ISMS 인증 조항 - 2.10 시스템 및 서비스 보안 관리

구분	변경 전		변경 후
항목	2.10.1 보안시스템 운영		-
상세내용	보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립∙이행하고 보안시스템별 정책적용 현황을 관리하여야 한다.		-
주요 확인사항	∙ 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립∙이행하고 있는가? ∙ 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가? ∙ 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립∙이행하고 있는가? ∙ 보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가? ∙ 보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가? ∙ 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.2 클라우드 보안		-
상세내용	클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유∙노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립∙이행하여야 한다.		-
주요 확인사항	∙ 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가? ∙ 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립∙이행하고 있는가? ∙ 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가? ∙ 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.3 공개서버 보안		-
상세내용	외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집∙저장∙공개 절차 등 강화된 보호대책을 수립∙이행하여야 한다.		-
주요 확인사항	∙ 공개서버를 운영하는 경우 이에 대한 보호대책을 수립∙이행하고 있는가? ∙ 공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가? ∙ 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립∙이행하고 있는가? ∙ 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.4 전자거래 및 핀테크 보안		-
상세내용	전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작∙사기 등의 침해사고 예방을 위해 인증∙암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.		-
주요 확인사항	∙ 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립∙이행하고 있는가? ∙ 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송∙수신되는 관련 정보의 보호를 위한 대책을 수립∙이행하고 안전성을 점검하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.5 정보전송 보안		-
상세내용	타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.		-
주요 확인사항	∙ 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가? ∙ 업무상 조직 간에 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립∙이행하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.6 업무용 단말기기 보안		-
상세내용	PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.		-
주요 확인사항	∙ PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립∙이행하고 있는가? ∙ 업무용 단말기를 통해 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립∙이행하고 있는가? ∙ 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유∙노출을 방지하기 위하여 보안대책을 적용하고 있는가? ∙ 업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.7 보조저장매체 관리		-
상세내용	보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립∙이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관하여야 한다.		-
주요 확인사항	∙ 외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립∙이행하고 있는가? ∙ 보조저장매체 보유현황, 사용 및 관리실태를 주기적으로 점검하고 있는가? ∙ 주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가? ∙ 보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가? ∙ 개인정보 또는 중요정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.8 패치관리		-
상세내용	소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.		-
주요 확인사항	∙ 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립∙이행하고 있는가? ∙ 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가? ∙ 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? ∙ 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? ∙ 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.10.9 악성코드 통제		-
상세내용	바이러스∙웜∙트로이목마∙랜섬웨어 등의 악성코드로부터 개인정보 및 중요정보, 정보시스템 및 업무용 단말기 등을 보호하기 위하여 악성코드 예방∙탐지∙대응 등의 보호대책을 수립∙이행하여야 한다.		-
주요 확인사항	∙ 바이러스, 웜, 트로이목마, 랜섬웨어 등의 악성코드로부터 정보시스템 및 업무용단말기 등을 보호하기 위하여 보호대책을 수립∙이행하고 있는가? ∙ 백신 소프트웨어 등 보안프로그램을 통하여 최신 악성코드 예방∙탐지 활동을 지속적으로 수행하고 있는가? ∙ 백신 소프트웨어 등 보안프로그램은 최신의 상태로 유지하고 필요시 긴급 보안업데이트를 수행하고 있는가? ∙ 악성코드 감염 발견 시 악성코드 확산 및 피해 최소화 등의 대응절차를 수립∙이행하고 있는가?		-