본문 바로가기
정보보호관리체계인증

정보보호관리체계 인증심사 기준 수립하기

by 웹하는빡통 2020. 4. 29.

정보보호관리체계 관리과정 요구사항 정의

정보보호관리체계에서는 정보 보호 정책 수립 및 범위 설정, 경영진 책임 및 조직 구성, 위험 관리, 정보 보호 대책 구현, 사후 관리의 관리 과정 요구 사항을 정의할 수 있다. 

 

•개인정보보호관리체계에서는 개인정보보호정책 수립, 관리체계 범위설정, 위험관리 구현, 사후 관리의 관리과정 요구사항을 정의할 수 있다. 

 

•식별된 관련 위험을 통제하기 위한 정보보호대책 통제사항 또는 개인정보 보호대책 요구 사항을 통제 항목별로 정의할 수 있다.

 

 

정보보호관리체계 인증 관리 과정 요구 사항 

 

정보보호관리 과정총 5단계의 관리 주기를 가지고 있다. 각 단계별로 세부 수행 단계가 있으며, 총 12단계의 세부 관리 주기, 즉 12개의 통제 사항, 28개의 세부 통제 항목으로 구성되어 있다.

5단계는 정보 보호 정책 수립 및 범위 설정, 경영진의 책임 및 조직 구성, 위험 관리, 정보 보호 대책 구현, 사후 관리이다.

정보보호관리체계 관리 과정 인증 기준 항목

 

개인 정보보호관리 과정 요구 사항 

 

개인 정보보호관리 과정은 총 4단계의 관리 주기를 가지고 있다. 각 단계별로 세부 수행 단계가 있으며,

총 16단계의 세부 관리 주기, 즉 16개의 통제 사항으로 구성되어 있다.

4단계는 관리체계 수립, 실행 및 운영, 검토 및 모니터링, 교정 및 개선이다.

개인 정보보호관리체계 관리 과정 인증 기준 항목

 

정보보호관리체계 위험 관리 

정보보호관리체계에서는 조직의 재산에 대한 안정성 확보를 위하여 다음과 같은 위험 관리를 실시한다.  

정보보호관리체계 위험 관리 항목

 

 

수행 순서

정보보호관리체계에서의 정보 보호 정책 수립 및 범위 설정, 경영진 책임 및 조직 구성, 위험 관리, 정보 보호 대책 구현, 사후 관리의 관리 과정 요구 사항을 정의한다.


정보보호관리체계에서의 정보 보호 정책 수립 및 범위 설정, 경영진 책임 및 조직 구성, 위험 관리, 정보 보호 대책 구현, 사후 관리의 관리 과정 등에 대한 상세한 내용을 각 분야별로 정의한다.

 

1. 정보보호관리체계에서의 정보 보호 정책 수립 및 범위를 설정한다.
정보보호관리체계에서의 정보보호정책 수립 및 범위 설정의 다음과 같은 분야의 상세 내역을 설정한다.


(1) 정보 보호 정책의 수립
조직이 수행하는 모든 정보 보호 활동의 근거를 포함할 수 있도록 정보 보호 정책을 수립하고 동 정책은 국가나 관련 산업에서 정하는 정보 보호 관련 법, 규제를 만족한다.


(2) 범위 설정
조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화한다.


2. 정보보호관리체계에서의 경영진의 책임 및 조직 구성을 정의한다.
정보보호관리체계에서의 경영진의 책임 및 조직 구성의 정의를 다음과 같은 분야에서 상세하게 정의한다.


(1) 경영진 참여
정보보호관리체계 수립 및 운영 등 조직이 수행하는 정보 보호 활동 전반에 경영진의 
참여가 이루어질 수 있도록 보고 및 의사 결정 체계를 수립한다.


(2) 정보 보호 조직 구성 및 자원 할당
최고 경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호관리체계의 지속적인 운영이 가능하도록 정보 보호 최고 책임자, 실무 조직 등 정보 보호 조직을 구성하고 정보보호관리체계 운영 활동을 수행하는 데 필요한 자원(예산 및 인력)을 확보한다.


3. 정보보호관리체계에서의 위험 관리 요구 사항을 정의한다.
정보보호관리체계에서의 위험 관리 요구 사항을 다음과 같은 분야에서 상세하게 정의한다.


(1) 위험 관리 방법 및 계획 수립
관리적, 기술적, 물리적, 법적 분야 등 조직의 정보 보호 전 영역에 대한 위험 식별 및 평가가 가능하도록 위험 관리 방법을 선정하고 위험 관리의 전문성을 보장할 수 있도록 수행 인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험 관리 계획을 사전에 수립한다.


(2) 위험 식별 및 평가
위험 관리 방법 및 계획에 따라 정보 보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험 수준을 설정하여 관리한다.


(3) 정보 보호 대책 선정 및 이행 계획 수립
위험을 수용 가능한 수준으로 감소시키기 위해 정보 보호 대책을 선정하고 그 보호 대책의 구현 우선순위, 일정, 담당 부서 및 담당자 지정, 예산 등을 포함한 이행 계획을 수립하여 경영진의 승인을 받는다. 

 

4. 정보보호관리체계에서의 정보 보호 대책 구현 요구 사항을 정의한다.
정보보호관리체계에서의 정보 보호 대책 구현 요구 사항을 다음과 같은 분야에서 상세하게 정의한다.


(1) 정보 보호 대책의 효과적 구현
정보 보호 대책 이행 계획에 따라 보호 대책을 구현하고 경영진은 이행 결과의 정확성 및 효과성 여부를 확인한다.


(2) 내부 공유 및 교육
구현된 정보 보호 대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육한다.


5. 정보보호관리체계에서의 사후 관리 과정 요구 사항을 정의한다.
정보보호관리체계에서의 사후 관리 과정 요구 사항을 다음과 같은 분야에서 상세하게 정의한다.


(1) 법적 요구 사항 준수 검토
조직이 준수해야 할 정보 보호 관련 법적 요구 사항을 지속적으로 파악하여 최신성을 유지하고 준수 여부를 지속적으로 검토한다.


(2) 정보보호관리체계 운영 현황 관리
정보보호관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영 현황을 지속적으로 관리한다.


(3) 내부 감사
조직은 정보보호관리체계가 정해진 정책 및 법적 요구 사항에 따라 효과적으로 운영되고 있는지를 점검하기 위하여 연 1회 이상 내부 감사를 수행한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부 감사를 통해 발견된 문제점은 보완 조치를 완료하여 경영진 및 관련 책임자에게 보고한다. 또 감사의 독립성 및 전문성을 확보할 수 있도록 감사 인력에 대한 자격 요건을 정의한다.


 개인 정보보호관리체계에서의 개인 정보 보호 정책 수립, 관리체계 범위 설정, 위험 관리 구현, 사후 관리의 관리 과정 요구 사항을 정의한다.


개인 정보보호관리체계에서의 개인 정보 보호 정책 수립, 관리체계 범위 설정, 위험 관리 구현, 사후 관리의 관리 과정 등에 대한 요구 사항을 각 분야별로 상세하게 내용을 정의한다.


1. 개인 정보보호관리체계에서의 개인 정보 보호 정책 및 범위 수립을 정의한다.
개인 정보보호관리체계에서의 개인 정보 보호 정책 및 범위 수립을 다음과 같은 분야에서 상세하게 정의한다.


(1) 정책의 수립
개인 정보 보호 정책과 시행 문서를 수립하여 조직의 개인 정보 보호 방침과 방향을 명확하게 제시한다. 또 개인 정보 보호(관리) 책임자 등 경영진의 승인을 받고 임직원 및 관련자에게 공표한다.


(2) 정책의 유지 관리
개인 정보 보호 정책 및 시행 문서는 관련 법·규제를 준수하고, 상위 정책과 일관성 을 유지한다. 또 정기적으로 검토하여 필요한 경우 제・개정 및 이력 관리하고 운영 기 록을 생성·유지한다.


(3) 범위 설정
조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함하는 개인 정보보호관리체계 범위를 설정한다.


2. 개인정보보호관리체계에서의 관리체계 범위 설정을 정의한다.
개인정보보호관리체계에서의 관리체계 범위 설정을 다음과 같은 분야에서 상세하게 정의한다.


(1) 경영진의 참여
개인정보보호관리체계 수립 및 운영 등 조직이 수행하는 개인 정보 보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사 결정 체계를 수립한다.


(2) 개인 정보 보호(관리) 책임자의 지정
지속적인 개인 정보보호관리체계 운영 활동을 위하여 개인 정보 보호(관리) 책임자를 지정한다.


(3) 조직의 구성
조직 전반의 중요한 개인 정보 보호 관련 사항을 검토 및 의사 결정할 수 있는 조직(협의체)을 구성한다. 또 개인 정보보호관리체계 운영 활동을 수행하는 데 필요한 자원(예산 및 인력)을 확보한다.


(4) 역할 및 책임
개인 정보 관리(보호) 책임자 및 개인 정보를 취급하는 각 부서의 책임자, 담당자에 대한 역할과 책임을 정의하고 그 활동을 평가할 수 있는 체계를 마련한다. 또 상호 의사소통할 수 있는 보고 체계를 정의한다.


3. 개인 정보보호관리체계에서의 위험 관리 구현을 정의한다.
개인 정보보호관리체계에서의 위험 관리 구현을 다음과 같은 분야에서 상세하게 정의한다.


(1) 위험 관리 방법 및 계획 수립
조직의 개인 정보 보호 전 영역에 대하여 위험 식별 및 평가가 가능하도록 위험 관리 방법을 선정하고 위험 관리 계획을 수립한다.


(2) 위험 식별 및 평가
위험 관리 방법 및 계획에 따라 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험 수준을 설정하여 관리한다. 

 

(3) 이행 계획 수립 및 보호 대책 구현
위험을 수용 가능한 수준으로 감소시키기 위해 개인 정보 보호 대책을 선정하고 이행 계획을 수립하여 경영진의 승인을 받는다. 또 수립된 이행 계획에 따라 보호 대책을 구현한다.


4. 개인 정보보호관리체계에서의 구현 요구 사항을 정의한다.
개인 정보보호관리체계에서의 구현 요구 사항을 다음과 같은 분야에서 상세하게 정의한다.


(1) 개인 정보 식별
조직의 개인 정보 및 개인 정보 관련 자산을 식별하고 중요도를 결정하여 보안 등급을 부여한 후 그에 따른 취급 절차를 정의·이행한다. 또 자산별 책임 소재를 명확히 정의한다.


(2) 개인 정보 흐름 파악
조직의 개인 정보 관련 서비스 및 업무에서 개인 정보 흐름을 파악하여 개인 정보 흐름도(표)를 작성하고 이를 주기적으로 검토하여 최신성을 유지한다.


5. 개인 정보보호관리체계에서의 사후 관리 과정 요구 사항을 정의한다.
개인 정보보호관리체계에서의 사후 관리 과정 요구 사항을 다음과 같은 분야에서 상세하게 정의한다.


(1) 법적 요구 사항 준수 검토
조직이 준수해야 할 개인 정보 보호와 관련한 법적 요구 사항을 지속적으로 파악하여 최신성을 유지하고 준수하는지 여부를 지속적으로 검토한다.


(2) 내부 감사
개인 정보보호관리체계가 효과적으로 운영되고 있는지를 점검하기 위해 연 1회 이상 내부 감사 계획을 수립하여 수행한다. 내부 감사를 통해 발견된 문제점을 보완하여 경영진에게 보고한다.


(3) 개인 정보 보호 개선 활동
주기적 또는 상시적으로 수행해야 하는 개인 정보 보호 활동을 문서화하여 그 운영 현황을 지속적으로

점검 ‧개선하는 등의 관리를 한다. (4) 내부 공유 및 교육 개인 정보 관리 계획을 운영 또는 이행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육한다.

 

 식별된 관련 위험을 통제하기 위한 정보 보호 대책 통제 사항을 통제 항목별로 정의한다. 식별된 관련 위험을 통제하기 위한 정보 보호 대책 통제 사항을 다음과 같은 통제 항목별로 상세하게 정의한다.


1. 정보 보호 정책 분야


(1) 정책의 승인 및 공표
(가) 정책의 승인
정보 보호 정책은 이해 관련자의 검토와 최고 경영자의 승인을 받는다.


(나) 정책의 공표

정보 보호 정책 문서는 모든 임직원 및 관련자에게 이해하기 쉬운 형태로 전달한다.


(2) 정책의 체계
(가) 상위 정책과의 연계성
정보 보호 정책은 상위 조직 및 관련 기관의 정책과 연계성을 유지한다.


(나) 정책 시행 문서 수립
정보 보호 정책의 구체적인 시행을 위한 정보 보호 지침, 절차를 수립하고 관련 문서 간의 일관성을 유지한다.


(3) 정책의 유지 관리

(가) 정책의 검토
정기적으로 정보 보호 정책 및 정책 시행 문서의 타당성을 검토하고, 중대한 보안 사고 발생, 새로운 위협 또는 취약성의 발견, 정보 보호 환경의 중대한 변화 등이 정보 보호 정책에 미치는 영향을 분석하여 필요한 경우 제⋅개정한다. 

 

(나) 정책 문서 관리
정보 보호 정책 및 정책 시행 문서의 이력 관리를 위해 제정, 개정, 배포, 폐기 등의 관리 절차를 수립하고 문서는 최신본으로 유지한다. 또 정책 문서 시행에 따른 운영 기록을 생성하여 유지한다.


2. 정보 보호 조직 분야

(1) 조직 체계

(가) 정보 보호 최고 책임자 지정

최고 경영자는 임원급의 정보 보호 최고 책임자를 지정하고, 정보 보호 최고 책임 자는 정보 보호 정책 수립, 정보 보호 조직 구성, 위험 관리, 정보보호위원회 운영 등의 정보 보호에 관한 업무를 총괄 관리한다.

 

(나) 실무 조직 구성
최고 경영자는 정보 보호 최고 책임자의 역할을 지원하고 조직의 정보 보호 활동을 체계적으로 이행하기 위해 실무 조직을 구성한다. 이때 조직 구성원의 정보 보호 전문성을 고려하여 구성한다.


(다) 정보보호위원회
정보 보호 자원 할당 등 조직 전반에 걸친 중요한 정보 보호 관련 사항에 대한 검토 및 의사 결정을 할 수 있도록 정보보호위원회를 구성하여 운영한다.


(2) 역할 및 책임
정보 보호 최고 책임자와 정보 보호 관련 담당자에 대한 역할 및 책임을 정의하고 그 활동을 평가할 수 있는 체계를 마련한다.


3. 외부자 보안 분야


(1) 보안 요구 사항 정의


(가) 외부자 계약 시 보안 요구 사항
조직의 정보 처리 업무를 외부자에게 위탁하거나 정보 자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안 요구 사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시한다.


(2) 외부자 보안 이행
(가) 외부자 보안 이행 관리
외부자가 계약서 및 협정서에 명시된 보안 요구 사항의 이행 여부를 관리 감독하고 주기적인 점검 또는 감사를 수행한다.


(나) 외부자 계약 만료 시 보안
외부자와의 계약이 만료되거나 업무 종료, 담당자 변경이 있을 때에는 조직이 외부자에게 제공한 정보 자산의 반납, 정보 시스템 접근 계정 삭제, 중요 정보 파기, 업무를 수행할 때 알게 된 정보의 비밀 유지 확약서 등의 내용을 확인한다.


4. 정보 자산 분류 분야


(1) 정보 자산 식별 및 책임 
(가) 정보 자산 식별
조직의 업무 특성에 따라 정보 자산 분류 기준을 수립하고 정보보호관리체계 범위 내 모든 정보 자산을 식별한다. 또 식별한 정보 자산을 목록으로 관리한다.


(나) 정보 자산별 책임 할당
식별된 정보 자산에 대한 책임자 및 관리자를 지정하여 책임 소재를 명확히 한다.

 

(2) 정보 자산의 보안 등급 분류 및 취급


기밀성, 무결성, 가용성, 법적 요구 사항 등을 고려하여 정보 자산이 조직에 미치는 중요도를 평가하고 그 중요도에 따라 보안 등급을 부여한다. 또 보안 등급을 표시하고 등급 부여에 따른 취급 절차를 정의하여 이행한다.


5. 정보 보호 교육 분야


(1) 교육 프로그램 수립


(가) 교육 계획
교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보 보호 교육 계획을 수립한다.


(나) 교육 대상
교육 대상에는 정보보호관리체계 범위 내 임직원 및 외부자를 모두 포함한다.


(다) 교육 내용 및 방법
교육에는 정보 보호 및 정보보호관리체계 개요, 보안 사고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함하고 일반 임직원, 책임자, IT 및 정보 보호 담당자 등 각 직무별 전문성 제고에 적합한 교육 내용 및 방법을 정의한다.


(2) 교육 시행 및 평가
정보보호관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보 보호 정책 및 절차의 중대한 변경, 조직 내 ․외부 보안 사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행한다. 또 교육 시행에 대한 기록을 남기고 평가한다.


6. 인적 보안 분야


(1) 정보 보호 책임


(가) 주요 직무자 지정 및 감독
인사 정보, 영업 비밀, 산업 기밀, 개인 정보 등의 중요 정보를 대량으로 취급하는 임직원일 경우에 주요 직무자로 지정한다. 그렇지만 주요 직무자 지정은 최소화하는 등 관리·감독할 수 있는 보호 대책을 수립한다.

 
(나) 직무 분리
권한 오남용 등 고의적인 행위로 인해 발생할 수 있는 잠재적인 피해를 줄이기 위하여 직무 분리 기준을 수립하고 적용한다. 다만 인적 자원 부족 등 불가피하게 직무 분리가 어려운 경우 별도의 보완 통제를 마련한다.


(다) 비밀 유지 서약서
임직원으로부터 비밀 유지 서약서를 받아야 하고 임시 직원이나 외부자에게 정보 시스템에 대한 접근 권한을 부여할 경우에도 비밀 유지 서약서를 받는다. 

 

(2) 인사 규정


(가) 퇴직 및 직무 변경 관리
퇴직 및 직무를 변경할 때에는 인사 부서와 정보 보호 및 시스템 운영 부서 등 관련 부서에서 이행해야 할 자산 반납, 접근 권한 회수 ․조정, 결과 확인 등의 절차를 수립한다.


(나) 상벌 규정
인사 규정에 직원이 정보 보호의 책임과 의무를 충실히 이행했는지 여부 등 정보보호 활동 수행에 따른 상벌 규정을 포함한다.


7. 물리적 보안 분야


(1) 물리적 보호 구역


(가) 보호 구역 지정
비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제 구역, 제한 구역, 접견 구역 등 물리적 보호 구역을 지정하고 각 구역별 보호 대책을 수립 ․이행한다.

 

(나) 보호 설비
각 보호 구역의 중요도 및 특성에 따라 화재, 전력 이상 등 인 ․재해에 대비하여 온 습도 조절, 화재 감지, 소화 설비, 누수 감지, UPS, 비상 발전기, 이중 전원선 등의 설비를 충분히 갖추고 운영 절차를 수립하여 운영한다. 또 주요 시스템을 외부 집적 정보 통신 시설에 위탁 운영하는 경우 관련 요구 사항을 계약서에 반영하고 주기적으로 검토를 수행한다.


(다) 보호 구역 내 작업
유지 보수 등 주요 설비 및 시스템이 위치한 보호 구역 내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토한다.


(라) 출입 통제
보호 구역 및 보호 구역 내 주요 설비 및 시스템은 인가된 사람만이 접근할 수 있도록 출입을 통제하고 책임 추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토한다. 

(좌) 보호 구역 지정(사례) (우) 출입 통제(사례)

 

(마) 모바일 기기 반출⋅입 

노트북 등 모바일 기기 미승인 반출⋅입을 통한 중요 정보 유출, 내부망 악성코드 감염 등의 보안사고 예방을 위하여 보호 구역 내 임직원 및 외부자 모바일 기기 반·출입 통제 절차를 수립하고 기록․ 관리한다. 

 

(2) 시스템 보호


(가) 케이블 보안
데이터를 송수신하는 통신 케이블이나 전력을 공급하는 전력 케이블은 손상을 입지 않도록 보호한다.

 

(나) 시스템 배치 및 관리
시스템은 그 특성에 따라 분리하여 배치하고 장애 또는 보안 사고가 발생하였을 때 주요 시스템의 위치를 즉시 확인할 수 있는 체계를 수립한다.


(3) 사무실 보안


(가) 개인 업무 환경 보안
일정 시간 동안 자리를 비울 경우에는 책상 위에 중요한 문서나 저장 매체를 남겨 놓지 않고 컴퓨터 화면에 중요 정보가 노출되지 않도록 화면 보호기 설정, 패스워드 노출 금지 등 보호 대책을 수립한다.


(나) 공용 업무 환경 보안
사무실에서 공용으로 사용하는 사무 처리 기기, 문서고, 공용 PC, 파일 서버 등을 통해 중요 정보가 유출되지 않도록 보호 대책을 마련한다.


8. 시스템 개발 보안 분야


(1) 분석 및 설계 보안 관리


(가) 보안 요구 사항 정의
신규 정보 시스템을 개발하거나 기존 시스템을 변경할 때에는 정보 보호 관련 법적 요구 사항, 최신 보안 취약점, 정보 보호 기본 요소(기밀성, 무결성, 가용성) 등을 고려하여 보안 요구 사항을 명확히 정의하고 이를 적용한다.


(나) 인증 및 암호화 기능
정보 시스템을 설계할 때 사용자 인증에 관한 보안 요구 사항을 반드시 고려하여야 하며 중요 정보의 입 ․출력 및 송수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구 사항을 고려한다.


(다) 보안 로그 기능
정보 시스템을 설계할 때 사용자의 인증, 권한 변경, 중요 정보 이용 및 유출 등에 대한 감사 증적을 확보할 수 있도록 한다.


(라) 접근 권한 기능
정보 시스템을 설계할 때 업무의 목적 및 중요도에 따라 접근 권한을 부여할 수 있도록 한다.

 


(2) 구현 및 이관 보안


(가) 구현 및 시험
안전한 코딩 방법에 따라 정보 시스템을 구현하고, 분석 및 설계 과정에서 도출한 보안요구 사항이 정보 시스템에 적용되었는지 확인하기 위하여 시험을 수행한다.  또 알려진 기술적 보안 취약성에 대한 노출 여부를 점검하고 이에 대한 보안 대책을 수립한다.


(나) 개발과 운영 환경 분리
개발 및 시험 시스템은 운영 시스템에 대한 비인가 접근 및 변경의 위험을 감소하기 위해 원칙적으로 분리한다.


(다) 운영 환경 이관
운영 환경으로의 이관은 통제된 절차에 따라 이루어져야 하고, 실행 코드는 시험과 사용자 인수 후 실행한다.


(라) 시험 데이터 보안
시스템 시험 과정에서 운영 데이터의 유출을 예방하기 위해 시험 데이터 생성, 이용 및 관리, 파기, 기술적 보호 조치에 관한 절차를 수립하여 이행한다.


(마) 소스 프로그램 보안
소스 프로그램에 대한 변경 관리를 수행하고 인가된 사용자만이 소스 프로그램에 접근할 수 있도록 통제 절차를 수립하여 이행한다. 또 소스 프로그램은 운영 환경에 보관하지 않는 것을 원칙으로 한다.

 


(3) 외부 개발 보안
정보 시스템 개발을 외부에 위탁하여 외주 개발하는 경우 분석 및 설계 단계에서 구현 및 이관까지의 준수해야 할 보안 요구 사항을 계약서에 명시하고 이행 여부를 관리⋅감독한다.

 

 

9. 암호 통제 분야


(1) 암호 정책

 

(가) 암호 정책 수립
조직의 중요 정보 보호를 위하여 암호화 대상, 암호 강도(복잡도), 키 관리, 암호 사용에 대한 정책을 수립하고 이행한다. 또 정책에는 개인 정보를 저장 및 전송할 때 암호화 적용 등 암호화 관련 법적 요구 사항을 반드시 반영한다.


(2) 암호 키 관리


(가) 암호 키 생성 및 이용
암호 키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고 필요시 복구 방안을 마련한다.


10. 접근 통제 분야


(1) 접근 통제 정책


(가) 접근 통제 정책 수립
비인가자의 접근을 통제할 수 있도록 접근 통제 영역 및 범위, 접근 통제 규칙, 방법 등을 포함하여 접근 통제 정책을 수립한다.


(2) 접근 권한 관리


(가) 사용자 등록 및 권한 부여
정보 시스템 및 중요 정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근 권한을 최소한으로 부여한다. 

 

(나) 관리자 및 특수 권한 관리

정보 시스템 및 중요 정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제한다.


(다) 접근 권한 검토
정보 시스템 및 중요 정보에 대한 접근을 관리하기 위하여 접근 권한 부여, 이용(장기간 미사용),

변경(퇴직 및 휴직, 직무 변경, 부서 변경)의 적정성 여부를 정기적으로 점검한다.

 


(3) 사용자 인증 및 식별


(가) 사용자 인증
정보 시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제되어야 하고. 필요한 경우 법적 요구 사항 등을 고려하여 중요 정보 시스템에 접근할 때 강화된 인증 방식을 적용한다.

 

(나) 사용자 식별
정보 시스템에서 사용자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한한다. 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받는다.


(다) 사용자 패스워드 관리
법적 요구 사항, 외부 위협 요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경 주기 등 사용자 패스워드 관리 절차를 수립 ․이행하고 패스워드 관 리 책임이 사용자에게 있음을 주지시킨다. 특히 관리자 패스워드는 별도 보호 대책을 수립하여 관리한다.


(라) 이용자 패스워드 관리
고객, 회원 등 외부 이용자가 접근하는 정보 시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리 절차를 마련하고 관련 내용을 공지한다.

 


(4) 접근 통제 영역


(가) 네트워크 접근
네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근 통제리스트, 
네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보 자산 의 중요도에 따라 내・외부 네트워크를 분리한다.

네트워크 장비 취약점 점검 구조도

(나) 서버 접근
서버별로 접근이 허용되는 사용자, 접근 제한 방식, 안전한 접근 수단 등을 정의하여 적용한다.

 

서버 취약점 점검 구주도

(다) 응용 프로그램 접근
사용자의 업무 또는 직무에 따라 응용 프로그램 접근 권한을 제한하고 불필요한 중요 정보 노출을 최소화한다.


(라) 데이터베이스 접근
데이터베이스 접근을 허용하는 응용 프로그램 및 사용자 직무를 명확하게 정의하고 응용 프로그램 및 직무별 접근 통제 정책을 수립한다. 또 중요 정보를 저장하고 있는 데이터베이스의 경우 사용자 접근 내역을 기록하고 접근의 타당성을 정기적으로 검토한다.


(마) 모바일 기기 접근
모바일기기를 업무 목적으로 내 ․외부 네트워크에 연결하여 활용하는 경우 중요 정 보 유출 및 침해 사고 예방을 위해 기기 인증 및 승인, 접근 범위, 기기 보안 설정, 오남용 모니터링 등의 접근 통제 대책을 수립한다.


(바) 인터넷 접속
인사 정보, 영업 비밀, 산업 기밀, 개인 정보 등 중요 정보를 대량으로 취급 ․운영하 는 주요 직무자의 경우 인터넷 접속 또는 서비스(P2P, 웹메일, 웹하드, 메신저 등) 를 제한하고 인터넷 접속은 침입 차단 시스템을 통해 통제한다. 필요시 침입 탐지 시스템 등을 통해 인터넷 접속 내역을 모니터링한다.


11. 운영 보안 분야


(1) 운영 절차 및 변경 관리

 

(가) 운영 절차 수립

정보 시스템 동작, 문제가 발생했을 때 재동작 및 복구, 오류 및 예외 사항 처리 등 시스템 운영을 위한 절차를 수립한다.

 

(나) 변경 관리
정보 시스템 관련 자산의 모든 변경 내역을 관리할 수 있도록 절차를 수립하고 변경 전 시스템의 전반적인 성능 및 보안에 미치는 영향을 분석한다.


(2) 시스템 및 서비스 운영 보안


(가) 정보 시스템 인수
새로운 정보 시스템을 도입하거나 개선할 때에는 필수 보안 요구 사항을 포함한 인수 기준을 수립하고 인수 전 기준 적합성을 검토한다.


(나) 보안 시스템 운영
보안 시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영 절차를 수립하고 보안 시스템별 정책 적용 현황을 관리한다.


(다) 성능 및 용량 관리
정보 시스템 및 서비스 가용성 보장을 위해 성능 및 용량 요구 사항을 정의하고 현황을 지속적으로 모니터링할 수 있는 방법 및 절차를 수립한다.


(라) 장애 관리
정보 시스템에 장애가 발생하였을 때 효과적으로 대응하기 위한 탐지, 기록, 분석, 복구, 보고 등의 절차를 수립한다.


(마) 원격 운영 관리
내부 네트워크를 통하여 정보 시스템을 관리하는 경우 특정 단말에서만 접근을 할 수 있도록 제한하고, 원격지에서 인터넷 등 외부 네트워크를 통하여 정보 시스템을 관리하는 것은 원칙적으로 금지하고 부득이한 사유로 인해 허용하는 경우에는 책임자 승인, 접속 단말 및 사용자 인증, 구간 암호화, 접속 단말 보안(백신, 패치 등) 등의 보호 대책을 수립한다. 

 

(바) 스마트워크 보안 

재택 근무, 원격 협업 등과 같은 원격 업무를 수행할 때에는 이에 대한 관리적⋅기 술적 보호 대책을 수립하고 이행한다.


(사) 무선 네트워크 보안
무선 랜 등을 통해 무선 인터넷을 사용하는 경우에는 무선 네트워크 구간에 대한 보안을 강화하기 위해 사용자 인증, 송수신 데이터 암호화 등의 보호 대책을 수립한다.


(아) 공개 서버 보안
웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시 절차를 수립하고 공개 서버에 대한 물리적, 기술적 보호 대책을 수립한다.


(자) 백업 관리
데이터의 무결성 및 정보 시스템의 가용성을 유지하기 위해 백업 대상, 주기, 방법등의 절차를 수립하고 사고가 발생하였을 때 적시에 복구할 수 있도록 관리한다.


(차) 취약점 점검
정보 시스템이 알려진 취약점에 노출되어 있는지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치한다.


(3) 전자 거래 및 정보 전송 보안


(가) 전자 거래 보안
전자 거래 서비스를 제공할 때에는 정보 유출, 데이터 조작, 사기 등의 침해 사고를 예방하기 위해 사용자 인증, 암호화, 부인 방지 등의 보호 대책을 수립하고 결 제 시스템 등 외부 시스템과의 연계가 필요한 경우 연계 안전성을 점검한다. 

 

(나) 정보 전송 정책 수립 및 협약 체결
타 조직에 중요 정보를 전송할 경우에는 안전한 전송을 위한 정책을 수립하고 조직 간 정보 전송 합의를 통해 관리 책임, 전송 기술 표준, 중요 정보의 보호를 위한 기술적 보호 조치 등을 포함한 협약서를 작성한다.

 


(4) 매체 보안


(가) 정보 시스템 저장 매체 관리
정보 시스템을 폐기 또는 재사용할 때에는 중요 정보를 담고 있는 하드디스크, 스토리지, 테이프 등의 저장 매체의 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요 정보는 복구가 불가능하도록 완전히 삭제한다.


(나) 휴대용 저장 매체 관리
조직의 중요 정보 유출을 예방하기 위해 외장 하드, USB, CD 등 휴대용 저장 매체 취급, 보관, 폐기, 재사용에 대한 절차를 수립한다. 또 매체를 통한 악성코드 감염 방지 대책을 마련한다.

 


(5) 악성코드 관리


(가) 악성코드 통제
바이러스, 웜, 트로이목마 등의 악성코드로부터 정보 시스템을 보호하기 위해 악성코드 예방, 탐지, 대응 등의 보호 대책을 수립한다.


(나) 패치 관리
소프트웨어, 운영 체제, 보안 시스템 등의 취약점으로 인해 발생할 수 있는 침해 사고를 예방하기 위해 최신 패치를 정기적으로 적용하고 필요한 경우 시스템에 미치는 영향을 분석한다.


(6) 로그 관리 및 모니터링


(가) 시각 동기화
로그 기록의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위해 정보 시스템 시각을 공식 표준 시각으로 정확하게 동기화한다.


(나) 로그 기록 및 보존
정보 시스템, 응용 프로그램, 보안 시스템, 네트워크 장비 등 기록해야 할 로그 유형을 정의하여 일정 기간 보존하고 주기적으로 검토한다. 보존 기간 및 검토 주기는 법적 요구 사항을 고려한다.


(다) 접근 및 사용 모니터링
중요 정보, 정보 시스템, 응용 프로그램, 네트워크 장비에 대한 사용자 접근이 업무 상 허용된 범위에 있는지 주기적으로 확인한다.


(라) 침해 시도 모니터링
외부로부터의 침해 시도를 모니터링하기 위한 체계 및 절차를 수립한다.

(좌) 접근 차단 모니터링(예시)                                                                   (우) 침해 시도 모니터링(예시)

 

12. 침해 사고 관리 분야


(1) 절차 및 체계


(가) 침해 사고 대응 절차 수립
DDoS 등 침해 사고 유형별 중요도 분류, 유형별 보고 ․대응 ․복구 절차, 비상 연락 체 계, 훈련 시나리오 등을 포함한 침해 사고 대응 절차를 수립한다.


(나) 침해 사고 대응 체계 구축
침해 사고 대응이 신속하게 이루어질 수 있도록 중앙 집중적인 대응 체계를 구축하고 외부 기관 및 전문가들과의 협조 체계를 수립한다.

 


(2) 대응 및 복구


(가) 침해 사고 훈련
침해 사고 대응 절차를 임직원들이 숙지할 수 있도록 시나리오에 따른 모의 훈련을 실시한다.

 

(나) 침해 사고 보고
침해 사고 징후 또는 사고 발생을 인지한 때에는 침해 사고 유형별 보고 절차에 따라 신속히 보고하고 법적 통지 및 신고 의무를 준수한다.


(다) 침해 사고 처리 및 복구
침해 사고 대응 절차에 따라 처리와 복구를 신속하게 수행한다.

 


(3) 사후 관리


(가) 침해 사고 분석 및 공유

침해 사고가 처리되고 종결된 후 이에 대한 분석을 수행하고 그 결과를 보고한다. 또 사고에 대한 정보와 발견된 취약점들을 관련 조직 및 임직원들과 공유한다. 

 

(나) 재발 방지
침해 사고로부터 얻은 정보를 활용하여, 유사 사고가 반복되지 않도록 재발 방지 대책을 수립하고 이를 위해 필요한 경우 정책, 절차, 조직 등의 대응 체계를 변경한다.


13. IT 재해 복구 분야


(1) IT 재해 복구 체계 구축

자연 재앙, 해킹, 통신 장애, 전력 중단 등의 요인으로 인해 IT 시스템 중단 또는 파손 등 피해가 발생할 경우를 대비하여 비상시 복구 조직, 비상 연락 체계, 복구 절차 등 IT 재해 복구 체계를 구축한다.

 


(2) 대책 구현


(가) 영향 분석에 따른 복구 대책 수립
조직의 핵심 서비스 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 예상 피해 규모 및 영향을 분석한다. 또 IT 서비스 및 시스템 복구 목표 시간, 복구 시점을 정의하고 적절한 복구 전략 및 대책을 수립․ 이행한다. 

 

(나) 시험 및 유지 관리
IT 서비스 복구 전략 및 대책에 따라 효과적인 복구가 가능한지 시험을 실시하고 시험 계획에는 시나리오, 일정, 방법, 절차 등을 포함한다. 또 시험 결과, IT 환경 변화, 법규 등에 따른 변화를 반영하여 복구 전략 및 대책을 보완한다.

 

 식별된 관련 위험을 통제하기 위한 개인정보보호대책 요구사항을 통제 항목별로 정의한다. 

식별된 관련 위험을 통제하기 위한 개인정보보호대책 요구사항을 다음과 같은 통제 항목 별로 상세하게 정의한다.


1. 관리적 보호 대책 분야


(1) 교육 및 훈련


(가) 교육 및 훈련 시행·평가
연간 개인 정보 보호 교육 계획을 수립하고, 관련 임직원 및 외부자를 대상으로 주기적인 교육을 시행한다. 또 교육 시행에 대한 기록을 남기고 결과를 평가하여 다음 교육에 반영한다.


(2) 개인 정보 취급자 관리


(가) 개인 정보 취급자 감독
개인 정보를 취급하는 임직원 및 외부자를 최소한으로 제한하고 개인 정보 취급자 목록을 관리한다. 또 개인 정보 보호 책임의 충실한 이행 여부에 대해 상벌 규정을 마련한다.


(나) 보안 서약서
개인 정보를 취급하는 개인 정보 취급자, 임시 직원, 외부자 등에게 보안 서약서를 받는다.


(다) 퇴직 및 직무 변경 관리
개인 정보 취급자의 퇴직 및 직무 변경의 경우에는 자산 반납, 계정 및 권한 회수 ․ 조정, 결과 확인 등의 개인 정보 취급자 인사 관리 절차를 수립하고 이행한다.

 


(3) 위탁 업무 관리


(가) 외부 위탁 계약
개인 정보 처리 업무를 외부에 위탁하는 경우에는 개인 정보 보호에 관한 요구 사항, 관리·감독, 법⋅규정 위반의 배상 책임 등에 관한 사항을 계약서 등에 문서화한다. 

 

(나) 정보 주체 고지
개인 정보 처리 업무를 위탁할 때에는 수탁자, 수탁 목적 등 관련 사항을 정보 주체(이용자)에게 고지하고 필요한 경우 동의를 받는다.


(다) 위탁자 관리·감독
위탁 업체가 계약서 및 서비스 수준 협약, 관련 법 ‧규정 등에 명시된 사항을 충분 히 이행하는지 주기적으로 관리·감독한다.

 

 

(4) 침해 사고 관리


(가) 침해 사고 대응 절차 및 체계 구축
개인 정보 침해 사고 대응 절차를 수립하고, 개인 정보 침해 사고 대응이 신속하게 이루어질 수 있도록 대응 체계를 구축하며 외부 기관 및 전문가들과의 협조 체계를 수립한다.


(나) 침해 사고 훈련 및 개선
침해 사고 대응 절차를 임직원들이 숙지할 수 있도록 시나리오에 따른 모의 훈련을 실시한다. 모의 훈련 결과는 침해 사고 대응 절차에 반영하여 주기적으로 개선한다.


(다) 침해 사고 대응
개인 정보 침해 사고가 발생하였을 때에는 절차에 따라 신속히 복구를 수행하고, 
사고를 분석한 후 발견된 취약점은 관련 조직 및 임직원과 공유하며, 유사 사고가 반복되지 않도록 재발 방지 대책을 수립하여 침해 사고 대응 체계에 반영한다.

 


2. 기술적 보호 조치 분야


(1) 접근 권한 관리


(가) 접근 통제 정책 수립
개인 정보 보호 요구 사항을 기반으로 비인가자의 접근을 통제할 수 있도록 개인 정보 취급자의 접근 통제 정책을 수립한다.


(나) 개인 정보 취급자 등록 
개인 정보 및 개인 정보 처리 시스템의 접근을 통제하기 위한 개인 정보 취급자 등록 및 해지 절차를 마련한다. 또 개인 정보 취급 PC의 보안 책임이 자신에게 있음을 규정화하고 인식시킨다.


(다) 개인 정보 취급자 권한 관리
개인 정보 처리 시스템의 접근 권한은 최소한의 업무 수행자에게만 부여하고 권한 변경 내역을 보관한다.


(라) 특수 권한 관리
개인 정보 및 개인 정보 처리 시스템에 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제한다.


(마) 개인 정보 취급자 접근 권한 검토
개인 정보 및 개인 정보 처리 시스템 등을 사용하는 개인 정보 취급자의 접근 권한 현황을 정기적으로 점검한다.


(바) 개인 정보 취급자 인증 및 식별
개인 정보 처리 시스템에 접근할 경우에는 안전한 인증 절차에 따라 통제하고, 필요한 경우 법적 요구 사항 등을 고려하여 강화된 인증 방식을 적용한다.

 

(사) 비밀번호 관리
법적 요구 사항, 외부 위협 요인 등을 고려하여 개인 정보 취급자 및 사용자, 정보 주체(이용자)의 비밀번호 관리 절차를 수립하고 이행한다.

 


(2) 접속 기록 관리


(가) 개인 정보 처리 시스템 접속 기록 관리
개인 정보 처리 시스템의 접속 기록을 보관하고, 접속 기록의 정확성을 보장하기 위해 관련 장비 및 시스템을 표준 시간으로 동기화한다.


(나) 접속 기록 모니터링
접속 기록은 위·변조되지 않도록 보호 대책을 적용하여야 하며, 개인 정보의 오남용이 발생되지 않도록 모니터링을 수행한다. 또 문제가 발생하였을 때에는 적시에 적절한 사후 조치가 이루어지게 한다.

 


3. 물리적 보호 조치 분야


(1) 영상 정보 처리 기기 관리


(가) 영상 정보 처리 기기 설치·운영 제한
영상 정보 처리 기기를 설치ㆍ운영할 경우에는, 설치 목적에 따라 법적 요구 사항(안내판 설치 등)을 준수하고, 적절한 보호 조치를 마련한다.


(나) 영상 정보 처리 기기 설치·운영 사무의 위탁 관리

영상 정보 처리 기기 설치ㆍ운영에 관한 사무를 위탁하는 경우, 적절한 위탁 절차를 마련한다.

 


(2) 물리적 보안 관리


(가) 보호 구역의 지정 및 관리
주요 설비 및 시스템을 보호하기 위하여 보호 구역을 지정하고 보호 구역 내의 작업 절차를 포함하여 보호 대책을 수립·이행한다. 보호 구역의 특성에 따라 보호 설비를 갖추고 운영한다. 또 외부 집적 정보 통신 시설에 위탁·운영하는 경우 관련 요구 사항을 계약서에 반영하고 주기적으로 검토한다.


(나) 출입 통제 및 사무실 보안
보호 구역은 인가된 사람만이 접근할 수 있도록 통제하고 출입 및 접근 이력을 주기적으로 검토한다. 또 사무실에서 공용으로 사용하는 사무용 기기 등에서 중요 정보 유출이 발생하지 않도록 보호 대책을 마련한다.  

 

(다) 개인 업무 환경 보안
책상 위에 중요 문서나 저장 매체를 남겨 놓지 않고, 중요 정보가 노출되지 않도록 보호 대책을 수립·이행한다.

 


(3) 매체 관리


(가) 개인 정보 처리 시스템 저장 매체 관리
개인 정보 처리 시스템 저장 매체 관리 절차를 수립하여 운영하고, 개인 정보 처리 시스템을 폐기 및 재사용할 때에는 매체에 기록된 개인 정보는 복구가 불가능하도록 완전히 삭제한다.


(나) 휴대용 저장 매체 관리
휴대용 저장 매체를 통해 개인 정보 유출이 발생하거나 악성코드에 감염되지 않도록 관리하고, 개인 정보가 포함된 휴대용 저장 매체는 안전한 장소에 보관한다.


(다) 이동 컴퓨팅 관리
보호 구역 내 임직원 및 외부자의 이동 컴퓨팅에 대하여 반·출입을 통제하고 기록·관리한다.


 

정보보호관리체계에서는 정보 보호 정책 수립 및 범위 설정 등 관리 과정의 요구 사항 도출이 중요하다.

그러므로 각 분야별 관리 과정이 빠짐없이 도출되도록 유의해야 한다. 또한 개인 정보보호관리체계에서의 관리 과정 요구 사항 도출은 개인 정보의 보호라는 측면에서 다루어져야 함을 유의해야 한다. 

댓글