본문 바로가기

전체 글40

단계별 내부통제항목 - 예방(6) 7) 암호통제 개인정보 및 중요정보를 보호하기 위하여 “저장” 및 “전송” 시 “암호화”를 적용하여야 하며, “암호키”는 “생성”, “이용”, “보관”, “배포”, “파기”에 관한 “안전한 절차를 수립”하여야 한다. ① 개인정보 및 중요정보 암호화 개인정보 및 중요정보를 보호하기 위하여 암호 정책을 수립 및 이행하여야 하며, “저장” 및 “송·수신” 시 “암호화”를 적용하여야 한다. 개인정보보호법의 “개인정보의 안전성 확보 조치 기준” “제7조(개인정보의 암호화)” 조항에 다음과 같이 개인정보 암호화를 규정하고 있다. 『제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조 제 1항 제3호에 따라 암호화하여야 하는 개인정보는 고유 식별정보, 비밀번호 및 바이오 정보를 말한다. ② 개인정보처리자는 제1.. 2022. 7. 21.
단계별 내부통제항목 - 예방(5) ⑤ 개발과 운영 환경 분리 “개발 및 테스트 환경”은 “운영 환경”과 분리하여야 한다. 환경 분리는 개발 및 테스트 서버와 운영 서버를 분리하는 것뿐만 아니라 네트워크의 분리도 함께 이루어져야 한다. 만약 불가피하게 분리할 수 없을 경우에는 “모니터링 강화”, “개발 및 변경 사항 승인”, “책임추적성(Accountability) 확보”를 위한 “변경 내용 저장” 등과 같은 “보완통제”를 마련하여야 한다. 관련표준 및 지침 K-ISMS 8.2.2 개발과 운영 환경 분리 ISO/IEC 27002:2013 A.12.1.4 Separation of development, testing and operational environments NIST SP 800-53 CM-2, CM-4, CM-9, SA-10 ⑥ .. 2022. 7. 20.
단계별 내부통제항목 - 예방(4) ⑤ 사무실 환경 보안 사무실 내에서의 중요 자산 보호 및 정보보호에 대한 대책을 수립하고 이행하여야 한다. 사무실 환경 보안은 “개인 업무 환경 보안”과 “공용업무 환경 보안”으로 분리해서 수행할 수 있다. “개인 업무 환경 보안”은 “이석 시 컴퓨터 화면 보호기 및 패스워드 설정”, “중요문서 및 저장매체 방치 금지”, “개인용컴퓨터 보안 설정”, “중요문서 파기” 등의 대책이 필요하며 “공용업무 환경 보안”은 공용으로 사용하는 사무 장비에 대한 보호 대책을 의미하며 “공용 사무기기”, “공용 컴퓨터”, “파일서버”, “문서고”, “공용 사무실” 등에 대한 중요 자산 및 정보보호에 대한 대책을 수립하여야 한다. 관련표준 및 지침 K-ISMS 7.3.1 개인업부 환경 보안 7.3.2 공용업무 환경 보안 .. 2022. 7. 19.
단계별 내부통제항목 - 예방(3) ④ 비밀 유지서약서 작성 조직 내 모든 내부자에게 “비밀 유지서약서”를 받아야 한다. 여기서 내부자는 광의의 내부자를 의미한다. 비밀 유지서약서에는 보안 규정 미준수로 인한 “벌칙”과 “손해배상 책임” 등의 내용을 명시하고 “서명”을 받아야 한다. 또한 임직원의 퇴사 시 또는 외부자와의 계약 만료, 업무 종료 시 별도의 비밀 유지서약서를 받고 위반 시 “법적 책임”이 있음을 상기시켜야 한다. 비밀 유지서약서는 “법적 분쟁” 발생 시 “증거자료”로 사용할 수 있도록 보존하고 관리하여야 한다. 관련표준 및 지침 K-ISMS 6.1.3 비밀유지서약서 ISO/IEC 27002:2013 A.7.1.2 Terms and conditions of employment A.13.2.4 Confidentiality or .. 2022. 7. 18.
단계별 내부통제항목 - 예방(2) 3) 정보자산 분류 조직 내의 모든 자산을 명확하게 식별하고 중요자산을 분류하며 자산별 관리자를 지정하여 관리하여야 한다. 또한 정보자산을 “민감성(Sensitivity)”과 “중요도(Criticality)”에 따라 보호 등급을 결정하고 보호 등급에 따른 접근통제를 실시하여야 한다. ① 정보자산 식별 조직의 특성에 맞는 정보자산의 “분류기준을 수립”하고 분류기준에 따른 정보자산을 “식별”하고 “목록”을 관리하여야 한다. 또한 “도입”, “변경”, “폐기”되는 정보자산 현황을 파악할 수 있도록 정기적으로 “조사”를 실시하고 정보자산 목록을 “최신으로 유지”하여야 한다. 관련표준 및 지침 K-ISMS 4.1.1 정보자산 식별 ISO/IEC 27002:2013 A.8.1.1 Inventory of assets.. 2022. 7. 17.
단계별 내부통제항목 - 예방(1) 예방(Prevention) 1) 보안조직 구성 ① 보안조직 구성 경영진은 조직의 보안 관련 업무를 총괄할 수 있는 “정보보호 최고책임자(CISO)”를 지정 및 지원하고 보안 활동을 체계적으로 수행할 “보안조직”을 구성하여야 한다. “정보보호 실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.” “정보통신망 이용촉진 및 정보보호 등에 관한 법률” “제45조의3(정보보호 최고책임자의 지정 등)” 조항에 다음과 같이 정보보호 최고책임자 지정을 규정하고 있다. 『제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신 서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지.. 2022. 7. 16.
단계별 내부통제항목 - 억제(2) ⑦ 보안정책 관리 정기적으로 보안정책 및 지침, 절차, 매뉴얼의 “타당성을 검토”하고 “보안정책에 미치는 영향을 분석”하여 필요한 경우 제·개정하여야 한다. “중대한 보안사고 발생”, “정보보호, 개인정보 및 관련 법률 제·개정”, “새로운 위협 또는 취약점 발견”, “비즈니스 환경 변화”, “정보보호 및 IT 환경의 중대한 변화” 등의 상황이 발생한 경우 보안정책 및 지침, 절차, 매뉴얼 등에 미치는 영향을 분석하고 해당 문서에 반영하여야 한다. 보안 정책과 관련된 문서는 최신 본을 유지하여야 하며 제·개정 시에는 경영자와 정보보호 책임자의 승인받고 공표하여야 한다. 관련표준 및 지침 K-ISMS 1.3.1 정책의 검토 1.3.2 정책문서 관리 ISO/IEC 27002:2013 A.5.1.2 Revie.. 2022. 7. 15.
단계별 내부통제항목 - 억제(1) 억제(Deterrence) 1) 보안정책 수립 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거 기반이 되는 정보보호정책을 수립한다. 정보보호정책은 국가가 정하는 정보보호 관련 법, 규정, 규제 등을 만족하여야 하며 경영진은 기업의 사업 목표와 일치하는 정책을 설정하고 정보보호 대한 의지 및 방향을 설정하여야 한다. 또한 정보보호와 관련된 중요한 사안에 대해서는 경영진의 의사결정 참여가 중요하며, 그에 따른 보고체계를 갖추어야 한다. 수립된 정보보호정책은 경영진에 의하여 공표되고 유지되어야 한다. ① 보안정책, 지침, 절차, 매뉴얼 수립 및 공표 “보안정책”을 수립 및 공표하고 “보안정책”을 효과적으로 시행하기 위한 세부적인 “보안지침”, “보안 절차”, “보안매뉴얼” 등을 수립하여야 한다... 2022. 7. 14.
내부자 위협에 대한 내부통제 강화 전략 내부자 위협에 적절하게 대처하기 위해서는 관리적, 물리적, 기술적 보안 관점에서 접근뿐만 아니라 종합적인 측면에서 내부통제 강화 전략을 고려하여야 한다. 또한 체계적인 내부통제를 위해서는 프로세스 단계별로 적절한 통제가 필요하다. 통제 프로세스는 목표를 달성하기 위하여 계획(Plan), 실행(Do), 검증(Check), 개선(Act)을 통하여 보다 발전된 계획(Plan)에 이르는 반복적인 사이클이라고 할 수 있다. CERT에서는 내부자 위협에 대한 적절한 통제를 위하여 “예방(Prevent)”, “탐지(Detect)”, “대응(Respond)”의 3단계를 제시하였다. NIST에서는 “보안 사고 대응 라이프사이클(Security Incident Response Life Cycle)”에서 “대비(Prepar.. 2022. 7. 13.

티스토리툴바