ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.11 사고 예방 및 대응 ~ 2.12 재해복구)

ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.

 

2. 보호대책 요구사항

2.11 사고 예방 및 대응

2.11.1 사고 예방 및 대응체계 구축

• 인증기준:
  • 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내/외부 침해시도의 탐지/대응/분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축
• 세부 설명:
  • 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음의 내용을 포함하여 마련
    • 침해사고의 정의 및 범위
    • 침해사고 유형 및 중요도
    • 침해사고 선포절차 및 방법
    • 비상연락망
    • 침해사고 탐지 체계
    • 침해사고 발생 시 기록, 보고절차
    • 침해사고 신고 및 통지 절차
    • 침해사고 보고서 작성
    • 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
    • 침해사고 보고서 작성
    • 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
    • 침해사고 복구조직의 구성, 책임 및 역할
    • 침해사고 복구장비 및 자원조달
    • 침해사고 대응 및 복구 훈련, 훈련 시나리오
    • 외부 전문가나 전문기관의 활용방안
    • 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
    • SLA
• 결함사례:
  • 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
  • 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나 침해사고 발생 시 사고 유형 및 심각도에 따른 신고/통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
  • 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
  • 침해사고 신고/통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나 일부 기관 관련 정보가 누락 또는 현행화 되지 않은 경우
  • 침해사고 대응절차를 수립하였으나 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
    

2.11.2 취약점 점검 및 조치

• 결함사례:
  • 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우

2.11.3 이상행위 분석 및 모니터링

• 증적자료 등 준비사항:
  • 이상행위 분석 및 모니터링 현황
  • 이상행위 발견 시 대응 증적
• 결함사례:
  • 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
  • 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나 이에 대한 대응조치가 이루어지고 있지 않는 경우

2.11.4 사고 대응 훈련 및 개선

• 인증기준:
  • 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선
• 세부 설명:
  • 모의훈련 시행 후 결과보고서 작성 및 내부 보고
  • 모의훈련 결과를 바탕으로 개선사항을 도출하여 필요 시 대응 절차에 반영
• 결함사례:
  • 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우

2.11.5 사고 대응 및 복구

• 인증기준:
  • 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수
  • 절차에 따라 신속하게 대응 및 복구하고 시고 분석 후 재발방지 대책을 수립하여 대응체계에 반영
• 결함사례:
  • 내부 침해사고 대응 지침에는 침해사고 발생 시 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 자체 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
  • 최근 DDoS 공격으로 의심되는 침해사고로 인해 서비스 일부가 중단된 사례가 있으나 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우

•  

2.12 재해복구

2.12.1 재해/재난 대비 안전조치

• 인증기준:
  • 자연재해, 통신/전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석
  • 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 체계를 구축
• 결함사례:
  • 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업센터를 구축하여 운영하고 있으나 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우
  • 재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간(RTO), 복구 목표시점(RPO) 등이 정의되어 있지 않은 경우
  • 현실적 대책 없이 복구 목표시간(RTO)를 과도 또는 과소하게 설정하고 있거나 복구 목표시점(RPO)과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우

2.12.2 재해 복구 시험 및 개선

• 세부 설명:
  • 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립/이행
    • IT 재해 복구 시험 계획에 포함되어야 할 사항
      • 재해 복구 시험 일정
      • 참여인원
      • 범위
      • 방법 및 시나리오
      • 절차
• 결함사례:
  • 재해 복구 훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않는 경우
  • 재해 복구 훈련을 계획하여 실시하였으나 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우

•  

•