ISMS-P 인증 기준 2.11.2.취약점 점검 및 조치: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
(10 intermediate revisions by 4 users not shown) | |||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.11.2.취약점 점검 및 조치 | !2.11.2.취약점 점검 및 조치 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. | |정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? | *정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? | ||
* 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? | **(가상자산사업자) 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? | ||
* 최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? | ***대외서비스: 반기 1회 이상 | ||
* 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가? | ***내부시스템: 연1회 이상 | ||
*발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? | |||
*최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? | |||
*취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가? | |||
|- | |||
|'''관련법규''' | |||
| | |||
*개인정보 보호법 제29조(안전조치의무) | |||
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검), 제6조 (접근통제) | |||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 취약점 점검 절차 수립 및 정기적 수행 ==== | |||
정보시스템 취약점 점검 절차를 수립하고, 정기적으로 점검을 수행하여야 한다. | |||
*취약점 점검 절차에 포함되어야 할 사항 | |||
**취약점 점검 대상(예: 서버, 네트워크 장비 등) | |||
**취약점 점검 주기(법적 요구사항, 중요도 등 고려) | |||
**취약점 점검 담당자 및 책임자 지정 | |||
**취약점 점검 절차 및 방법 등 | |||
**중요도에 따른 조치 기준 | |||
**취약점 점검 결과 보고 절차 | |||
**미조치 취약점에 대한 보안성 검토 등 | |||
**기타 보안사고 예방 및 복구를 위하여 필요한 사항 등 | |||
*취약점 점검 대상 | |||
**라우터, 스위치 등 네트워크시스템 구성 및 설정 취약점 | |||
**서버 OS 보안 설정 취약점 | |||
**방화벽 등 보안시스템 취약점 | |||
**애플리케이션 취약점 | |||
**웹서비스 취약점 | |||
**스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등 | |||
*취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려 | |||
*개인정보처리자는 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항을 내부 관리계획에 포함하여 수립·시행 필요(개인정보의 안전성 확보조치 기준 제4조제1항제10호) | |||
==== 발견된 취약점 조치 및 보고 ==== | |||
발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고하여야 한다. | |||
*취약점 점검 시 이력관리가 될 수 있도록 점검일시, 점검대상, 점검방법, 점검내용 및 결과, 발견사항, 조치사항 등이 포함된 보고서 작성 | |||
*취약점별로 대응조치 완료 후 이행점검 등을 통하여 완료 여부 확인 | |||
*불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고 | |||
==== 최신 취약점 모니터링 및 영향도 분석 ==== | |||
최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. | |||
*정기적인 보안취약점 점검 외에도 지속적으로 최신 보안취약점 파악 | |||
*최신 보안취약점이 발견된 경우 해당 보안취약점이 정보시스템에 미치는 영향을 분석하여 필요시 대응 조치 | |||
==== 취약점 점검 이력 관리 및 재발 방지 ==== | |||
취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대한 보호대책을 마련하여야 한다. | |||
*취약점 점검 이력에 대한 기록관리 | |||
*취약점 점검 시 지난 취약점 점검결과와 비교 분석하여 취약점 재발 여부 확인 | |||
*유사한 취약점이 재발되고 있는 경우 근본원인 분석 및 재발방지 대책 마련 | |||
==증거 자료== | |||
*취약점 점검 계획서 | |||
*취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크시스템, 보안시스템, DBMS 등) | |||
*취약점 점검 이력 | |||
*취약점 조치계획서 | |||
*취약점 조치완료보고서 | |||
*모의해킹 계획서/결과보고서 | |||
==결함 사례== | |||
*내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우 | |||
*취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, |
Latest revision as of 21:07, 22 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.11.사고 예방 및 대응
개요[edit | edit source]
항목 | 2.11.2.취약점 점검 및 조치 |
---|---|
인증기준 | 정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. |
주요 확인사항 |
|
관련법규 |
|
세부 설명[edit | edit source]
취약점 점검 절차 수립 및 정기적 수행[edit | edit source]
정보시스템 취약점 점검 절차를 수립하고, 정기적으로 점검을 수행하여야 한다.
- 취약점 점검 절차에 포함되어야 할 사항
- 취약점 점검 대상(예: 서버, 네트워크 장비 등)
- 취약점 점검 주기(법적 요구사항, 중요도 등 고려)
- 취약점 점검 담당자 및 책임자 지정
- 취약점 점검 절차 및 방법 등
- 중요도에 따른 조치 기준
- 취약점 점검 결과 보고 절차
- 미조치 취약점에 대한 보안성 검토 등
- 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
- 취약점 점검 대상
- 라우터, 스위치 등 네트워크시스템 구성 및 설정 취약점
- 서버 OS 보안 설정 취약점
- 방화벽 등 보안시스템 취약점
- 애플리케이션 취약점
- 웹서비스 취약점
- 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등
- 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려
- 개인정보처리자는 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항을 내부 관리계획에 포함하여 수립·시행 필요(개인정보의 안전성 확보조치 기준 제4조제1항제10호)
발견된 취약점 조치 및 보고[edit | edit source]
발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고하여야 한다.
- 취약점 점검 시 이력관리가 될 수 있도록 점검일시, 점검대상, 점검방법, 점검내용 및 결과, 발견사항, 조치사항 등이 포함된 보고서 작성
- 취약점별로 대응조치 완료 후 이행점검 등을 통하여 완료 여부 확인
- 불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고
최신 취약점 모니터링 및 영향도 분석[edit | edit source]
최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.
- 정기적인 보안취약점 점검 외에도 지속적으로 최신 보안취약점 파악
- 최신 보안취약점이 발견된 경우 해당 보안취약점이 정보시스템에 미치는 영향을 분석하여 필요시 대응 조치
취약점 점검 이력 관리 및 재발 방지[edit | edit source]
취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대한 보호대책을 마련하여야 한다.
- 취약점 점검 이력에 대한 기록관리
- 취약점 점검 시 지난 취약점 점검결과와 비교 분석하여 취약점 재발 여부 확인
- 유사한 취약점이 재발되고 있는 경우 근본원인 분석 및 재발방지 대책 마련
증거 자료[edit | edit source]
- 취약점 점검 계획서
- 취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크시스템, 보안시스템, DBMS 등)
- 취약점 점검 이력
- 취약점 조치계획서
- 취약점 조치완료보고서
- 모의해킹 계획서/결과보고서
결함 사례[edit | edit source]
- 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우
- 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)