Home » ISMS 인증기준 – 정보보호대책 (침해사고관리)

ISMS 인증기준 – 정보보호대책 (침해사고관리)

12.1 절차 및 체계

12.1.1 침해사고 대응절차 수립

DDoS 등 침해사고 유형별 중요도 분류, 유형별 보고 대응․복구 절차, 비상연락체계, 훈련 시나리오 등을 포함한 침해사고 대응 절차를 수립하여야 한다.

  • 침해사고대응절차가 수립되어 있고 대응절차에는 다음과 같은 사항을 포함하고 있는가?
    • 침해사고의 정의 및 범위 (중요도 및 유형 포함)
    • 침해사고 선포절차 및 방법
    • 비상연락체계
    • 침해사고 발생시 기록, 보고절차
    • 침해사고 신고 및 통지 절차 (관계기관, 이용자 등)
    • 침해사고 보고서 작성
    • 침해사고 대응 및 복구 절차
    • 침해사고 복구조직의 구성 및 책임, 역할
    • 침해사고 복구장비 및 자원조달
    • 침해사고 대응 및 복구 훈련, 훈련 시나리오
    • 외부 전문가나 전문기관의 활용방안
    • 기타 보안사고 예방 및 복구를 위하여 필요한 사항

12.1.2 침해사고 대응체계 구축

침해사고 대응이 신속하게 이루어질 수 있도록 중앙 집중적인 대응체계를 구축하고 외부기관 및 전문가들과의 협조체계를 수립하여야 한다.

  • 침해사고를 모니터링 하고 신속하게 대응할 수 있도록 모니터링 및 대응 방법, 절차, 대응 조직 및 인력, 보고 및 승인 방법 등을 포함한 중앙집중적인 대응체계를 수립하고 있는가?
  • 침해사고가 유형 및 중요도에 따라 분류되어 있고 이에 따른 보고체계를 정의하고 있는가?
  • 외부관제시스템 등 외부 기관을 통해 침해사고 대응체계를 구축 ∙ 운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
  • 침해사고의 모니터링, 대응 및 처리와 관련된 외부전문가, 전문업체, 전문기관(KISA) 등과의 협조체계를 수립하고 있는가?

12.2 대응 및 복구

12.2.1 침해사고 훈련

침해사고 대응 절차를 임직원들이 숙지할 수 있도록 시나리오에 따른 모의훈련을 실시하여야 한다.

  • 침해사고 대응절차에 관한 모의훈련계획을 수립하고 이에 따라 주기적으로 훈련을 실시하고 있는가?

12.2.2 침해사고 보고

침해사고 징후 또는 사고 발생을 인지한 때에는 침해사고 유형별 보고절차에 따라 신속히 보고하고 법적 통지 및 신고 의무를 준수하여야 한다.

  • 침해사고의 징후 또는 침해사고 발생을 인지한 경우 정의된 침해사고 보고절차에 따라 신속하게 보고가 이루어지고 있는가?

  • 침해사고보고서에는 사고 날짜, 사고 내용 등 필요 내용을 모두 포함하고 있는가?
    ㅇ 침해사고 발생시 침해사고보고서가 작성되어야 하고, 보고서에는 다음과 같은 사항이 포함하여야 한다.

    • 침해사고 발생일시
    • 보고자와 보고일시
    • 사고내용 (발견사항, 피해내용 등)
    • 사고대응 경과 내용
    • 사고대응까지의 소요시간 등
  • 침해사고가 조직에 미치는 영향이 심각할 경우 최고경영층까지 신속하게 보고하고 있는가?

  • 침해사고 발생 시 관련 법률 및 규정에 따라 신고, 통지하는 절차를 따르고 있는가?
    ㅇ 침해사고 발생 시 법률이나 규정 등에 따라 관계기관에 신고하여야 하며 개인정보와 관련한 침해사고는 이용자(정보주체)에게 신속하게 통지하여야 한다.
    ※ 참고 ※

    • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등)
    • 개인정보보호법 제34조(개인정보 유출 통지 등)

12.2.3 침해사고 처리 및 복구

침해사고 대응절차에 따라 처리와 복구를 신속하게 수행하여야 한다.

  • 침해사고가 발생한 경우 절차에 따라 처리 및 복구를 수행하고 그 기록을 남기고 있는가?
    • 처리 및 복구 일시
    • 담당자
    • 처리 및 복구 방법
    • 처리 및 복구 수행 경과 내용 (예 : 시작부터 종료까지 시간순으로 작성)

12.3 사후관리

12.3.1 침해사고 분석 및 공유

침해사고가 처리되고 종결된 후 이에 대한 분석을 수행하고 그 결과를 보고하여야 한다. 또한 사고에 대한 정보와 발견된 취약점들을 관련 조직 및 임직원들과  공유하여야 한다.

  • 침해사고가 종결된 후 사고의 원인을 분석하고 그 결과를 보고하고 있는가?
  • 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하고 있는가?

12.3.2 재발방지

침해사고로부터 얻은 정보를 활용하여, 유사 사고가 반복되지 않도록 재발방지 대책을 수립하고 이를 위해 필요한 경우 정책, 절차, 조직 등의 대응체계를 변경하여야 한다.

  • 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?