ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.1 정책, 조직, 자산 관리 ~ 2.4 물리보안)

ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.

 

2. 보호대책 요구사항

2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

• 인증기준:
  • 정책과 시행문서는 주기적으로 검토하여야 하며, 제/개성 시 이력 관리를 하여야 한다.
• 결함사례:
  • 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
  • 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
  • DB 접근통제 솔루션을 신규로 도입하여 운영하고 있으나 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
  • 정책이 개정되었으나 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일자, 작성자 및 승인자 등이 누락되어 있는 경우
  • 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

2.1.2 조직의 유지관리

• 인증기준:
  • 조직의 각 구성원에게 정보보호와 개인정보 관련 역할 및 책임을 할당
  • 활동을 평가할 수 있는 체계 마련
  • 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립/운영
• 세부 설명:
  • 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의
  • 핵심성과지표(KPI)
  • 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)
    • 의사소통 관리 계획 개요: 목적 및 범위
    • 의사소통 체계: 전사 협의체, 실무 협의체, 위원회 등. 참여 대상 역할 및 주기
    • 의사소통 방법: 보고 및 회의, 공지, 이메일, 메신저, 포털
    • 의사소통 양식: 유형별 보고서 양식, 회의록 양식
• 결함사례:
  • 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
  • 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
  • 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우

2.1.3 정보자산 관리

• 주요 확인사항: 
  • 정보자산의 보안등급에 따른 취급절차(생성/도입/저장/이용/파기) 및 보호대책을 정의하고 이행하고 있는가?
  • 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
• 세부 설명:
  • 정보자산의 보안등급에 따른 취급절차(생성/도입/저장/이용/파기)를 정의하고 이에 따라 암호화, 접근통제 등 적절한 보호대책을 정의하고 이행
• 결함사례:
  • 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
  • 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나 보안등급에 따른 취급절차를 정의하지 않은 경우

•  

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

• 인증기준:
  • 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립
  • 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리
• 주요 확인사항:
  • 주요 직무의 기준
  • 외부자(수탁자)도 주요 직무를 수행하면 주요 직무자로 지정 필요
• 세부 설명:
  • 주요 직무의 기준(예시)
    • 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
    • 중요 정보시스템(서버, DB, 응용 프로그램 등) 및 개인정보처리시스템 운영/관리
    • 정보보호 및 개인정보보호 관리 업무 수행
    • 보안시스템 운영 등
• 결함사례:
  • 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
  • 내부 지침에는 주요 직무자 권한 부여시에는 보안팀의 승인을 득하고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우

2.2.2 직무 분리

• 인증기준:
  • 직무 분리 기준을 수립
• 증적자료 등 준비사항:
  • 직무분리 관련 지침(인적 보안 지침 등)
• 결함사례:
  • 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부 규정으로 정한 직무분리 기준을 준수하고 있지 않은 경우
  • 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나, 보완통제(책임추적성 확보, 모니터링, 변경사항 검토/승인 등)가 마련되어 있지 않은 경우세부 설명:

2.2.3 보안 서약

• 결함사례:
  • 개인정보취급자에 대해 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우

2.2.4 인식제고 및 교육훈련

• 결함사례:
  • 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
  • 전 직원을 대상으로 하는 개인정보보호인식 교육은 일정 시간 계획되어 있으나 개인정보 보호책임자 및 개인정보담당자 등 각 직무별로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
  • 인증범위 내의 정보 자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우

2.2.5 퇴직 및 직무변경 관리

• 결함사례:
  • 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우

2.2.6 보안 위반 시 조치

• 결함사례:
  • 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
  • 보안시스템(DLP, DB접근제어시스템, 내부정보유출통제시스템 등)을 통해 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우

2.3 외부자 보안

2.3.1 외부자 현황 관리

• 세부 설명:
  • 업무 위탁 및 외부 시설/서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련
    • 개인정보 처리업무 위탁에 해당되는지 확인
    • 개인정보 등의 국외 이전에 해당되는지 확인
    • 개보법, 망법 등 관련된 법적 요구사항 파악
    • 법적요구사항을 포함하여 업무 위탁 및 외부 시설/서비스 이용에 따른 위험평가 수행
    • 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁사에 대해서는 점검주기 및 점검항목을 달리하여 집중 현장점검 수행 등)
• 결함사례:
  • 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에 대한 식별 및 위험평가가 수행되지 않은 경우

2.3.2 외부자 계약 시 보안

• 인증기준:
  • 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시
• 결함사례:
  • 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁 업무의 특성에 따른 보안요구사항을 식별/반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우

2.3.3 외부자 보안 이행 관리

• 결함사례:
  • 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 확인하고 있지 않은 경우
  • 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우

2.3.4 외부자 계약 변경 및 만료 시 보안

• 인증기준:
  • 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행
• 결함사례:
  • 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기했는지 여부를 확인 및 점검하지 않은 경우

2.4 물리 보안

2.4.1 보호구역 지정

• 인증기준
  • 통제구역/제한구역/접견구역 등 물리적 보호구역을 지정
  • 각 구역별 보호대책을 수립/이행
• 결함사례:
  • 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명사되어 있으나 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
  • 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나 일부 통제구역에 표시판을 설치하지 않은 경우

2.4.2 출입통제

• 결함사례:
  • 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미 출입자가 다수 존재하고 있는 경우
  • 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
  • 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
    

2.4.3 정보시스템 보호

• 인증기준:
  • 환경적 위협과 유해요소, 비인가 접근 가능성 감소 후 배치
  • 통신 및 전력 케이블 보호
• 세부설명:
  • 개인정보처리시스템 등 중요도가 높은 경우 전산랙에 잠금 장치 설치하거나 별도의 물리적 안전장치가 있는 케이지 등에서 관리
  • 배치도, 자산목록 등을 마련

2.4.4 보호설비 운영

• 주요 확인사항:
  • 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?
• 결함사례:
  • 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
  • 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 및 점검기준을 수립하고 있지 않은 경우
  • 운영지침에 따라 전산실 내에 온/습도 조절기를 설치하였으나 용량 부족으로 인하여 표준 온/습도를 유지하지 못하여 장애발생 가능성이 높은 경우

2.4.5 보호구역 내 작업

• 인증기준:
  • 보호구역 내에서의 비인가행위 및 권한 오/남용 등을 방지하기 위한 작업 절차를 수립/이행하고, 작업 기록을 주기적으로 검토
• 주요 확인사항:
  • 작업 기록을 주기적으로 검토하고 있는가?
• 결함사례:
  • 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
  • 내부 규정에는 보호구역 내 작업기록에 대해 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있는 경우

2.4.6 반출입 기기 통제

• 인증기준:
  • 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립/이행하고 주기적으로 검토
• 세부 설명:
  • 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립/이행하여야 한다.
    • 반출입 통제 대상:
      • 정보시스템, 모바일 기기, 저장매체 등
    • 반출입 통제 절차:
      • 보호구역 출입통제 책임자 사전승인
      • 반출입 관리대장 기록
      • 반출입 기기에 대한 보안점검 수행(백신 설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등)
      • 반/출입 내역 주기적 검토
    • 예외 사용 절차: 예외 신청/승인, 반출이비 관리대장 기록 등
• 결함사례:
  • 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅 기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우
  • 내부 지침에 따라 전산장비 반/출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우

2.4.7 업무환경 보안

• 인증기준:
  • 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립/이행
• 결함사례:
  • 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나 이를 이행하지 않은 경우

회의실 등 공용 사무공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인 정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우