ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.9 시스템 및 서비스 운영 관리 2.10 시스템 및 서비스 보안 관리)

ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.

 

2. 보호대책 요구사항

2.9 시스템 및 서비스 운영 관리

2.9.1 변경관리

• 인증기준:
  • 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립/이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석
• 주요 확인사항:
  • 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립/이행하고 있는가?
  • 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
• 세부 설명:
  • 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석
    • 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석(방화벽 등 보안시스템 정책 변경 필요성, 정책 변경 시 문제점 및 영향도 등)
    • 용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
    • 변경에 따른 영향을 최소화 할 수 있도록 변경을 이행
    • 변경 실패에 따른 복구방안을 사전에 고려
• 결함사례:
  • 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나 변경 후 발생할 수 있는 보안위험성 및 성능 평가에 대한 수행/승인 증적이 확인되지 않은 경우최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, DB접근제어시스템 등)의 접근 통제 리스트에(ACL)에 적절히 반영되어 있지 않은 경우

2.9.2 성능 및 장애관리

• 인증기준:
  • 정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지/기록/분석/복구/보고 등의 절차를 수립/관리

2.9.3 백업 및 복구관리

• 주요 확인사항:
  • 백업된 정보의 와전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구테스트를 실시하고 있는가?
• 결함사례:
  • 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디/비밀번호 방식으로만 인증하고 있는 경우
  • 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우

2.9.4 로그 및 접속기록 관리

• 세부 설명:
  • 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그 관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관
    • 보존이 필요한 로그 유형 및 대상 시스템 식별
  • 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목
    • 계정 또는 식별자
    • 접속일시
    • 접속지 정보
    • 수행업무
    • 개인정보 접속 기록이 위/변조, 도난, 분실되지 않도록 안전하게 보관 필요
      • 물리적으로 분리된 별도의 저장매체에 백업 보관
      • DVD, WORM Disk 등 덮어쓰기가 방지된 저장매체에 보존 등
• 결함사례:
  • 보안 이벤트 로그, 응용 프로그램 및 서비스 로그(Windows 2008 서버 이상)등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록/보관되고 있지 않은 경우
  • 중요 Linux/Unix 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우
  • 개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP 주소 정보는 남기고 있으나 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우
  • 로그 서버의 용량이 충분하지 않아서 개인정보처리시스템 접속기록이 3개월 밖에 남아 있지 않은 경우

2.9.5 로그 및 접속기록 점검

• 인증기준:
  • 정보시스템의 정상적인 사용을 보장하고 사용자 오/남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행
• 결함사례:
  • 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적/연속적 조회 등)에 대한 모니터링 및 경고/알림 정책(기준)이 수립되어 있지 않은 경우
  • 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검/모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않는 경우
  • 망법을 적용받는 정보통신서비스 제공자가 개인정보처리시스템의 접속기록 점검 주기를 반기 1회로 하고 있는 경우

2.9.6 시간 동기화

• 인증기준:
  • 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리
• 결함사례:
  • 일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며 관련 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우

2.9.7 정보자산의 재사용 및 폐기

• 인증기준:
  • 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구/재생되지 않도록 안전한 재사용 및 폐기 절차를 수립/이행
• 결함사례:
  • 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제 하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용 하거나 기본 포맷만하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
  • 폐기된 HDD의 일련번호가 아닌 시스템 명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
  • 회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치 되지 않은 장소에 방치되고 있는 경우

2.10 시스템 및 서비스 보안 관리

2.10.1 보안시스템 운영

• 인증기준:
  • 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립/이행하고 보안시스템별 정책적용 현황을 관리
• 결함사례:
  • 침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우
  • 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
  • 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우
  • 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록/보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안 정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우

2.10.2 클라우드 보안

• 인증기준:
  • 클라우드 서비스 사용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유/노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립/이행
• 주요 확인사항:
  • SLA
  • 비인가 접근, 설정오류 등을 방지할 수 있는 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립/이행하고 있는가?
• 결함사례:
  • 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
  • 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
  • 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지 않고 등록/변경된 접근제어 룰이 다수 발견된 경우
  • 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통해 공개되어 있는 경우

2.10.3 공개서버 보안

• 인증기준:
  • 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집/저장/공개 절차 등 강화된 보호대책을 수립/이행
• 세부 설명:
  • 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립/이행
  • 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 함
• 결함사례:
  • 웹 사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우

2.10.4 전자거래 및 핀테크 보안

• 인증기준:
  • 전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작/사기 등의 침해사고 예방을 위해 인증/암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검
• 증적자료 등 준비사항:
  • 전자거래 및 핀테크 서비스 보호대책
  • 결제시스템 연계 시 보안성 검토 결과
• 결함사례:
  • 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통해 결제 관련 정보가 모두 평문으로 전송되는 경우
  • 전자결제대행업무와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
  • 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정 상의 이유로 보안성 검토를 수행하지 않은 경우

2.10.5 정보전송 보안

• 인증기준:
  • 타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행
• 주요 확인사항:
  • 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?
• 세부 설명:
  
  • 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행
    • 관련 업무 정의:
      • DM 발송을 위한 개인정보 DM 업체 전달
      • 채권추심업체에 추심정보 전달
      • 개인정보 제3자 제공
      • 신용카드결제 정보 VAN사 전달 등
• 결함사례:
  • 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통해 안전하게 정보를 전송하고 있으나 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우
  • 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우

2.10.6 업무용 단말기기 보안

• 인증기준:
  • PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검
• 주요 확인사항:
  • PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립/이행하고 있는가?
  • 업무용 단말기를 통해 개인정보 및 중요정보가 유출되는 것을 방지하귀 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립/이행하고 있는가?
  • 업무용 모바일 기기 분실, 도난 등으로 인한 개인정보 및 중요정보의 유/노출을 방지하기 위하여 보안대책을 적용하고 있는가?
  • 업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가?
• 결함사례:
  • 업무적인 목적으로 노트북, 태블릿PC 등 모바일기기를 사용하고 있으나 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않는 경우
  • 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요 시 승인 절차를 통해 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별/관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우
  • 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난/분실에 대한 보호대책이 적용되어 있지 않은 경우
  • 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우

2.10.7 보조저장매체 관리

• 인증기준:
  • 보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립/이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관
• 주요 확인사항:
  • 외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립/이행하고 있는가?
  • 주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가?
  • 보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가?
  • 개인정보 또는 중요정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하고 있는가?
• 결함사례:
  • 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인 절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우
  • 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우
  • 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한 쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않는 경우

2.10.8 패치관리

• 결함사례:
  • 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
  • 상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우

2.10.9 악성코드 통제

• 세부 설명:
  • 사용자 PC사용지침 수립/이행 (불분명한 이메일 및 파일 열람 금지, 허가받지 않은 프로그램 다운로드 및 설치 금지 등)
  • 정보시스템 및 개인정보처리시스템에서의 악성코드 대응지침
  • 이메일 등 첨부파일에 대한 악성코드 감염 여부 검사
  • 백신 중앙관리시스템을 이용하여 백신프로그램을 관리하는 경우 관리서버에 대한 접근통제, 배포 파일에 대한 무결성 검증 등 보호대책 마련
  • 악성코드 감염 발견 시 대응 절차
  • 비상연락망
  • 대응보고서 양식
• 결함사례:
  • 백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할 수 있음에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우 
  • 백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파 가능성이 있는 경우
  • 일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나 감염 현황, 감염 경로 및 원인 분석, 그에 따른 조치내역 등이 확인되지 않은 경우

•