익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
정보보호조치에 관한 지침
편집하기 (부분)
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
== 보호조치의 구체적인 내용(별표1) == {| class="wikitable" | colspan="3" |'''구 분''' |'''세 부 조 치 사 항''' |- | rowspan="16" |1.관 리 적 보 호 조 치 | rowspan="3" |1.1. 정보보호 조직의 구성․운영 |1.1.1. 정보보호조직의 구성 | * 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직을 운영 |- |1.1.2. 정보보호 최고 책임자의 지정 | * 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정 |- |1.1.3. 정보보호조직 구성원의 역할 | * 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘 * 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리 * 정보보호담당자는 정보보호 업무의 분야별 실무를 담당 |- | rowspan="4" |1.2. 정보보호 계획 등의 수립 및 관리 |1.2.1. 정보보호 방침의 수립․이행 | * 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립 * 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행 |- |1.2.2. 정보보호 실행계획의 수립․이행 | * 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립 * 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검 |- |1.2.3. 정보보호 실무지침의 마련․준수 | * 정보통신설비 및 시설에 대한 관리적․기술적․물리적 보호조치의 구체적인 시행 방법․절차 등을 규정한 정보보호 실무지침을 마련 * 정보보호 최고책임자가 실무지침을 승인하고 관련 법․제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리 |- |1.2.4. 정보보호 사전점검 | * 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호에 관한 사항을 고려 |- | rowspan="3" |1.3. 인적 보안 |1.3.1. 내부인력 보안 | * 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근 권한을 제거 * 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시 * 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하는 자에게 정기적으로 정보보호 교육 실시 |- |1.3.2. 외부인력 보안 | * 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구 |- |1.3.3. 위탁운영 보안 | * 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무 중단에 따른 비상대책’ 등을 반영 |- | rowspan="2" |1.4. 이용자 보호 |1.4.1. 정보보호 정보 제공 | * 이용자에게 침해사고 예․경보, 보안취약점, 계정․비밀번호 관리방안 등의 정보를 지속적으로 제공 |- |1.4.2. 정보보호 현황 공개 | * 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개 |- |1.5. 침해사고 대응 |1.5.1. 침해사고 대응 계획의 수립․이행 | * 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획을 마련․시행 |- |1.6. 정보보호 조치 점검 |1.6.1. 정보보호조치의 자체 점검 | * 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침의 기준에 따라 자체적으로 정보보호 현황을 점검 |- |1.7. 정보자산 관리 |1.7.1. 정보통신설비 및 시설의 현황 관리 | * 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완․관리 * 정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네트워크와 분리된 환경에서 안전하게 관리 |- |1.8. 정보보호 투자 |1.8.1. 정보보호 투자계획 수립․이행 | * 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기술부문 예산의 5%이상)의 정보보호 예산 편성 및 집행 |- | rowspan="18" | 2. 기 술 적 보 호 조 치 | rowspan="4" |2.1. 네트워크 보안 |2.1.1. 트래픽 모니터링 | * 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링 |- |2.1.2. 무선서비스 보안 | * 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인증, 데이터암호화 등 보안조치를 마련 |- |2.1.3. 정보보호시스템 설치․운영 | * 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설치․운영 |- |2.1.4. 정보보호를 위한 모니터링 | * 주요시스템․네크워크 사용 및 접근이 명확하게 허용된 범위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위탁운영을 통하여 침해사고 탐지․대응 체계 운영 |- | rowspan="14" |2.2. 정보통신 설비 보안 |2.2.1. 웹서버 보안 | * 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치 |- |2.2.2. DNS서버 보안 | * 과부하에 대비한 부하분산 대책을 마련 * 설정파일 백업 실시 |- |2.2.3. DHCP서버 보안 | * 과부하에 대비한 부하분산 대책을 마련= * 설정파일 백업 실시 * IP 할당 상황 등에 대한 로그기록 유지․관리 |- |2.2.4. DB서버 보안 | * 내부망에 설치 * 외부망에서 직접 접속할 수 없도록 네트워크를 구성 |- |2.2.5. 라우터/스위치 보안 | * ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용 |- |2.2.6. 정보보호시스템 보안 | * 이상징후 탐지를 알리는 경고 기능을 설정하여 운영 * 정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검(월 1회 이상) |- |2.2.7. 취약점 점검 | * 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완 |- |2.2.8. 접근통제 및 보안설정 관리 | * 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화 * 불필요한 프로토콜 및 서비스 제거 등 보안설정 |- |2.2.9. 관리자 계정의 비밀번호 관리 | * 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수로 설정 * 최소 3개월에 1회 이상 비밀번호 변경 |- |2.2.10. 로그 관리 | * 최소 1개월 이상 로그기록 유지․관리(정보보호시스템은 3개월) |- |2.2.11. 보안패치 관리 | * 보안패치 정보를 주기적으로 입수하고 적용 * 주요 보안패치에 대해서는 적용일 등 패치정보를 기록․관리 |- |2.2.12. 백업 및 복구 | * 주요정보를 주기적으로 백업 * 백업 담당자, 백업 및 복구 방법․절차․주기 등을 기록․관리 |- |2.2.13. 중요정보의 암호화 | * 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장 * 주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리듬으로 암호화하여 저장 |- |2.2.14. 관리용 단말 보안 | * 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용 * 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있도록 통제 * 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소프트웨어 예방․탐지 활동 실시 |- | rowspan="2" |3. 물 리 적 보 호 조 치 |3.1. 출입 및 접근 보안 |3.1.1. 정보통신시설의 출입․접근 통제 | * 비인가자가 출입할 수 없도록 잠금장치를 설치 * 출입자의 기록을 1개월 이상 유지․보관 |- |3.2. 부대설비 및 시설 운영․관리 |3.2.1. 백업설비 및 시설 설치․운영 | * 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치․운영 |} 비고 * 1. 2.2.7~2.2.14의 사항은 2.2.1~2.2.6에 해당하는 설비에 적용된다. * 2. 2.1.1.의 규정에 따른 주요회선에 대한 트래픽 소통량 모니터링은 관리자 등이 모니터링 현장에 상주하지 않는 방법으로 실시할 수 있다. * 2.2.11.의 규정에 따른 보안패치 정보의 입수․적용 주기는 정보보호관리자의 판단에 따라 정한다.
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록