고 의무 등
- 외부자 업무형태에 따라 보안요구사항 정의 여부
- 외부자 업무형태에 따라 보안요구사항을 계약서에 반영하지 못할 경우 타당한 사유 여부
관리09. 위탁 기관(업체) 또는 용역사업 참여 업체의 보안 관련사항 위반이나 침해사고
발생 시 조치를 수행하는가?
① 제안요청서 내 보안사항 위반 내용 기재
② 보안사항 위반 사업자 조치 이력
관리10. 조직의 중요한 자산(인력, 시설, 장비 등)에 대한 자산분류기준이 있는가?
- 수립된 분류 기준에 따라 주요정보통신기반시설 관리 범위 내 모든 정보자산을 식별
관리11. 정보자산을 보안등급과 중요도에 따라 분류하여 관리하고 있는가?
- 정보자산별로 중요도를 평가
ex> 정보자산 중요도 평가 기준에 따라 기밀성/무결성/가용성으로 상/중/하로 분류하여 관리하고 있음
관리12. 정보자산별로 책임자가 지정되어 있으며 소유자, 관리자, 사용자들이 확인되고 있는가?
- 정보자산 도입, 변경, 폐기, 반‧출입 등의 책임을 질 수 있는 책임자 및 정보자산을 실제 관리∙운영하는 관리자(또는 담당자)를 지정
① 자산목록대장 관리자/책임자 명시
② 자산 라벨링(정/부 담당자 기재 및 부착)
관리13. 미디어 장치의 사용 및 반출입에 대한 관리절차나 문서가 있는가?
- 업무용으로 개인 휴대용 저장매체를 사용하는 것은 원칙적으로 금지
허가된 저장매체만 사용할 수 있도록 다음과 같은 정책 및 절차를 수립하고 이행하여야 한다.
- 휴대용 저장매체 취급(사용)범위: 보호구역별 저장매체 사용 정책 및 절차 수립
- 휴대용 저장매체 사용허가 및 등록절차
- 휴대용 저장매체 반출, 반입 절차
- 휴대용 저장매체 폐기, 재사용에 대한 절차
- 휴대용 저장매체 보호대책 등
(교육청) 정보보안 기본지침 부록의 “USB 메모리 관리지침”이 있는 경우
(KERIS) 아래의 ① 또는 ② 항목이 만족하는 경우
① 정보보안 기본지침 내 자산관리에 대한 조항 명시
② 휴대용저장매체 보안관리 지침 보유
관리14. 정보나 매체가 용도 폐기되기 위한 폐기 방법이 수립되고 적절하게 이행되고 있는가?
- 정보자산의 등급에 따라 취급절차(생성, 저장, 이용, 파기 등)를 정의
- 저장매체의 폐기 시 물리적, 전자적으로 완전 파괴하고 재사용 시에는 완전포맷
방식으로 정보를 삭제
조직이 자체적으로 저장매체 폐기할 경우 다음 항목이 포함된 관리대장을 작성하고 관련 책임자가 확인하여야 한다.
- 폐기일자
- 폐기 담당자, 확인자명
- 폐기방법
- 폐기확인증적(사진 등) 등
관리15. 교육 훈련 대상은 관련된 모든 내외 임직원 및 외부 인력을 포함하고 있으며,
정보자산에 간접적으로 접근하는 일반 외부 용역 직원에 대해서도 정보보호
교육훈련을 수행하는가?
- 정보보호 교육대상에는 모든 인력을 포함
- 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.
관리16. 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적
으로 실시하고 있는가?
- 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육계획을
전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다.
양호: 아래의 ①+②+③ 항목이 만족하는 경우
① 당해년도 정보보안 교육계획서(임직원 대상 교육 연 2회)
② 당해년도 상반기 교육결과보고서
③ 교육대상에 외부인력 포함
관리17. 업무 요구사항에 따라 접근통제의 방법과 범위 등을 정의하고 문서화하고 있는가?
- 업무상 불가피하게 접근통제 정책 예외사항이 발생할 경우 이를 보완할 수 있는
통제방안(허가기간, 단말기, 접근위치 등)을 마련한 후 한시적으로 허용하여야 한다.
아래의 ①이나 ② 항목이 만족하는 경우
① 정보시스템 운영지침, 네트워크 운영지침, 서버 운영지침 등 세부지침 존재
② 정보시스템 운영매뉴얼, 네트워크 운영매뉴얼, 서버 운영매뉴얼 등 운영 매뉴얼 존재
관리18. 허가된 원격작업내용, 작업시간, 접근 허가된 내부 시스템 및 서비스 등의
내용을 포함한 재택근무 등의 원격작업에 대한 정책, 절차가 존재하는가?
- 내부 네트워크 시, 특정 단말에서만 접근 할 수 있도록 제한
- 외부 네트워크 시을 통하여 시스템을 관리하는 것을 원칙적으로 금지
- 외부네트워크를 통한 원격운영은 원칙적으로 금지, 부득이한 경우에만 허용하지만 보안대책 마련
관리19. 스마트폰∙개인휴대용단말기(PDA)∙전자제어장비 등 첨단 정보통신기기를
활용하는 경우 업무자료 등 중요정보 보호 및 안전한 전송을 위한 방안이
마련되어 있는가?
- 모바일 기기정보(MAC, 시리얼 번호, 사용자 등)를 목록화하여 관리
- 기기인증: 네트워크 장비를 통한 인증, 전용장비(NAC 등)를 통한 인증, AP 인증
모바일 기기 이용에 따른 보안정책 및 모니터링 대책을 마련
- 모바일 기기에 대한 이용자 보안 설정 정책
- 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준
- 모바일 기기의 오남용 여부를 파악할 수 있는 모니터링 대책
- 모바일 장비에 설치되는 소프트웨어의 안전성을 점검대책
조직이 구축하고 있는 스마트워크 업무형태에 따라 위협요인을 분석
(스마트워크 업무형태 정의) 재택근무, 스마트워크 센터, 원격협업 등
- (스마트워크 업무 허가 범위 설정) 내부 및 서비스 원격접근 허용 범위
- (스마트워크 업무 승인절차) 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
- (원격접근에 필요한 기술적 보호대책) 전송구간 암호화, 사용자 인증 등
- (접속 단말 보안) 백신 설치, 보안패치 적용, 단말 인증, 중요정보 저장 금지 등
- 스마트워크 업무 환경에서의 이용자 정보보호 지침 마련 등
※ 스마트워크 서비스 영역과 내부네트워크 영역을 분리하고 스마트워크용
단말에서 내부네트워크 영역 직접 연결 차단 필요(중계서버 구축 등)
※ "모바일오피스"란 스마트폰, 스마트패드, 노트북 등 모바일기기를 이용하여
시간적, 공간적 제약 없이 업무를 수행하는 근무환경을 말함
관리20. 정보통신망에 비인가 PC∙노트북 등을 연결 시 차단하는가?
아래의 ①+②항목이 만족하는 경우(만족), ①+③항목이 만족하는 경우(부분만족)
① 네트워크접근제어(NAC) 또는 IP관리(제어)시스템 보유
② 업무망, 시스템망 네트워크접근제어(NAC) 또는 IP관리(제어)시스템 적용
③ 업무망, 시스템망 네트워크접근제어(NAC) 또는 IP제어시스템 일부 적용
관리21. 정보시스템 및 정보보호시스템 접근기록의 비인가 열람, 훼손 등을 방지하기
위한 대책이 있는가?
- 각 시스템 및 장비별로 기록하여야 할 로그유형 및 보존기간(최소 6개월 이상 권고)을 정하여야 한다.
관리22. 무선랜(Wi-Fi 등)은 국가정보원장의 보안성 검토를 필하거나 암호키 설정
등의 적절한 보안조치를 적용하였는가?
비인가된 (사설)무선네트워크 장비(Rogue AP : Access Point)를 운영하지 않도록 하여야 하며 사전 보안성 검토를 수행하여 다음과 같은 보안 대책을 적용하여야 한다.
- 무선 네트워크 장비 접속 단말기 인증 및 보안
- 무선 네트워크 장비 (예: AP, Access Point) 보안 및 허용 장비 리스트
- 무선 네트워크를 통하여 접근 할 수 있는 정보시스템 범위 정의
- 무선 네트워크 사용권한 신청/변경/삭제 절차
- 사용자 식별 및 인증
- 무선 네트워크 서비스 거리 제한 (주파수 세기 조정)
- 정보송수신 시 무선망 암호화 기준(예: WPA2)
- 전산실 등 통제구역 내 무선네트워크 사용 제한
- SSID(Service Set IDentification) 브로드캐스팅 중지 및 추측 어려운 SSID사용 등
양호: 아래의 ①이나 ②항목이 만족하는 경우
① 업무 목적으로 무선 네트워크 장비를 사용하는 경우 보안 대책 존재
② 업무 목적으로 무선 네트워크 장비를 허용하지 않는 경우
관리23. 무선랜 무단 사용 여부, 비인가 무선 중계기(AP) 설치 여부, 우회 정보통신망 사용 차단 여부 등을 주기적으로 점검하는가?
- 비인가된 (사설)무선네트워크 장비(Rogue AP : Access Point)를 운영하지
않도록 하여야 하며, 시스템에 대한 인가되지 않은 무선 접근을 통제하고
감시하여야 한다.
관리24. 개발 테스트 설비는 실제 운영설비와 분리되어 있는가?
- 개발과 운영 환경을 분리하지 않는 경우 -> 성능 및 용량 하락 -> 개발자 접근 범위 초과
관리25. 시스템을 도입하기 전에 보안성 검토 및 호환성 검토를 실시하는가?
- 자산 변경 수행 전, 성능 및 보안에 미치는 영향 분석
- 업무에 미치는 영향을 최소화로 변경 이행하고 변경 실패에 따른 복구방안을 사전에 고려
관리26. 시스템 및 사용 장비에 대한 보안 취약점에 대한 주기적 검토 및 보완 프로세스가 있는가?
- 정기적 기술적 취약점 점검 수행, 발견된 취약점 조치
관리27. 바이러스, 악성코드 등에 대한 대비책을 가지고 있는가?
- 바이러스, 웜, 트로이목마 등 악성코드를 방어하기 위한 백신 설치 여부
관리28. 보안규정의 이행여부를 확인하는 주기적인 보안점검 및 불시 보안점검이 이루어지고 있는가?
- 연1회 이상 내부감사를 수행하여야 한다.
- 연간 계획을 수립한 후 정보보호 최고책임자 등 기관장(경영진)에게 보고하여 승인을 득한 후
계획에 따라 내부감사를 수행
- 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다.
- 감사 결과보고서를 작성하여 정보보호 최고책임자 등 기관장(경영진) 등에게 보고하여야 한다.
관리29. 시스템 및 패스워드 관리지침을 제공하고 시스템 및 패스워드 관리책임을 주지시키고 있는가?
- 조직 내부 주요 정보시스템 및 정보보호시스템에 대한 사용자의 안전한 패스워드
사용 및 관리절차(작성규칙 등)를 수립하고 이행하여야 한다.
- 응용 프로그램인 경우 안전한 패스워드 작성규칙, 추측하기 쉬운 패스워드 사용제한, 발급받은 초기/임시 패스워드 최초 로그인 시 변경, 패스워드 주기적변경 유도, 패스워드 입력 시 마스킹 처리 등의 규칙은 기술적 기능으로 반영하여야 한다.
아래의 ①+②+④ 항목이 만족하는 경우(만족), ①+③+④ 항목이 만족하는 경우(부분만족)
① 정보보안 기본지침 내 패스워드 관리 조항 기재
② 시스템 취약점 진단 결과와 규정의 패스워드 규칙 일치 여부
③ 시스템 특성 상 패스워드규칙 적용 불가한 경우
④ 내 PC지키미의 패스워드 변경 및 관리 관련 증적 확인
관리30. 전자기록 보관을 위한 별도의 방법(아카이빙)이 존재하고, 이를 통한 관리를 하고 있는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 나이스 백업 계획
② 일단위 증분, 주단위 전체백업 실시 증적
관리31. '사이버보안진단의 날' 등과 같이 월별 보안 중점 점검사항에 대해 매월 점검하고 조치하는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 사이버보안 진단의 날 실시알림
② 사이버보안 진단의 날 실시 결과 증적(내 PC 지키미 결과보고서 등)
관리32. 비밀(대외비 포함)을 비밀관리기록부에 등재하여 관리하는가?
양호: 아래의 ①+②항목이 만족하는 경우 만족, ②항목 누락 시 부분만족
① 대외비문건 관리부 작성
② 네트워크구성도, IP현황대장, 취약점진단결과 등 기록
관리33. 출력된 비밀문서의 경우 잠금장치가 있는 캐비넷 등에 안전하게 보관하고 있는가?
양호: 아래의 ①+②항목이 만족하는 경우
① 시건장치 된 캐비닛 내 문서보관
② 시건장치 된 캐비닛 내 USB 보관
관리34. 비밀 등 중요정보의 안전한 처리를 위한 시스템을 도입하여 사용하고 있거나 이를 계획하고 있는가?
- 정보통신망을 이용하여 전자문서를 보관ㆍ유통할 때 위조ㆍ변조ㆍ훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 한다.
관리35. 정보통신망 세부 구성현황 등을 대외비 이상으로 관리하는가?
양호: 아래의 ①+② 항목이 만족하는 경우(만족), ② 항목 누락 시 (부분만족)
① 대외비문건 관리부 작성
② 네트워크구성도, IP현황대장, 취약점진단결과 등 기록
관리36. 정보보호시스템은 국내용 CC인증을 받았거나, 보안적합성 검증을 받았는가?
양호: 아래의 ①+②+③ 또는 ④ 항목에 의해 관리되고 있는 경우, ① + ② 항목이
만족하는 경우(부분만족)
① 취약점 분석 도구 활용
② 도입 전/도입 즉시 모의해킹 수행
③ 취약점 분석 및 모의해킹 결과보고서
④ CC인증/검증필 암호모듈/보안적합성 검증 증적 보유
관리40. 업무복구목표와 요구사항에 적합한 업무연속성 전략을 수립하였는가?
- 재난재해복구시스템 운영 계획 수립 및 업무연속 계획 수립
관리41. 침해사고 발생 시 신속한 보안사고 보고를 위한 절차가 문서화되어 있고 이에 따라 신속한 보고가 이루어지고 있는가?
침해사고 대응절차 수립, 대응절차에는 다음과 같은 사항 포함
- 침해사고 정의 및 범위
- 선포절차 및 방법
- 비상연락체계
- 기록 및 보고절차
- 신고 및 통지 절차
- 보고서 작성
- 대응 및 복구 절차
- 복구조직의 구성 및 책임, 역할
- 복주장비 및 자원조달
- 복구 훈련, 훈련 시나리오
- 외부전문가나 전무기관의 활용방안
- 기타 보안사고 예방 및 복구를 위하여 필요한 사항
- 침해사고 대응지침과 보고체계 수립및 보고증적 보유
관리42. DDoS 대응체계를 수립하고 주기적은 훈련을 실시하고 있는가?
양호: 아래의 ① 혹은 ②+③+④ 항목이 만족하는 경우
① DDoS 대응매뉴얼 보유
② 정보보안 기본지침 부록 "DDoS공격방지대책“
③ DDoS 공격대응 모의훈련 계획 보유
④ DDoS 공격대응 모의훈련 결과보고서 보유
관리43. 개인정보보호를 위해 DB암호화 등 개인정보유출에 대한 방안이 마련되어 있는가?
양호: 아래의 ① 혹은 ②+③ 항목이 만족하는 경우
① DB암호화 완료
② DB접근제어시스템 보유
③ 개인정보보호지침/개인정보내부관리계획 등 지침 보유
관리44. 정보보호정책이 문서화되어 있으며 경영자층의 승인을 받고 있는가?
- 정보보안 기본지침의 최고경영장의 승인 필요
관리45. 정보보호정책서가 모든 임직원 및 관련자에게 배포되고 모든 임직원 및 관련자가 정보보호정책을 이해하고 있는가?
양호: 아래의 ①, ②, ③ 항목 중 1개 항목 공지 및 배포 활동 실시
① 게시판
② 이메일
③ 실시 알림 공문 발송
관리46. 기관의 정보보안 강화를 위한 중장기(3년 이상) 계획이 있는가?
- 기관의 정보보안을 위한 기본 목표와 추진방향 등에 관한 중기적 관점의 기본 계획을 3년마다 수립하여야 한다.
관리47. 보안관련 전문가 집단으로부터 조언을 받고 해당 내용을 반영하고 있는가?
양호: (교육청) KERIS 사이버안전센터와 주고받은 공문, 이메일 등이 있는 경우
(KERIS) 국정원, 교육부 사이버안전센터 등과 주고받은 공문, 이메일 등이 있는 경우
- 전문가집단으로부터 조언을 받았다는 증적이 필요함
관리48. 정보보호 관련 주요 의사결정을 수행하는 정보보호위원회가 구성되어 있으며, 위원회의 역할 및 책임이 명확히 기술되어 있는가?
- 정보보호위원회 기능
- 정보보호 정책의 형성, 검토 및 승인
- 이행의 효율성 검토
- 정보보호 추진을 위한 명확하고 가시적인 경영층의 지원
- 역할과 책임 할당에 대한 승인
- 의식제고를 위한 계획 및 프로그램의 시작
- 통제가 제대로 이해되기 위한 부서 간 협조 지원
- 정보보호위원회는 정보보호를 위한 대내외적인 의견을 수렴/검토해야 한다.
- 정보보호위원회는 조직의 규모에 따라 기존에 존재하고 있는 이사회 등에 의해 수행될 수 있다.
- 정보보호위원회의 주기적인 운영이 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정을 마련하여야 한다.
- 정보보호위원회는 적절한 위임과 자원 지원을 위해 경영층으로 구성되어야 한다.
- 정보보호위원회의 역할과 책임은 다음과 같다.
- 조직 전반에 걸친 중요한 정보보호 관련 사항 검토 및 의사결정
- 정보보호 실무조직 구성 및 정보보호 활동을 위한 자원할당 등
관리49. 모든 인력에 대하여 정보보호의 책임과 역할을 문서로 명확하게 정의하고 있는가?
- 직무 분리 기준 수립
- 직무와 책임, 권한, 보고할 상급자 명시하는 문서 작성 및 운영
관리50. 정보보안정책을 불이행할 경우 이에 대한 징계가 규정에 명시되어 있는가?
- 내부 규정 및 비밀유지서약서에 명시된 정보보호 책임을 이행하지 않았을 때 처벌규정과 아울러 충실히 이행하였을 경우 보상방안도 함께 마련
관리51. 고용계약 만료 시 자산반납 및 접근권한을 삭제하는 절차가 있는가?
- 조직 내 인력의 직무 변경 혹은 퇴직 발생 시 정보자산 반납, 접근권한의 조정 회수 등을 수립된 절차에 따라 시행하고 결과를 확인하여야 한다.
- 직무변경자 혹은 퇴직자가 불가피하게 정보시스템 및 정보보호시스템 계정을 공유 사용하고 있었다면 계정의 비밀번호를 즉시 변경하여야한다.
관리52. 제3자의 보안요구사항 준수 검토를 위해 제3자 관리책임자로부터 보안관리 상황에 대한 주기적인 보고를 받고 수시로 점검을 수행하는가?
양호: 아래의 ①이나 ②항목을 만족하는 경우
① 사업 결과보고서
② 점검자료
관리53. 외부 관계자에게 정보나 자산에 접근할 수 있는 보안 규정을 사전 통보하는가?
- 정보보호에 관한 항목
- 제공되는 제품 및 서비스에 대한 설명
- 접근통제정책
- 부정확한 정보, 정보봉나 사고, 보안 위반 등에 대한 보고, 통지, 조사 등의 사항
- 정보자산과 관련된 외부 관계자의 행동에 대한 모니터링 및 이용 박탈 등의 권리
- 조직과 외부 관계자 각각의 의무
- 법적 책임 및 법적 요구사항 만족을 위한 방안
- 지적재산권, 저작권 보호 등에 관한 사항
관리54. 제3자(외부유지보수, 외부용역 등)에 대한 보안서약서를 징구하는가?
- 사건∙사고 발생 시 손해배상 책임 등의 내용을 정보보호 서약서에 명시하고 서명을 받아야 한다.
관리 55. 조직의 주요 자산 목록을 작성하고 변경사항을 유지 관리하고 있는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 주요정보통신기반시설 범위 내 자산 등재
② 직전 도입한 신규시스템 목록 등재
관리56. 자산에 대한 등급별 보호절차, 접근제한을 실시하고 있는가?
- 자산 중요도 평가기준, 보안등급 부여, 취급절차 정의, 접근통제
관리57. 미디어 장치(노트북, 테블릿, 이동식저장장치 등)의 반출입 시 접근통제를 수행하고 있는가?
양호: 아래의 ①, ②, ③ 항목 중 하나라도 만족하는 경우
① 미디어 반출에 대한 시행문 보유
② 문서 수발 증적 보유
③ 매체 운반과 관련 작업일지 작성
관리58. 미디어 장치(노트북, 테블릿, 이동식저장장치 등)의 반출입 시 접근통제를 수행하고 있는가?
양호: 아래의 ①+② 항목이 만족하거나, ② 항목이 해당 없음일 경우 ① 항목만 확인
① 보안 USB 사용내역
② 노트북 반‧출입 절차 마련
관리59. 보조기억매체의 사용을 주기적으로 점검하고 운영 현황을 최신화하고 있는가?
양호: 아래의 ① 또는 ② 항목이 만족하는 경우
① 보안USB 시스템 메뉴별 입력관리 현황 보유
② 보안USB 관리대장 점검결과 기록 보유
관리60. 교육 및 훈련은 대상자의 직위 및 업무 특성에 따라 구분하여 실시하고 있는가?
- IT 및 정보보호 조직 내 임직원은 정보보호와 관련하여 직무별 전문성 제고를 위하여 필요한 별도의 교육을 실시하여야 한다.
양호: 아래의 ①+② 항목이 만족하거나 ③ 항목이 존재하는 경우
① 직무자 대상 정보보호 관련 전문교육 실시계획
② 교육참석 증적(수료증 등)
③ 교육계획은 수립되지 않았으나, 직무담당자의 전문교육 참석확인 증적
관리61. 교육 훈련의 효과가 측정, 분석되어 차기 교육에 반영되는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 교육설문지 작성
② 교육결과 보고서 내 교육 설문내용을 차기 교육에 반영이라는 문구 포함
관리62. 직원을 대상으로 사이버안전센터 보안권고문∙해킹메일 주의공지, 윈도우보안 업데이트 사항, 보안취약점 조치요령 등을 공지하는가?
- 직원을 대상으로 사이버안전센터 보안권고문∙해킹 메일주의 공지, 윈도우 보안업데이트 사항, 보안취약점 조치요령 등을 공지하여야 한다.
양호: 아래의 ①, ②, ③ 중 1개 항목 공지 및 배포활동 실시
① 게시판
② 이메일
③ 실시알림 공문 발송
관리63. 접근통제에 대한 주기적 검토를 통해 접근통제 정책이 적합한지를 확인하고 있는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 분기 1회 사용자계정 검토보고서
② 방화벽정책 점검보고서
관리64. 보안상 중요한 접근통제 규칙은 관리자의 승인을 거쳐서 설정 또는 변경하도록 하고 있는가?
- 방화벽 정책 변경 신청서를 통한 접근통제 필요
관리65. 안전한 로그온 절차, 식별 및 인증관리 등과 같은 시스템 운영체제 접근통제 방법이 존재하고 이에 따라 이행하고 있는가?
양호: ① 취약점 점검 결과에 대해 전체적으로 반영되어 있는 경우(만족)
② 취약점 점검 결과에 대해 부분적으로 반영되어 있는 경우(부분만족)
관리66. 외부에서의 사용자 접근에 대한 안전한 인증방식을 사용하고 있는가?
양호: 아래의 ①이나 ② 항목이 만족하는 경우
① 전용선 / VPN 접속
② 원격접근제어솔루션으로 통제
관리67. 외부에서 내부 시스템의 기능을 사용할 수 있다면 VPN 등 안전한 접속방법을
제공하고 있는가?
양호: 아래의 ①이나 ② 항목이 만족하는 경우
① 전용선 / VPN 접속
② 원격접근제어솔루션으로 통제
관리68. 제3자가 원격에서 진단, 관리 등을 위한 서비스를 제공할때 필요할 때만 연결을 허용하는가?
-인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 하며, 긴급 장애대응, 유지보수 등과 같이 부득이한 경우에만 연결을 허용하여야 한다.
양호: KERIS 원격운영 접속 허용시간에 대한 공문의 시간설정 준수
관리69. 제3자와의 정보공유, 네트워크 공유 등에 대한 보안위협에 대한 대책이 있는가?
양호: 아래의 ①이나 ② 항목이 만족하는 경우
① 전용선 / VPN 접속
② 원격접근제어솔루션으로 통제
관리70. 민감한 시스템에 따라 네트워크를 분리 운영하여 서로간의 접근을 막고 있는가?
- 개발망, 내외부 DMZ, 모바일 DMZ, 내부망으로 완전 분리
※ 다만, 기관의 규모 등을 고려하여 서버팜/DB팜을 세부적으로 분리하기 어려운
경우 추가적인 보완대책을 마련하여야 한다.(호스트 기반 접근통제 등)
관리71. 방화벽, 침입탐지 등 안전한 네트워크를 위한 대책을 마련하고 있는가?
- 양호: 아래의 ①+②+③ 항목에 의해 관리되고 있는 경우(만족), ①+②이나 ①+③
항목이 만족하는 경우(부분만족)
① 방화벽 및 IPS설치
② 내부 서비스 적용
③ 대국민 전체 적용
관리72. 내부망(업무망)과 인터넷망을 분리하여 사용하는가?
- 악성코드 유입, 리버스 커넥션이 차단되도록 내부 서버(DB서버, 파일서버, 패치서버 등)에서 외부 인터넷 접속을 제한하여야 한다. 부득이하게 허용할 필요가 있는 경우 관련 위험분석을 통해 보호대책을 마련하고 정보보호책임자의 승인을 얻어야 한다.
관리73. 망분리 후 안전한 자료전송을 위한 시스템을 도입하여 사용하고 있는가?
- 원칙적으로 인터넷망과 내부망 PC 간의 자료전송은 차단하여야 하며, 필요한 경우 별도의 통제절차를 거쳐 전송하고 해당 로그를 주기적으로 검토하여야 한다.
양호: 아래의 ① 혹은 ② 항목에 의해 관리되고 있는 경우
① 망간 전송프로그램(망 연계시스템 적용)
② 보안 USB 사용
관리74. 인터넷 전화망과 일반 전산망은 분리하여 운용하는가?
- 인터넷 전화망과 일반 전산망을 분리하여 운용하여야 한다.
양호: IP전화기 사용 시 업무망과 분리된 네트워크를 사용할 경우
관리75. 제3자의 내부 상주인력에 대한 네트워크를 분리 운영하고 있는가?
- 외부 사용자에게 서비스를 제공하는 네트워크(외주용역, 민원실, 교육장 등)는 내부 업무용 네트워크와 분리하여야 한다.
관리76. 보안책임자는 정보자산 도입 시 보안 정책에 부합되는지 확인하고 승인하는가?
- 새로운 정보시스템 및 보안시스템 도입 시 도입 타당성 분석이 포함된 도입계획 수립
양호: 아래의 ①+②+③ 항목에 의해 관리되고 있는 경우, ①+② 항목이 만족하는 경우(부분만족)
① 신규 정보시스템에 대한 취약점 분석 수행
② 정보시스템 도입 전/도입 즉시 모의해킹 수행
③ 취약점 분석 및 모의해킹 결과보고서 작성
관리77. 보안정책에 의해 정의된 운영지침과 절차는 문서화되어 관리하고 있는가?
양호: 아래의 ① 혹은 ② 항목에 의해 관리되고 있는 경우
① 정보시스템 운영지침, 네트워크 운영지침, 서버운영지침 등 세부지침
② 정보시스템 운영매뉴얼, 네트워크 운영매뉴얼, 서버운영매뉴얼 등 운영매뉴얼
관리78. 정보시스템의 변경관리절차가 존재하며, 이에 따라 변경관리가 수행되는가?
양호: 아래의 ①+② 항목에 의해 관리되고 있는 경우
① 정보보안 기본지침 내 변경관리에 관한 조항 기재
② 변경관리 전 시행공문 등 보유(예시 : 작업계획서)
관리79. 중요 시스템 및 정보보호 제품의 설정관리가 승인과정을 통해 이행되는가?
양호: 아래의 ①+② 항목에 의해 관리되고 있는 경우
① 정보보안 기본지침 내 설정관리에 관한 조항 기재
② 설정관리 전 시행공문 등 보유(예시: 작업계획서)
관리80. 개발자와 운영자의 접근 권한은 분리되어 있는가?
- 개발자와 운영자의 접근 권한 분리
- 접근권한 분류체계를 마련하여 권한부여에 적정성 여부 검토
관리81. 중요 데이터와 일반 데이터가 다른 서버에 분리되어 보관되는가?
- 일반 파일의 경우(KIS-연구관리시스템)서버에 저장하며 데이터베이스는 테이블로 업무단위로 암호화하여 저장되고 있음
관리82. 장애탐지, 장애기록, 장애분석, 장애복구, 장애보고 등의 사항을 포함하는 시스템의 장애관리 지침이 존재하는가?
양호: 아래의 ①+② 항목에 의해 관리되고 있는 경우
① 정보보안기본지침 내 장애관리에 관한 조항 기재
② 장애관리절차서 보유
관리83. 네트워크 운영 보안유지를 위해 접근권한 통제, 원격접속 관리, 네트워크 분리 등의 내용을 포함한 네트워크 운영 보안정책이 수립되어 이행되는가?
- 네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하여 운영하여야 한다.
양호: 아래의 ①+② 항목에 의해 관리되고 있는 경우
① 정보보안기본지침 내 네트워크 운영에 관한 내용 기재
② 네트워크 운영관리지침(절차서) 보유
관리84. 시스템과 네트워크의 사용 및 접근에 대한 모니터링 절차와 책임이 정의되어 있고 이에 따라 이행하고 있는가?
- 장기간 미사용, 변경의 적정성 여부 정기적 점검
- 다음과 같은 항목을 기준으로 적정성 검토 필요
- 공식적인 절차에 따른 접근권한 부여 여부
- 접근권한 분류체계의 업무목적 및 보안정책 부합 여부
- 접근권한 부여 승인자에 대한 적절성
- 직무 변경 시 기조권한 회수 후 신규업무 적합성 권한부여 여부
- 업무 목적 이외의 과도한 접근권한 부여
양호: 아래의 ①+②+③ 항목에 의해 관리되고 있는 경우
① 네트워크 관리지침/ 서버관리지침(절차서) 내 접근권한통제에 대한 내용 기재
② 시스템 사용신청서
③ 네트워크 변경신청서 제출→승인→ 작업일지 증적
관리85. 네트워크를 통해 시스템을 운영하는 경우 원칙적으로 시스템 관리는 내부의 특정 터미널에서만 할 수 있도록 제한하고 있는가?
- 접근 통제 정책에 따라 인가된 사용자만이 네트워크에 접근할 수 있도록 네트워크 식별자(IP) 할당 등을 통제하여함.
- 승인 절차가 없는 IP 사용은 통제해야하며 인가된 사용자/단말만이 네트워크에 접근
- 특별한 업무가 없는 네트워크 장비에 설치된 포트, 서비스를 제거 및 차단
양호: White List를 통한 통제를 하고 있는 경우
관리86. 네트워크, 메신저 등으로부터의 허가되지 않았거나 불분명한 파일의 다운로드를 금지하고, 부득이 다운로드받을 경우 바이러스 검사를 수행하는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 유해사이트 차단 시스템 도입
② 파일 다운로드 시 바이러스 실시간 감시 절차 활용(백신프로그램 정책)
관리87. 유지보수 작업 전 승인과, 작업 중 통제 및 감독을 수행하는가?
- 보안정책에 부합하는 유지보수 도구의 사용 및 유지보수 도구 사용에 따른 승인, 통제, 감독절차가 마련되어 운영되어야 한다.
양호: 아래의 ①, ②, ③ 항목 중 1개 이상 만족하는 경우
① 유지보수 점검시스템 도입·운용
② 원격접속 시 유지보수 내역, 로그인 기록 등 관리
③ 접근제어시스템을 이용한 작업내역 관리
관리88. 원격 유지보수 및 진단활동에 대한 감시가 이루어지는가?
- 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지 하여야 하며, 긴급 장애 대응, 유지보수 등과 같이 부득이하게 허용한 경우 다음사항에 대한 감시절차를 수행하여야 한다.
- 접속 단말 보안(예 : 백신 설치, 보안패치 적용 등)
- 원격운영 현황(원격운영 인가자, VPN 계정 발급 현황 등) 지속적인 모니터링
- 원격 접속 기록 로깅 및 주기적 분석
양호: 정기점검 작업보고서 등을 작성 및 관리를 하는 경우
관리89. 암호키에 대한 관리지침이 마련되어 있고 이에 따라 관리하고 있는가?
- 암호키 생성, 이용, 보관, 배포, 파기에 대해 다음과 같은 항목이 포함된 정책 및 절차를 수립하고 이행하여야 한다.
- 암호키 관리 담당자 지정
- 암호키 생성, 보관(소산 백업 등) 방법
- 암호키 배포 대상자 정의 및 배포방법 (복호화 권한 부여 포함)
- 암호키 사용 유효기간 (변경주기)
- 복구 및 폐기 절차 및 방법 등
양호: (교육청) DB 암호화 제품, DRM 제품 사용 시 암호키 관리에 대한 정책 및
지침을 명시하는 정책서 보유 및 관리
(KERIS) 암호키 관리에 대한 정책 및 지침을 명시하는 정책서 보유 및 관리
관리90. 암호키를 복구하기 위한 복구 절차가 수립되고 복구 내역이 확인되는가?
- 별도의 매체에 저장 후 안전한 장소에 보관(소산 백업 포함)하여야 한다.
- 물리적으로 분리된 서버에 저장하는 것이 좋다.
- 다만 암호키는 하드코딩 방식으로 구현하여서는 안 된다
- 암호키에 대한 접근권한 부여는 최소화하여야 한다.
양호: (교육청) DB 암호화 제품, DRM 제품 사용 시 관리자 암호키 사용에 대한 절차 확인
(KERIS) 암호키 사용 절차 확인
관리91. 침입차단 및 탐지도구는 조직의 보안정책과 규칙에 적합하게 설치되어 있는가?
- 외부침입 탐지 및 차단, 내외부자에 의한 정보유출 방지 등을 위하여 도입, 운영하고 있는 보안시스템에 대한 운영절차 수립
- 보안시스템 유형별 책임자 및 관리자 지정
- 보안시스템 정책 적용 절차
- 최신 정책 업데이트: IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한 최신 패턴 및 엔진 지속적 업데이트, 시그니처
- 보안시스템 이벤트 모니터링 절차
- 보안시스템 접근통제 정책
- 보안시스템 운영현황 주기적 점검
- 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트 룰셋 변경, 이벤트 모니터링 등의 운영절차 수립하고 보안시스템 별 정책 적용
양호: 아래의 ①+② 항목이 만족하는 경우
① 침입방지시스템(IPS) 패턴 업데이트 최신 적용
② 방화벽 정책 실사 확인(최근 3개월 이내)
관리95. 업무용 시스템 및 홈페이지 등 정보시스템의 소스코드를 관리하는가?
- 소스 프로그램 변경관리 수행, 통제절차 수립하여 이행
- 소스 프로그램은 운영환경에 보관하지 않은 것을 원칙으로 함
- 소스 프로그램, 시스템 관련 문서의 변경을 통제
- 신규 시스템 개발 및 기존 시스템 개선 완료 후 시스템 운영 장애 등 비사시를 대비하여 이전 시스템 소프 프로그램을 다음 항목과 함께 보관
- 이전 OS
- 지원 소프트웨어
- 시스템 관련 문서
- 소스 프로그램 별도 저장, 안가된 담당자에게만 접근 허용
관리96. 모의훈련 등을 통한 업무 연속성 관리가 지속적으로 검토되고 있으며, 조직내의 변경이 있을 경우 이에 대한 사항이 반영되고 있는가?
- 시험 시나리오, 일정, 방법, 절차 등을 포함하는 시험계획을 수립
- 복구절차에 따라 신속하게 대응하는지 등을 점검
- 시험 결과, IT 환경 변화, 법률 등에 따른 변화, 공식적인 변화관리 절차 마련
양호: (교육청) 아래의 ①+②+③ 항목이 만족하는 경우
① 재난재해복구시스템 운영계획에 따른 모의훈련 계획서
② 모의훈련 시나리오
③ 모의훈련결과보고서
(KERIS) 아래의 ①+②+③ 항목이 만족하는 경우
① 업무연속성 계획에 따른 모의훈련 계획서
② 모의훈련 시나리오
③ 모의훈련결과보고서
관리97. 보안 중요성이 높은 등급의 시스템들은 이중화하여 관리하고 있는가?
- 보안중요성이 높은 등급의 시스템의 과부하 및 침해사고를 예방하기 위한 보호대책을 수립∙이행하여야 한다.
관리98. 백업은 정기적으로 수행하고 물리적으로 분리된 지역에 보관하는가?
- 백업 시스템 소산 보관 여부
- 소산 이력 관리
관리99. 부정적인 접근사례나 보안사고 내역을 지속적으로 모니터링 하고 있는가?
- 외부로부터의 침해시도 시, 모니터링 절차 수립하여 이행하여야 한다.
- 모니터링 대상범위: 침해시도 탐지 및 차단하기 위한 각종 정보보호시스템 이벤트 로그 등
- 모니터링 방법: 외부 전문업체를 통한 모니터링, 자체 모니터링 체계 구축 등
- 담당자 및 책임자 지정
- 모니터링 결과 보고체계
- 침해시도 발견 시 대응절차 등
- 조직의 규모 및 정보시스템 중요도가 높은 경우 24시간 침해시도에 대한 실시간 모니터링 수행을 고려하여야 한다.
양호: (교육청) 아래의 ① 혹은 ②+③ 항목이 만족하는 경우
① 시‧도교육청 CERT 부서 운영
② 나이스 인프라 운영 부서 내 CERT 전담인력 배치
③ 일일점검일지, 모니터링 화면 등
(KERIS) 아래의 ①+② 항목이 만족하는 경우
① 사이버안전센터 운영
② 정기보고서
관리100. 보안사고 유형, 범위, 영향 등을 포함한 보안사고 분석이 기록되어 관리되는가?
- 사고처리에 관한 피드백 절차 포함 필요
- 정보보안 사고 보고를 위한 형식 마련 필요
관리101. 보안 취약점 및 사고 발생 시 이에 대한 보완작업 절차를 마련하고 있는가?
양호: (교육청) 사이버분야 위기대응 매뉴얼 내 사고대응 절차 기재되어 있는 경우
(KERIS) 침해사고대응지침 내 사고대응 절차 기재되어 있는 경우
관리102. 사이버침해사고 발생 후 재발방지 대책을 수립하고 시행하였는가?
- 재발방지 대책 수립, 필요한 경우 침해사고 대응절차, 정보보호정책 및 절차 등의 사고대응체계에 대한 변경을 수행
관리103. 침해사고 대응계획 즉 대응범위, 역할, 임무, 대응절차 등이 문서화되어있는가?
- 침해사고 정의 및 범위, 긴급연락체계 구축, 침해사고 발생 시 보고 및 대응절차, 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립
양호: (교육청) 사이버분야위기대응매뉴얼 내 기재(대응범위, 긴급대응반 역할, 임무,
대응절차 포함)되어 있는 경우
(KERIS) 침해사고대응지침 내 사고대응 절차 기재(대응범위, 긴급대응반 역할,
임무, 대응절차 포함)되어 있는 경우
관리104. 사이버위기 '주의' 이상 경보 발령 및 피해발생 등 필요 시 대응할 수 있는 '긴급대응반'이 구성되어 있는가?
- 중앙 집중적인 대응체계 수립 필요
- 침해사고를 유형 및 중요도에 따라 분류하고 분류에 따른 보고체계 정의
- 침해사고 대응체계를 외부 기관을 통해 구축한 경우 수립된 침해사고 대응절차 및 체계를 계약서에 반영해야 함
관리105. 침해사고 시 외부기관 및 전문가들과의 대응협조체계가 구축되어 있는가?
- 침해사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가, 전문업체, 전문기관 (KISA) 등과의 연락 및 협조체계를 수립하여야 한다.
양호: (교육청) 아래의 ①+② 항목이 만족하는 경우
① 사이버안전센터와 주고받은 공문, 이메일 등 증적
② 비상연락망(외부기관, 유지보수업체, 내부담당자 포함)
(KERIS) 아래의 ①+② 항목이 만족하는 경우
① 교육부, 국정원과 주고받은 공문, 이메일 등 증적 보유 시 만족
② 비상연락망(외부기관, 유지보수업체, 내부담당자 포함)
관리106. 침해사고 대응절차 및 방법 숙지를 위해 정기적인 교육을 실시하는가?
- 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 주기적으로 침해사고 대응 훈련을 수행하여야 한다.
- 모의훈련 계획서, 결과보고서 작성
양호: (교육청) 아래의 ①+② 항목이 만족하는 경우
① 사이버분야 위기대응 모의훈련 계획서
② 사이버분야 위기대응 모의훈련 결과보고서
(KERIS) 아래의 ①+② 항목이 만족하는 경우
① 침해사고대응 모의훈련 계획서
② 침해사고대응 모의훈련 결과보고서
관리107. 서비스 거부 공격에 대해 공격정도에 따른 대응방안이 수립되어 있는가?
- DDos 공격가이드 작성하여 운영 (공격의 인지, 공격유형 파악, 차단정책 정의 및 대응, 공격대응 및 사후조치)
관리108. 정보시스템 관련 법, 규제, 계약상의 요구사항을 정의하고 문서화하고 있는가?
양호: 아래의 ①+②+③ 항목이 만족하는 경우
① 정보보안 기본지침
② 정보시스템 업무매뉴얼(절차서)
③ 표준계약서
관리109. 특허권 및 저작권법, 컴퓨터프로그램 보호법 등 관련 법규를 준수하고 있는가?
(불법 복제 및 해적판 소프트웨어의 사용 금지 등)
양호: 아래의 ①+② 항목이 만족하는 경우
① 소프트웨어 보유현황(정식 라이선스 구매)
② 불법 소프트웨어 점검툴 보유 및 점검증적
관리110. 보안사고 처리, 계약증빙 및 소송 등을 위한 적정한 증거자료 확보에 관한 지침이 존재하고, 이에 따라 이행되고 있는가?
- 증거의 용인가능성과 가중치를 고려
- 증거의 가중치는 정확하고 일관된 보호통제가 적용되어야 높다
관리111. 주기적으로 보안감사 계획을 수립하고 시행하고 있는가?
- 내부 감사 지침 수립(기준, 범위, 수행 주기, 감사인력 자격요건)
- 정보보호 조직은 독립적 조직이여야 하며, 수행하는 인력은 전문적인 지식과 경험을 갖추고 있어야 함
- 연 1회이상 감사가 수행되도록 연간 계획을 수립한 후 경영진 보고
관리112. 감사결과를 관리책임자에게 보고하여 적정한 사후관리를 하고 있는가?
양호: 아래의 ①+② 항목이 만족하는 경우
① 감사 결과보고서의 관리책임자 승인 내역
② 이행보완조치 결과 증적
관리113. 주요정보통기반시설 직 간접적으로 관련된 시스템을 모의해킹 대상으로 식별하여 모의해킹 수행 및 보안대책을 마련하고 있는가?
- 주요정보통신기반시설 모의해킹 실시 및 보안대책 마련 필요
'보안 컨설팅 > 관리적 취약점 점검' 카테고리의 다른 글
| [금융3] 금융위원회, 금융감독원, 금융보안원 비교 (0) | 2023.09.06 |
|---|