예방(Prevention)
1) 보안조직 구성
① 보안조직 구성
경영진은 조직의 보안 관련 업무를 총괄할 수 있는 “정보보호 최고책임자(CISO)”를 지정 및 지원하고 보안 활동을 체계적으로 수행할 “보안조직”을 구성하여야 한다. “정보보호 실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.”
“정보통신망 이용촉진 및 정보보호 등에 관한 법률” “제45조의3(정보보호 최고책임자의 지정 등)” 조항에 다음과 같이 정보보호 최고책임자 지정을 규정하고 있다.
『제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신 서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정할 수 있다.
② 정보보호 최고책임자는 다음 각호의 업무를 총괄한다.
1. 정보보호 관리체계의 수립 및 관리·운영
2. 정보보호 취약점 분석·평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보 보호 대책 마련 및 보안 조치 설계·구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행』
또한 “전자금융거래법” “제21조의2(정보보호 최고책임자 지정)” 조항에 다음과 같이 정보보호 최고책임자 지정을 규정하고 있다
『제21조의2(정보보호 최고책임자 지정) ① 금융회사 또는 전자금융업자는 전자 금융업무 및 그 기반이 되는 정보기술 부문 보안을 총괄하여 책임질 정보보호 최고책임자를 지정하여야 한다.
② 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자는 정보보호 최고책임자를 임원(「상법」 제401조의2에 1항 제3호에 따른 자를 포함한다)으로 지정하여야 한다.
③ 제1항에 따른 정보보호 최고책임자는 다음 각호의 업무를 수행한다.
1. 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2. 정보기술 부문의 보호 및 관리
3. 정보기술 부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
④ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다.』
관련표준 및 지침
| K-ISMS | 2.1.1 정보보호 최고책임자 지정 2.1.2 실무조직 구성 2.2.1 역할 및 책임 |
| ISO/IEC 27002:2013 | A.6.1.1 Information security roles and responsibilities A.6.1.2 Segregation of duties A.6.1.3 Contact with authorities A.6.1.4 Contact with special interest groups A.6.1.5 Information security in project management |
| NIST SP 800-53 | PM-1, PM-2, PM-10, CM-9, CP- 2, PS-7, SA-3, SA-9 AC-5 IR-4, IR-6, IR-7, PE-13, SA-19, SI-5 |
2) 비즈니스 파트너 보안
본 연구에서 비즈니스 파트너란 “광의의 내부자 중에서 조직 내에 상주하지 않는 내부자로서 계약에 따라 업무를 수행자”를 의미한다. 비즈니스 파트너 보안은 크게 “비즈니스 파트너 계약 시 보안”, “비즈니스 파트너 보안 이행 관리”, “비즈니스 파트너 계약 만료 시 보안”으로 구분할 수 있다.
① 비즈니스 파트너 계약 시 보안
조직의 업무를 비즈니스 파트너에게 “위탁”하거나 “정보자산에 접근을 허용”할 경우 또는 “외부 서비스를 이용”할 경우에는 “보안요구사항”을 “계약서” 등에 명시하여야 한다. 계약 시 반영할 보안요구사항은 “관련 법률 준수”, “비밀 유지 서약서”, “보안 교육 수행”, “침해 및 정보 유출 방지 대책”, “접근 통제”, “물리적 보안 조치”, “PC 보안”, “주기적인 보안 감사 수행”, “보안 요구사항 위반 시 처벌 및 손해배상 책임” 등이다.
관련표준 및 지침
| K-ISMS | 3.1.1 외부자 계약 시 보안요구사항 |
| ISO/IEC 27002:2013 | A.15.1.2 Addressing security within supplier agreements |
| NIST SP 800-53 | CA-3, PL-4, PS-6, PS-7, SA-9 |
② 비즈니스 파트너 계약 만료 시 보안
비즈니스 파트너와의 계약 만료, 업무 종료, 담당자 변경 시 즉시 비즈니스 파트너로부터 보고 받고 공식적인 절차에 따라 필요한 조처를 하여야 한다. “정보시스템 접근 계정 삭제”, “중요 정보 삭제”, “업무 수행 시 알게 된 정보의 비밀 유지 확약서 징구”, “사용했던 정보자산 반납”, “제공된 데이터 삭제” 등의 조처를 하여야 한다.
관련표준 및 지침
| K-ISMS | 3.2.2 외부자 계약 만료 시 보안 |
| ISO/IEC 27002:2013 | A.15.1.2 Addressing security within supplier agreements |
| NIST SP 800-53 | CA-3, PL-4, PS-6, PS-7, SA-9 |
[참고]
- 한국인터넷진흥원(2013), “ISMS 인증기준 세부점검항목”, 한국인터넷진흥원
- ISO (2012), “Information technology - Security techniques - Code of practice for information security controls,” ISO
- Ross, Ronald S (2013), “Security and Privacy Controls for Federal Information Systems and Organizations,”
- 산업통상자원부 (2010), “중소기업의 기술보호를 위한 세부 보안통제 실행 지침서,” 산업통상자원부
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 예방(3) (0) | 2022.07.18 |
|---|---|
| 단계별 내부통제항목 - 예방(2) (0) | 2022.07.17 |
| 단계별 내부통제항목 - 억제(2) (0) | 2022.07.15 |
| 단계별 내부통제항목 - 억제(1) (0) | 2022.07.14 |
| 내부자 위협에 대한 내부통제 강화 전략 (0) | 2022.07.13 |
댓글