교정(Remedies)
1) 인적 보안
① 상벌 규정
“인사 규정” 및 “관련 계약서”에 보안 활동에 수행에 따른 상벌 규정을 포함해야 한다. 내부자는 “보안규정”, “정책”, “지침” 및 “비밀 유지서약서” 등에 명시된 보안 책임을 성실히 이행하지 않고 “중요정보”를 “훼손” 및 “누출”하거나 “관련 법규”를 “위반”하였을 경우 상벌 규정을 적용할 수 있도록 인사 규정 및 계약서에 해당 내용을 포함하고 “보상방안”도 규정화하여야 한다. 이 경우 관련 법규의 “처벌 규정”도 포함해야 한다.
관련표준 및 지침
| K-ISMS | 6.2.2 상벌규정 |
| ISO/IEC 27002:2013 | A.7.2.3 Disciplinary process |
| NIST SP 800-53 | PS-8 |
2) 물리 보안
① 시스템 배치 및 관리
“보안사고” 발생 시 “주요 시스템”의 위치를 즉시 “확인”하고 “조치”할 수 있도록 정보시스템의 “물리적 배치도” 및 “자산목록” 등을 마련하여야 하고, 정보시스템은 시스템의 “특성”을 고려하여 “물리적으로 분리”하여 “배치”하여야 한다.
관련표준 및 지침
| K-ISMS | 7.2.2 시스템 배치 및 관리 |
| ISO/IEC 27002:2013 | N/A |
| NIST SP 800-53 | N/A |
3) 운영 보안
① 백업 관리
중요 정보의 “무결성” 및 “가용성” 확보를 위하여 “백업 및 복구절차”를 수립하고 이행하여야 한다. 백업 관리는 “백업 대상 선정”, “백업 담당자 지정”, “백업 주기 및 보존 기한 정의”, “백업 방법 및 절차 정의”, “백업 복구 절차 정의”, “백업 관리 대장 관리” 등이 포함되어야 하며, 백업 매체는 재난에 대비할 수 있도록 “물리적으로 떨어진 장소”에 보관하여야 한다.
또한, “전자금융 감독규정” “제13조(전산 자료 보호 대책)”, “제14조(정보처리시스템 보호 대책)” 조항에 다음과 같이 백업을 규정하고 있다.
『제13조(전산 자료 보호 대책) ① 금융기관 또는 전자금융업자는 전산 자료의 유출, 파괴 등을 방지하기 위하여 다음 각호를 포함한 전산 자료 보호 대책을 수립·운용하여야 한다.
8. 중요도에 따라 전산 자료를 정기적으로 백업하여 원격 안전지역에 소산하고 백업명세를 기록·관리할 것
9. 주요 백업 전산 자료에 대하여 정기적으로 검증할 것
제14조(정보처리시스템 보호 대책) 금융기관 또는 전자금융업자는 정보처리시스템의 안전한 운영을 위하여 다음 각호를 포함한 보호 대책을 수립·운용하여야 한다.
8. 중요도에 따라 정보처리시스템의 운영체제 및 설정 내용 등을 정기 백업 및 원격 안전지역에 소산하고 백업자료는 1년 이상 기록·관리할 것』
관련표준 및 지침
| K-ISMS | 11.2.9 백업관리 |
| ISO/IEC 27002:2013 | A.12.3.1 Information backup |
| NIST SP 800-53 | CP-9 |
4) 침해사고 관리
“침해사고 관리”는 사고 발생 시에 침해사고 “보고 절차”에 따라 신속히 보고하고 “침해사고 처리 및 복구”는 “침해사고 대응 절차”에 따라 신속하게 수행하여야 한다. 또한 침해사고가 처리가 “종결”된 후에는 “원인을 분석”하고 유사 사고”가 발생하지 않도록 “대책을 수립”하여야 한다.
① 침해사고 보고
침해사고 징후 또는 발생을 인지한 경우에는 정의된 침해사고 보고 절차에 따라 경영진에게 신속하게 보고하여야 하며, 관련 법규 및 규정에 따라 통지 절차를 준수하여야 한다.
또한, “개인정보 보호법” “제34조(개인정보 유출 통지 등)” 조항에 다음과 같이 개인정보 유출 통지를 규정하고 있다.
『제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체 없이 해당 정보 주체에게 다음 각호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보 주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제 절차
5. 정보 주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 안전행정부 장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 안전행정부 장관 또는 대통령령으로 정하는 전문기관은 피해 확산 방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.』
“정보통신망 이용촉진 및 정보보호 등에 관한 법률” “제48조의3(침해사고의 신고 등)” 조항에 다음과 같이 침해사고 발생 시 신고에 관한 규정을 두고 있다.
『제48조의3(침해사고의 신고 등) ① 다음 각호의 어느 하나에 해당하는 자는 침해사고가 발생하면 즉시 그 사실을 미래창조과학부 장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 「정보통신기반 보호법」 제13조 제1항에 따른 통지가 있으면 전단에 따른 신고를 한 것으로 본다.
1. 정보통신 서비스 제공자
2. 집적정보통신시설 사업자
② 미래창조과학부 장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해사고를 알게 되면 제48조의2 제1항 각호에 따른 필요한 조치를 하여야 한다.』
관련표준 및 지침
| K-ISMS | 12.2.2 침해사고 보고 |
| ISO/IEC 27002:2013 | A.16.1.2 Reporting information security events A.16.1.3 Reporting information security weaknesses |
| NIST SP 800-53 | AU-6, IR-1, IR-6 CA-2, CA-7, PL-4, SA-5, SA-11, SI-2, SI-5 |
② 침해사고 처리 및 복구
침해사고 처리 및 복구는 “침해사고 대응 절차”에 따라 신속하게 수행하여야 하며, “사고 발생”부터 “복구”까지의 “진행 과정”은 “보고서”로 작성하여야 한다.
관련표준 및 지침
| K-ISMS | 12.2 3 침해사고 처리 및 복구 |
| ISO/IEC 27002:2013 | A.16.1.5 Response to information security incidents |
| NIST SP 800-53 | N/A |
③ 침해사고 분석
침해사고가 처리가 “종결”된 후에는 “원인을 분석”하고 그 “결과”를 “보고 및 공유”하여야 한다.
관련표준 및 지침
| K-ISMS | 12.3.1 침해사고 분석 및 공유 |
| ISO/IEC 27002:2013 | A.16.1.4 Assessment of and decision on information security events |
| NIST SP 800-53 | N/A |
④ 재발 방지
침해사고 분석을 통하여 획득한 정보를 바탕으로 “유사 사고”가 발생하지 않도록 “대책을 수립”하고 “침해사고 대응체계”를 “변경”하여야 한다.
관련표준 및 지침
| K-ISMS | 12.3.2 재발방지 |
| ISO/IEC 27002:2013 | A.16.1.6 Learning from information security incidents A.16.1.7 Collection of evidence |
| NIST SP 800-53 | IR-4, IR-10 AU-7, AU-8, AU-9, AU-11, IR-4 |
'보안(Security)' 카테고리의 다른 글
| 조직 규모별 내부통제항목 (0) | 2022.07.29 |
|---|---|
| 단계별 내부통제항목 - 탐지 (2) (0) | 2022.07.27 |
| 단계별 내부통제항목 - 탐지 (1) (0) | 2022.07.26 |
| 단계별 내부통제항목 - 예방(10) (0) | 2022.07.25 |
| 단계별 내부통제항목 - 예방(9) (0) | 2022.07.24 |
댓글