본문 바로가기

보안(Security)37

단계별 내부통제항목 - 예방(2) 3) 정보자산 분류 조직 내의 모든 자산을 명확하게 식별하고 중요자산을 분류하며 자산별 관리자를 지정하여 관리하여야 한다. 또한 정보자산을 “민감성(Sensitivity)”과 “중요도(Criticality)”에 따라 보호 등급을 결정하고 보호 등급에 따른 접근통제를 실시하여야 한다. ① 정보자산 식별 조직의 특성에 맞는 정보자산의 “분류기준을 수립”하고 분류기준에 따른 정보자산을 “식별”하고 “목록”을 관리하여야 한다. 또한 “도입”, “변경”, “폐기”되는 정보자산 현황을 파악할 수 있도록 정기적으로 “조사”를 실시하고 정보자산 목록을 “최신으로 유지”하여야 한다. 관련표준 및 지침 K-ISMS 4.1.1 정보자산 식별 ISO/IEC 27002:2013 A.8.1.1 Inventory of assets.. 2022. 7. 17.

단계별 내부통제항목 - 예방(1) 예방(Prevention) 1) 보안조직 구성 ① 보안조직 구성 경영진은 조직의 보안 관련 업무를 총괄할 수 있는 “정보보호 최고책임자(CISO)”를 지정 및 지원하고 보안 활동을 체계적으로 수행할 “보안조직”을 구성하여야 한다. “정보보호 실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.” “정보통신망 이용촉진 및 정보보호 등에 관한 법률” “제45조의3(정보보호 최고책임자의 지정 등)” 조항에 다음과 같이 정보보호 최고책임자 지정을 규정하고 있다. 『제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신 서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지.. 2022. 7. 16.

단계별 내부통제항목 - 억제(2) ⑦ 보안정책 관리 정기적으로 보안정책 및 지침, 절차, 매뉴얼의 “타당성을 검토”하고 “보안정책에 미치는 영향을 분석”하여 필요한 경우 제·개정하여야 한다. “중대한 보안사고 발생”, “정보보호, 개인정보 및 관련 법률 제·개정”, “새로운 위협 또는 취약점 발견”, “비즈니스 환경 변화”, “정보보호 및 IT 환경의 중대한 변화” 등의 상황이 발생한 경우 보안정책 및 지침, 절차, 매뉴얼 등에 미치는 영향을 분석하고 해당 문서에 반영하여야 한다. 보안 정책과 관련된 문서는 최신 본을 유지하여야 하며 제·개정 시에는 경영자와 정보보호 책임자의 승인받고 공표하여야 한다. 관련표준 및 지침 K-ISMS 1.3.1 정책의 검토 1.3.2 정책문서 관리 ISO/IEC 27002:2013 A.5.1.2 Revie.. 2022. 7. 15.

단계별 내부통제항목 - 억제(1) 억제(Deterrence) 1) 보안정책 수립 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거 기반이 되는 정보보호정책을 수립한다. 정보보호정책은 국가가 정하는 정보보호 관련 법, 규정, 규제 등을 만족하여야 하며 경영진은 기업의 사업 목표와 일치하는 정책을 설정하고 정보보호 대한 의지 및 방향을 설정하여야 한다. 또한 정보보호와 관련된 중요한 사안에 대해서는 경영진의 의사결정 참여가 중요하며, 그에 따른 보고체계를 갖추어야 한다. 수립된 정보보호정책은 경영진에 의하여 공표되고 유지되어야 한다. ① 보안정책, 지침, 절차, 매뉴얼 수립 및 공표 “보안정책”을 수립 및 공표하고 “보안정책”을 효과적으로 시행하기 위한 세부적인 “보안지침”, “보안 절차”, “보안매뉴얼” 등을 수립하여야 한다... 2022. 7. 14.

이전 1 2 3 4 5 6 7 ··· 10 다음

티스토리툴바