ISMS-P 인증 기준 2.10.8.패치관리 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
14번째 줄: 14번째 줄:
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하고 있는가?
*서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립‧이행하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가?
*서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
*서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
*패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
*패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
|-
| style="text-align:center" |'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)
|}
|}
==세부 설명==
==세부 설명==
42번째 줄: 37번째 줄:
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.


*주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
*주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용 현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
*최신 보안패치 적용 필요 여부를 주기적으로 확인
*최신 보안패치 적용 필요 여부를 주기적으로 확인


50번째 줄: 45번째 줄:
*레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata
*레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata
*CentOS: https://wiki.centos.org/About/Product
*CentOS: https://wiki.centos.org/About/Product
*AIX: https://www-01.ibm.com/support/docview.wss?uid=isg3T1012517
*AIX: http://www-01.ibm.com/support/docview.wss?uid=isg3T1012517
*HP-UX: https://hpe.com/info/hpuxservermatrix
*HP-UX: https://hpe.com/info/hpuxservermatrix
*Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html
*Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html
62번째 줄: 57번째 줄:


====공개 인터넷 접속을 통한 패치 제한====
====공개 인터넷 접속을 통한 패치 제한====
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.  
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.


*다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용
*다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용


====패치관리시스템 보호대책====
====패치관리시스템 보호대책====
'''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.  
'''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.


*패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
*패치관리시스템 자체에 대한 접근통제 조치: 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
*업데이트 파일 배포 시 파일 무결성 검사 등
*업데이트 파일 배포 시 파일 무결성 검사 등


84번째 줄: 79번째 줄:
*상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우
*상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우


==같이 보기 ==
==같이 보기==


*[[정보보호 및 개인정보보호관리체계 인증]]
*[[정보보호 및 개인정보보호관리체계 인증]]
92번째 줄: 87번째 줄:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.10.8.패치관리"