ISMS-P 인증 기준 2.11.2.취약점 점검 및 조치 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
15번째 줄: | 15번째 줄: | ||
| | | | ||
*정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? | *정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? | ||
*발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? | *발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? | ||
*최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? | *최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? | ||
*취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가? | *취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
49번째 줄: | 41번째 줄: | ||
**스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등 | **스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등 | ||
*취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려 | *취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려 | ||
* | *고유식별정보를 처리하는 개인정보처리자에 해당하는 경우 인터넷 홈페이지를 통하여 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점 점검 실시(개인정보의 안전성 확보조치 기준 제6조제4항) | ||
==== 발견된 취약점 조치 및 보고 ==== | ==== 발견된 취약점 조치 및 보고 ==== | ||
58번째 줄: | 50번째 줄: | ||
*불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고 | *불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고 | ||
==== | ==== 최실 취약점 모니터링 및 영향도 분석 ==== | ||
최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. | 최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. | ||
73번째 줄: | 65번째 줄: | ||
==증거 자료== | ==증거 자료== | ||
*개인정보 보호법 제29조(안전조치의무) | |||
*개인정보의 안전성 확보조치 기준 제6조(접근통제) | |||
*개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) | |||
*취약점 점검 계획서 | *취약점 점검 계획서 | ||
*취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크시스템, 보안시스템, | *취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크시스템, 보안시스템, DMMS 등) | ||
*취약점 점검 이력 | *취약점 점검 이력 | ||
*취약점 조치계획서 | *취약점 조치계획서 | ||
93번째 줄: | 88번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |