Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- CFReDS
- 포렌식
- artifacts
- 정보보안기사 실기
- k8s
- ISMS-P 인증심사원
- AWS Elasticsearch
- 보안기사
- Autopsy
- 쿠버네티스
- AWS EKS
- forensic
- ISMS
- 정보보안
- The Sleuth Kit
- 모의해킹
- AWS Opensearch
- hacking case
- AWS 쿠버네티스
- TSK
- kubernetes
- AWS EKS Udemy
- 정보보안기사
- SMS-P 인증 기준 안내서 요약
- AWS
- 보안
- 실습
- iam
- 해킹
- isms-p
Archives
- Today
- Total
Always-Try(정보보안 및 일상)
ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.11 사고 예방 및 대응 ~ 2.12 재해복구) 본문
정보보안 자격증 + ISMS-P
ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.11 사고 예방 및 대응 ~ 2.12 재해복구)
Always-Try 2021. 9. 11. 22:26ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.
2. 보호대책 요구사항
2.11 사고 예방 및 대응
2.11.1 사고 예방 및 대응체계 구축
- 인증기준:
- 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내/외부 침해시도의 탐지/대응/분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축
- 세부 설명:
- 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음의 내용을 포함하여 마련
- 침해사고의 정의 및 범위
- 침해사고 유형 및 중요도
- 침해사고 선포절차 및 방법
- 비상연락망
- 침해사고 탐지 체계
- 침해사고 발생 시 기록, 보고절차
- 침해사고 신고 및 통지 절차
- 침해사고 보고서 작성
- 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
- 침해사고 보고서 작성
- 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
- 침해사고 복구조직의 구성, 책임 및 역할
- 침해사고 복구장비 및 자원조달
- 침해사고 대응 및 복구 훈련, 훈련 시나리오
- 외부 전문가나 전문기관의 활용방안
- 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
- SLA
- 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음의 내용을 포함하여 마련
- 결함사례:
- 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
- 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나 침해사고 발생 시 사고 유형 및 심각도에 따른 신고/통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
- 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
- 침해사고 신고/통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나 일부 기관 관련 정보가 누락 또는 현행화 되지 않은 경우
- 침해사고 대응절차를 수립하였으나 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
2.11.2 취약점 점검 및 조치
- 결함사례:
- 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우
2.11.3 이상행위 분석 및 모니터링
- 증적자료 등 준비사항:
- 이상행위 분석 및 모니터링 현황
- 이상행위 발견 시 대응 증적
- 결함사례:
- 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
- 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나 이에 대한 대응조치가 이루어지고 있지 않는 경우
2.11.4 사고 대응 훈련 및 개선
- 인증기준:
- 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선
- 세부 설명:
- 모의훈련 시행 후 결과보고서 작성 및 내부 보고
- 모의훈련 결과를 바탕으로 개선사항을 도출하여 필요 시 대응 절차에 반영
- 결함사례:
- 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우
2.11.5 사고 대응 및 복구
- 인증기준:
- 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수
- 절차에 따라 신속하게 대응 및 복구하고 시고 분석 후 재발방지 대책을 수립하여 대응체계에 반영
- 결함사례:
- 내부 침해사고 대응 지침에는 침해사고 발생 시 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 자체 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
- 최근 DDoS 공격으로 의심되는 침해사고로 인해 서비스 일부가 중단된 사례가 있으나 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
2.12 재해복구
2.12.1 재해/재난 대비 안전조치
- 인증기준:
- 자연재해, 통신/전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석
- 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 체계를 구축
- 결함사례:
- 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업센터를 구축하여 운영하고 있으나 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우
- 재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간(RTO), 복구 목표시점(RPO) 등이 정의되어 있지 않은 경우
- 현실적 대책 없이 복구 목표시간(RTO)를 과도 또는 과소하게 설정하고 있거나 복구 목표시점(RPO)과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우
2.12.2 재해 복구 시험 및 개선
- 세부 설명:
- 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립/이행
- IT 재해 복구 시험 계획에 포함되어야 할 사항
- 재해 복구 시험 일정
- 참여인원
- 범위
- 방법 및 시나리오
- 절차
- IT 재해 복구 시험 계획에 포함되어야 할 사항
- 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립/이행
- 결함사례:
- 재해 복구 훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않는 경우
- 재해 복구 훈련을 계획하여 실시하였으나 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우
'정보보안 자격증 + ISMS-P' 카테고리의 다른 글
2020년 CISA (국제 공인 정보시스템 감사사) 합격 후기 (0) | 2021.09.12 |
---|---|
2020년 제 32회 CPPG 합격 후기 (개인정보관리사 ) (0) | 2021.09.12 |
ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.9 시스템 및 서비스 운영 관리 2.10 시스템 및 서비스 보안 관리) (0) | 2021.09.11 |
ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.5 인증 및 권한 관리 ~ 2.8 정보시스템 도입 및 개발 보안) (0) | 2021.09.09 |
ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.1 정책, 조직, 자산 관리 ~ 2.4 물리보안) (0) | 2021.09.08 |
Comments