Home » security

Category: security

ISMS 인증기준 – 정보보호대책 (시스템개발보안)

분석 및 설계 보안관리 8.1.1 보안 요구사항 정의 신규 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안요구사항을 명확히 정의하고 이를 적용하여야 한다. 신규 정보시스템 개발 및 기존 시스템 변경 시 법적 요구사항을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는가? ㅇ 신규 정보시스템 …

Read more

ISMS 인증기준 – 정보보호대책 (물리적보안)

물리적 보호구역 7.1.1 보호구역 지정 비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 ∙ 이행하여야 한다. 주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 다음과 같이 정의하고 구역별 보호대책을 수립 ∙ 이행하고 있는가? 접견구역 : 외부인 접견 구역 …

Read more

ISMS 인증기준 – 정보보호대책 (인적보안)

정보보호 책임 6.1.1 주요 직무자 지정 및 감독 인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급하는 임직원의 경우 주요직무자로 지정하고 주요직무자 지정을 최소화 하는 등 관리할 수 있는 보호대책을 수립하여야 한다. 조직 내 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하고 있는가? ㅇ 다음을 주요직무로 분류할 수 있으며 이 업무를 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호교육)

5.1 교육 프로그램 수립 5.1.1 교육 계획 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하여야 한다. 정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하고 있는가? ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다. – …

Read more

ISMS 인증기준 – 정보보호대책 (정보자산분류)

4.1 정보자산 식별 및 책임 4.1.1 정보자산 식별 조직의 업무특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다. 또한 식별된 정보자산을 목록으로 관리하여야 한다. 정보자산(정보시스템, 정보보호시스템, 정보)의 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하고 있는가? ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다. ※ 정보자산 ※ …

Read more

ISMS 인증기준 – 정보보호대책 (외부자보안)

3.1 보안요구사항 정의 3.1.1 외부자 계약 시 보안요구사항 조직의 정보처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시하여야 한다. 조직의 정보처리 업무를 외부자에게 위탁하는 경우 다음과 같은 보안요구사항을 정의하여 계약 시 반영하고 있는가? 정보보호 관련 법률 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호조직)

2.1 조직 체계 2.1.1 정보보호 최고책임자 지정 최고경영자는 임원급의 정보보호 최고책임자를 지정하고 정보보호 최고책임자는 정보보호정책 수립, 정보보호 조직 구성, 위험관리, 정보보호위원회 운영 등의 정보보호에 관한 업무를 총괄 관리하여야 한다. 최고경영자는 조직의 정보보호 관련 업무를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하고 있는가? ㅇ 최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 …

Read more