ISMS-P 인증 기준 2.11.3.이상행위 분석 및 모니터링: Difference between revisions

Revision as of 21:45, 6 March 2023

항목	2.11.3.이상행위 분석 및 모니터링
인증기준	내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.
주요 확인사항	내‧외부에 의한 침해시도, 개인정보 유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가? 침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?

내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보 시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링 하여야 한다.
- 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
  - 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위
  - 수집 및 분석, 모니터링 방법
  - 담당자 및 책임자 지정
  - 분석 및 모니터링 결과 보고 체계
  - 이상행위 발견 시 대응 절차 등
- 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려
침해시도, 개인정보유출 시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고, 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지도록 하여야 한다.
- 이상행위 판단을 위한 이상행위 식별기준 및 임계치를 설정하고, 필요시 시스템에 반영
- 설정된 기준 및 임계치를 주기적으로 검토하여 최적화
- 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행

외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁 업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나, 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 대응조치가 이루어지고 있지 않은 경우

@@ Line 20: / Line 20: @@
 ** 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
 *** 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위
-** 수집 및 분석, 모니터링 방법
+*** 수집 및 분석, 모니터링 방법
 *** 담당자 및 책임자 지정
-** 분석 및 모니터링 결과 보고 체계
+*** 분석 및 모니터링 결과 보고 체계
 *** 이상행위 발견 시 대응 절차 등
 ** 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려
@@ Line 29: / Line 29: @@
 ** 설정된 기준 및 임계치를 주기적으로 검토하여 최적화
 ** 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행
 == 증거 자료 ==
 * 이상행위 분석 및 모니터링 현황