개인정보의 안전성 확보조치 기준(행정안전부고시 제2011 – 제43호)

목적 정의 내부관리계획의 수립·시행 접근 권한의 관리 비밀번호 관리 접근통제 시스템 설치 및 운영 개인정보의 암호화 접속기록의 보관 및 위․변조 방지 보안프로그램 설치 및 운영 물리적 접근 제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․변조․훼손되지 아니하도록 안전성을 확보하기 …

Read more

ISMS 인증기준 – 정보보호대책 (IT재해복구)

13.1 체계 구축 13.1.1 IT 재해복구 체계 구축 자연재앙, 해킹, 통신장애, 전력중단 등의 요인으로 인해 IT 시스템 중단 또는 파손 등 피해가 발생할 경우를 대비하여 비상 시 복구조직, 비상연락체계, 복구절차 등 IT 재해복구 체계를 구축하여야 한다. 다음과 같은 내용을 포함하는 IT 재해복구 체계를 구축하고 있는가? 재해 시 복구조직 및 역할 정의 비상연락체게 복구순서 정의 복구전략 …

Read more

ISMS 인증기준 – 정보보호대책 (침해사고관리)

12.1 절차 및 체계 12.1.1 침해사고 대응절차 수립 DDoS 등 침해사고 유형별 중요도 분류, 유형별 보고 대응․복구 절차, 비상연락체계, 훈련 시나리오 등을 포함한 침해사고 대응 절차를 수립하여야 한다. 침해사고대응절차가 수립되어 있고 대응절차에는 다음과 같은 사항을 포함하고 있는가? 침해사고의 정의 및 범위 (중요도 및 유형 포함) 침해사고 선포절차 및 방법 비상연락체계 침해사고 발생시 기록, 보고절차 침해사고 …

Read more

ISMS 인증기준 – 정보보호대책 (운영보안)

11.1 운영 절차 및 변경 관리 11.1.1 운영절차 수립 정보시스템 동작, 문제 발생 시 재 동작 및 복구, 오류 및 예외사항 처리 등 시스템 운영을 위한 절차를 수립하여야 한다. 정보시스템 운영을 위한 운영절차(또는 매뉴얼)를 수립하고 있는가? ㅇ “정보시스템”은 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신 및 그 활용과 관련되는 기기와 …

Read more

ISMS 인증기준 – 정보보호대책 (접근통제)

접근통제 정책 10.1.1 접근통제 정책 수립 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다. 접근 통제영역을 정의하고 접근 통제영역별로 접근통제 정책을 수립하고 있는가? 접근통제 영역별 통제 규칙, 방법, 절차 등 예외사항에 대한 안전한 관리절차 ㅇ 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 …

Read more

ISMS 인증기준 – 정보보호대책 (암호통제)

9.1 암호 정책 9.1.1 암호 정책 수립 조직의 중요정보 보호를 위하여 암호화 대상, 암호 강도(복잡도), 키관리, 암호사용에 대한 정책을 수립하고 이행하여야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영하여야 한다. 개인정보 등 중요정보의 전송 및 저장 시 안전한 보호를 위한 암호 정책을 수립 ∙ 이행하고 있는가? …

Read more

ISMS 인증기준 – 정보보호대책 (시스템개발보안)

분석 및 설계 보안관리 8.1.1 보안 요구사항 정의 신규 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안요구사항을 명확히 정의하고 이를 적용하여야 한다. 신규 정보시스템 개발 및 기존 시스템 변경 시 법적 요구사항을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는가? ㅇ 신규 정보시스템 …

Read more

ISMS 인증기준 – 정보보호대책 (물리적보안)

물리적 보호구역 7.1.1 보호구역 지정 비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 ∙ 이행하여야 한다. 주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 다음과 같이 정의하고 구역별 보호대책을 수립 ∙ 이행하고 있는가? 접견구역 : 외부인 접견 구역 …

Read more

ISMS 인증기준 – 정보보호대책 (인적보안)

정보보호 책임 6.1.1 주요 직무자 지정 및 감독 인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급하는 임직원의 경우 주요직무자로 지정하고 주요직무자 지정을 최소화 하는 등 관리할 수 있는 보호대책을 수립하여야 한다. 조직 내 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하고 있는가? ㅇ 다음을 주요직무로 분류할 수 있으며 이 업무를 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호교육)

5.1 교육 프로그램 수립 5.1.1 교육 계획 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하여야 한다. 정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하고 있는가? ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다. – …

Read more