ISMS 인증기준 – 정보보호대책 (접근통제)

접근통제 정책 10.1.1 접근통제 정책 수립 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다. 접근 통제영역을 정의하고 접근 통제영역별로 접근통제 정책을 수립하고 있는가? 접근통제 영역별 통제 규칙, 방법, 절차 등 예외사항에 대한 안전한 관리절차 ㅇ 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 …

Read more

ISMS 인증기준 – 정보보호대책 (암호통제)

9.1 암호 정책 9.1.1 암호 정책 수립 조직의 중요정보 보호를 위하여 암호화 대상, 암호 강도(복잡도), 키관리, 암호사용에 대한 정책을 수립하고 이행하여야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영하여야 한다. 개인정보 등 중요정보의 전송 및 저장 시 안전한 보호를 위한 암호 정책을 수립 ∙ 이행하고 있는가? …

Read more

ISMS 인증기준 – 정보보호대책 (시스템개발보안)

분석 및 설계 보안관리 8.1.1 보안 요구사항 정의 신규 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안요구사항을 명확히 정의하고 이를 적용하여야 한다. 신규 정보시스템 개발 및 기존 시스템 변경 시 법적 요구사항을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는가? ㅇ 신규 정보시스템 …

Read more

ISMS 인증기준 – 정보보호대책 (물리적보안)

물리적 보호구역 7.1.1 보호구역 지정 비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 ∙ 이행하여야 한다. 주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 다음과 같이 정의하고 구역별 보호대책을 수립 ∙ 이행하고 있는가? 접견구역 : 외부인 접견 구역 …

Read more

ISMS 인증기준 – 정보보호대책 (인적보안)

정보보호 책임 6.1.1 주요 직무자 지정 및 감독 인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급하는 임직원의 경우 주요직무자로 지정하고 주요직무자 지정을 최소화 하는 등 관리할 수 있는 보호대책을 수립하여야 한다. 조직 내 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하고 있는가? ㅇ 다음을 주요직무로 분류할 수 있으며 이 업무를 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호교육)

5.1 교육 프로그램 수립 5.1.1 교육 계획 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하여야 한다. 정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하고 있는가? ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다. – …

Read more

ISMS 인증기준 – 정보보호대책 (정보자산분류)

4.1 정보자산 식별 및 책임 4.1.1 정보자산 식별 조직의 업무특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다. 또한 식별된 정보자산을 목록으로 관리하여야 한다. 정보자산(정보시스템, 정보보호시스템, 정보)의 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하고 있는가? ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다. ※ 정보자산 ※ …

Read more