단계별 내부통제항목 - 억제(1)

 

 

억제(Deterrence)

1) 보안정책 수립
조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거 기반이 되는 정보보호정책을 수립한다. 정보보호정책은 국가가 정하는 정보보호 관련 법, 규정, 규제 등을 만족하여야 하며 경영진은 기업의 사업 목표와 일치하는 정책을 설정하고 정보보호 대한 의지 및 방향을 설정하여야 한다. 또한 정보보호와 관련된 중요한 사안에 대해서는 경영진의 의사결정 참여가 중요하며, 그에 따른 보고체계를 갖추어야 한다. 수립된 정보보호정책은 경영진에 의하여 공표되고 유지되어야 한다. 

 

 

① 보안정책, 지침, 절차, 매뉴얼 수립 및 공표
“보안정책”을 수립 및 공표하고 “보안정책”을 효과적으로 시행하기 위한 세부적인 “보안지침”, “보안 절차”, “보안매뉴얼” 등을 수립하여야 한다. 

 

관련표준 및 지침

K-ISMS	1.1.1 정책의 승인 1.1.2 정책의 공표 1.2.2 정책시행 문서수립
ISO/IEC 27002:2013	A.5.1.1 Policies for information security A.6.2.1 Mobile device policy A.13.2.1 Information transfer policies and procedures A.15.1.1 Information security policy for supplier relationships
NIST SP 800-53	PM-1 AC-1, AC-17, AC-18, AC-19, PL-4, PS-6 AC-1, AC-3, AC-4, AC-17, AC-18, AC-20, CA-3, PL-4, PS-6, SC-1, SC-7, SC-8, SC-15

 

② 접근통제정책 수립

인가 받지 않은 사용자의 접근을 통제할 수 있는 “접근통제정책”을 수립 하여야 한다. 접근통제정책은 “서버”, “네트워크”, “데이터베이스”, “응용프로그램” 등 “접근통제 대상” 별로 수립하고 “접근통제 규칙”, “방법”, “절차” 등을 포함하여야 한다.

 

관련표준 및 지침

K-ISMS	10.1.1 접근통제 정책 수립
ISO/IEC 27002:2013	A.9.1.1 Access control policy
NIST SP 800-53	AC-1, MP-1

 

 

③ 응용프로그램 개발정책 수립
응용프로그램의 변경 관리에 대한 절차를 정의하고 “개발 요청”, “분석”, “설계”, “개발”, “테스트”, “운영환경 이관” 등에 관한 소프트웨어 개발 생명 주기(Software Development Life Cycle)의 단계별 책임 및 역할, 절차, 개발표준, 산출물 등을 정의하여야 한다. 또한 모든 소프트웨어 개발 생명 주기(Software Development Life Cycle)의 단계별 보안 요구사항을 정의하고 안전한 코딩 방법에 대하여 정의하여야 한다. 

 

관련표준 및 지침

K-ISMS	N/A
ISO/IEC 27002:2013	A.14.2.1 Secure development policy A.14.2.2 System change control procedures
NIST SP 800-53	CM-1, CM-3, CM-9, SA-10

 

 

④ 운영 절차 및 매뉴얼 수립
정보시스템 특성에 맞는 “운영 절차” 혹은 “매뉴얼”을 수립하여야 한다. 운영 절차 혹은 매뉴얼에는 시스템 “변경 절차”, “작동 방법”, “보안 설정 방법”, “접근권한 설정 방법”, “백업 절차 및 방법”, “오류 및 예외 사항 처리 방법”, “문제 발생 시 긴급 종료·재 동작·북구 방법”, “모니터링 방법”, “긴급상황 발생 시 비상 연락망”, “전산센터 관리” 등이 포함되어야 한다. 

관련표준 및 지침

K-ISMS	11.1.1 운영절차 수립
ISO/IEC 27002:2013	A.12.1.1 Documented operating procedures
NIST SP 800-53	SA-5

 

 

⑤ 장애 대응 절차 수립
정보시스템 장애 발생 시 효과적으로 대응하기 위한 “장애 대응 절차”를 수립하여야 한다. 장애 대응 절차에는 “장애 유형 및 등급 정의”, “장애 보고 절차”, “장애 유형별 대응 및 복구 절차”, “장애에 대한 책임과 역할 정의”, “장애 안내 절차”, “비상 연락체계” 등이 포함되어야 하며 “장애 조치보고서” 작성에 대한 가이드를 제시하여야 한다. 

 

관련표준 및 지침

K-ISMS	11.2.4 장애관리
ISO/IEC 27002:2013	N/A
NIST SP 800-53	N/A

 

 

⑥ 보안사고 대응 절차 수립
보안 사고에 효과적이고 신속히 대응하기 위한 “보안사고 대응 절차”를 수립하여야 한다. “ISO/IEC 27002에서는 보안사건(Security Event)과 보안 사고(Security Incident)로 구분하여 제시하고 있다. 보안사건은 보안 위반이나 불명확한 상황이 발생한 것을 총칭하여 의미하는 것이고 보안사고는 명백한 피해가 발생한 것을 지칭하고 있다. 즉, 보안사건을 인지한 후에 조사를 통하여 보안 사고로 관리할 것인지를 결정하게 된다.”   보안사고 대응 절차에는 “보안사고 정의 및 범위”, “보안사고 발생 시 보고 및 대응 절차”, “사고 복구 조직 구성 및 책임”, “보안사고 대응 및 복구훈련 시나리오”, “비상 연락체계”, “외부 전문가 및 전문기관 협조 체계” 등이 포함되어야 한다. 

관련표준 및 지침

K-ISMS	12.1.1 침해사고 대응 절차 수립 12.1.2 침해사고 대응체계 구축
ISO/IEC 27002:2013	A.16.1.1 Responsibilities and procedures
NIST SP 800-53	IR-1, IR-4