익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
ISMS-P 인증 기준 2.10.3.공개서버 보안
편집하기
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
[[분류: ISMS-P 인증 기준]] * '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] * '''분류''': [[ISMS-P 인증 기준 2.10.시스템 및 서비스 보안관리|2.10.시스템 및 서비스 보안관리]] == 개요 == {| class="wikitable" !항목 !2.10.3.공개서버 보안 |- | style="text-align:center"|'''인증기준''' |외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호대책을 수립·이행하여야 한다. |- |'''주요 확인사항''' | * 공개서버를 운영하는 경우 이에 대한 보호대책을 수립‧이행하고 있는가? * 공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가? * 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립‧이행하고 있는가? * 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가? |} == 세부 설명 == * 웹서버 등 공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하여야 한다. ** 웹서버를 통한 개인정보 송수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축 ** 백신설치 및 업데이트 설정 ** 응용프로그램(웹서버, OpenSSL 등), 운영체제 등에 대한 최신 보안패치 설치 ** 불필요한 서비스 제거 및 포트 차단 ** 불필요한 소프트웨어, 스크립트, 실행파일 등 설치 금지 ** 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지 ** 주기적 취약점 점검 수행 등 * 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안시스템을 통하여 보호하여야 한다. ** 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용 ** DMZ의 공개서버가 내부 네트워크에 위치한 데이터베이스, WAS(Web Application Server) 등의 정보 시스템과 접속이 필요한 경우 엄격하게 접근통제 정책 적용 * 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하여야 한다. ** 원칙적으로 DMZ 구간의 웹서버 내에 개인정보 및 중요정보의 저장을 금지하고, 업무상 불가피하게 필요한 경우 허가 절차 및 보호대책 적용 ** 웹사이트에 개인정보 및 중요정보를 게시할 경우 사전 검토 및 승인 절차 수행 ** 외부 검색엔진 등을 통하여 접근권한이 없는 자에게 개인정보 및 중요정보가 노출되지 않도록 조치 * 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다. ** 검색엔진 등을 통하여 주기적으로 점검 및 필요한 조치 적용 ** 중요정보 노출을 인지한 경우 웹사이트에서 차단조치 및 해당 검색엔진 사업자에게 요청하여 캐시 등을 통하여 계속적으로 노출되지 않도록 조치 == 증거 자료 == * 네트워크 구성도 * 웹사이트 정보공개 절차 및 내역(신청·승인·게시 이력 등) * 개인정보 및 중요정보 노출 여부 점검 이력 == 결함 사례 == * 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우 * 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우 * 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우 == 같이 보기 == * [[정보보호 및 개인정보보호관리체계 인증]] * [[ISMS-P 인증 기준]] * [[ISMS-P 인증 기준 세부 점검 항목]] == 참고 문헌 == * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록