ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축: 두 판 사이의 차이

IT위키
(Imported from text file)
편집 요약 없음
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.11.1.사고 예방 및 대응체계 구축
!2.11.1.사고 예방 및 대응체계 구축
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
|침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 [[침해사고 대응체계|체계]]와 [[침해사고 대응절차|절차]]를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 침해사고 및 개인정보 유출사고를 예방하고 사고 발생시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
*침해사고 및 개인정보 유출사고를 예방하고 사고 발생시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
* 보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축‧운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
*보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축‧운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
* 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
*침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
*침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음 내용을 포함하여 마련하여야 한다.
**침해사고의 정의 및 범위(개인정보 유출사고, 서비스거부공격 등)
**침해사고 유형 및 중요도
**침해사고 선포절차 및 방법
**비상연락망 등의 연락체계
**침해사고 탐지 체계
**침해사고 발생 시 기록, 보고절차
**침해사고 신고 및 통지 절차(관계기관, 정보주체 및 이용자 등)
**침해사고 보고서 작성
**침해사고 중요도 및 유형에 따른 대응 및 복구 절차
**침해사고 복구조직의 구성, 책임 및 역할
**침해사고 복구장비 및 자원조달
**침해사고 대응 및 복구 훈련, 훈련 시나리오
**외부 전문가나 전문기관의 활용방안
**기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
*보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축·운영하는 경우 침해사고 대응절차의 세부사항을 계약서([[SLA]] 등)에 반영하여야 한다.
**보안관제서비스의 범위
**침해 징후 발견 시 보고 및 대응 절차
**침해사고 발생 시 보고 및 대응절차
**침해사고 발생에 따른 책임 및 역할에 관한 사항 등
*침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과 협조체계를 수립하여야 한다.
 
==증거 자료==
 
*침해사고 대응 지침·절차·매뉴얼
*침해사고 대응 조직도 및 비상연락망
*보안관제서비스 계약서(SLA 등)
 
==결함 사례==
 
*침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
*내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
*침해사고 대응 조직도 및 [[비상연락망]] 등을 현행화하지 않고 있거나, 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
*침해사고 신고·통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나, 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
*외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나, 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 [[SLA]]에 명확하게 정의되지 않은 경우
*[[침해사고 대응절차]]를 수립하였으나, 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음 내용을 포함하여 마련하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 침해사고의 정의 및 범위(개인정보 유출사고, 서비스거부공격 등)
** 침해사고 유형 및 중요도
** 침해사고 선포절차 및 방법
** 비상연락망 등의 연락체계
** 침해사고 탐지 체계
** 침해사고 발생 시 기록, 보고절차
** 침해사고 신고 및 통지 절차(관계기관, 정보주체 및 이용자 등)
** 침해사고 보고서 작성
** 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
** 침해사고 복구조직의 구성, 책임 및 역할
** 침해사고 복구장비 및 자원조달
** 침해사고 대응 및 복구 훈련, 훈련 시나리오
** 외부 전문가나 전문기관의 활용방안
** 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
* 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축·운영하는 경우 침해사고 대응절차의 세부사항을 계약서(SLA 등)에 반영하여야 한다.
** 보안관제서비스의 범위
** 침해 징후 발견 시 보고 및 대응 절차
** 침해사고 발생 시 보고 및 대응절차
** 침해사고 발생에 따른 책임 및 역할에 관한 사항 등
* 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과 협조체계를 수립하여야 한다.
== 증거 자료 ==
* 침해사고 대응 지침·절차·매뉴얼
* 침해사고 대응 조직도 및 비상연락망
* 보안관제서비스 계약서(SLA 등)
== 결함 사례 ==
* 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
* 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
* 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나, 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
* 침해사고 신고·통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나, 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
* 외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나, 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우
* 침해사고 대응절차를 수립하였으나, 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

2022년 5월 26일 (목) 11:08 판


개요

항목 2.11.1.사고 예방 및 대응체계 구축
인증기준 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
주요 확인사항
  • 침해사고 및 개인정보 유출사고를 예방하고 사고 발생시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
  • 보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축‧운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
  • 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?

세부 설명

  • 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 다음 내용을 포함하여 마련하여야 한다.
    • 침해사고의 정의 및 범위(개인정보 유출사고, 서비스거부공격 등)
    • 침해사고 유형 및 중요도
    • 침해사고 선포절차 및 방법
    • 비상연락망 등의 연락체계
    • 침해사고 탐지 체계
    • 침해사고 발생 시 기록, 보고절차
    • 침해사고 신고 및 통지 절차(관계기관, 정보주체 및 이용자 등)
    • 침해사고 보고서 작성
    • 침해사고 중요도 및 유형에 따른 대응 및 복구 절차
    • 침해사고 복구조직의 구성, 책임 및 역할
    • 침해사고 복구장비 및 자원조달
    • 침해사고 대응 및 복구 훈련, 훈련 시나리오
    • 외부 전문가나 전문기관의 활용방안
    • 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
  • 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축·운영하는 경우 침해사고 대응절차의 세부사항을 계약서(SLA 등)에 반영하여야 한다.
    • 보안관제서비스의 범위
    • 침해 징후 발견 시 보고 및 대응 절차
    • 침해사고 발생 시 보고 및 대응절차
    • 침해사고 발생에 따른 책임 및 역할에 관한 사항 등
  • 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과 협조체계를 수립하여야 한다.

증거 자료

  • 침해사고 대응 지침·절차·매뉴얼
  • 침해사고 대응 조직도 및 비상연락망
  • 보안관제서비스 계약서(SLA 등)

결함 사례

  • 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
  • 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
  • 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나, 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
  • 침해사고 신고·통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나, 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
  • 외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나, 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우
  • 침해사고 대응절차를 수립하였으나, 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
원본 주소 "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_2.11.1.사고_예방_및_대응체계_구축&oldid=28705"