sua 강의자료 2주차_관리체계(2014.03.18)_최종
TRANSCRIPT
보안 읽어주는 남자
ISMS, PIMS, ISO 27001
2013년 1200 억(원) 규모였던
국내 보안컨설팅 시장은정보통신 기반시설이 늘어나고,ISMS 의무 인증이 시행됨에 따라
20% 이상 성장할 것.
미래부는 지난해 12월 보안업체 12개,
시스템통합(SI)·감리업체가 8개로부터 신규 지정 신청을 받고 심사에 착수
관련 법령정보통신산업 진흥법 제33조(지식정보보안 컨설팅 전문업체의 지정)정보통신산업 진흥법 시행규칙 제7조 ~ 제17조지식정보보안 컨설팅 전문업체의 지정 등에 관한 고시(지경부 고시 제2009-174호)
지식정보보안 컨설팅 전문업체 운영목적은?
기반시설 관리기관이 전자적 침해행위에 효과적으로 대응할 수 있도록전문업체를 적극 활용하여 주요정보통신기반시설의 취약점 분석·평가
업무 및 보호대책 수립업무를 지원하기 위함
정보보호관리체계를 사용하는 이유는?
관리체계를 도입하여 실제 사이클 대로 움직여 본다면전체적인 맥락에서 우리 기업에서 정보를 보호해야 할 자산을 식별할
수 있고, 위험도를 산정하여 중요도를 체크해서 관리할 수 있다. 이를 통해 갑작스러운 사고나 장애에 대비하여 즉각적 대응이 가능하다.
정보보호관리체계를 3가지 측면에서 살펴보겠습니다.
비교를 통해 공통점과 차이점을 살펴보도록 하겠습니다.
SUA ISMS
ISMS+
ISO27001+
PIMS
Structure Cycle
Category
Content
관리과정 과
보호대책 으로 구성
PIMS는 생명주기 추가
→ Plan
→ Do
→ See
통제분야 : 15개 (평균)
통제항목 : 122개 (평균)전문적인 용어중복되는 내용
SUA ISMS
1. 정책관리2. 조직관리3. 인적보안관리4. 자산관리5. 교육관리6. 물리적보안관리7. 개발보안관리8. 운영관리
9. 네트워크보안관리10. 서버보안관리11. 응용프로그램보안관리12. 전자거래 보안관리13. 데이터베이스보안관리14. 침해사고관리15. 매체관리16. 보안감사
16가지 통제항목에 대해 자세히 살펴보겠습니다.
PDS 개념을 활용해 볼까요?
Plan
See
DoCheck Act
PlanDo
SUA ISMS
1 정책관리
SUA ISMS
No 통제내용 템플릿 References
P.1.1 경영층은 정보보호에 대한 의지가 있다. ISO/IEC 27001 A.6.1.1 정보보안에대한 경영층의 의지
P.1.2 정보보호정책이 수립되어 있다.정보보호정책
ISMS 1.2.2 정책시행 문서 수립ISMS 10.1.1 접근통제 정책 수립ISMS 9.1.1 암호 정책 수립ISMS 9.2.1 암호키 생성 및 이용ISMS 11.3.2 정보전송 정책 수립 및 협약 체결ISMS 1.1.1 정책의 승인
PIMS 1.2.1 지침, 절차 및 표준 수립PIMS 7.1.1 접근통제 정책 수립PIMS 7.2.1 암호 정책PIMS 7.2.3 키 관리PIMS 1.1.1 정책의 승인
ISO/IEC 27001 A.5.1.1 정보보안 정책 문서ISO/IEC 27001 A.11.1.1 접근통제 정책ISO/IEC 27001 A.12.3.1 암호기법 사용의 정책ISO/IEC 27001 A.12.3.2 Key 관리ISO/IEC 27001 A.10.8.1 정보교환 정책 및 절차ISO/IEC 27001 A.10.8.2 교환협정ISO/IEC 27001 A.10.8.4 전자메세지ISO/IEC 27001 A.10.8.5 업무 정보시스템
P.1.3 정보보호세부지침이 수립되어 있다.
정보보호세부지침(조직관리지침, 인적보안지침, 자산관리지침, 교육관리지침, 물리적보안관리지침, 개발보안관리지침, 운영관리지침, 네트워크보안관리지침, 서버보안관리지침, 어플리케이션보안관리지침, 전자거래 보안관리지침, DB 보안관리지침, 침해사고관리지침, 정보유출
관리지침, 감사지침)
SUA ISMS
No 통제내용 템플릿 References
P.1.4정보보호정책이 일관성이 유지되고 있다.(예. 정보보호정책과 세부지침, 절차, 계획의 내용이 동일함)
정보보호정책 PIMS 1.2.2 정책 간의 일관성
P.1.5정보보호정책이 법적 요구사항이 반영되고 있다.(예. 개인정보보호법, 정보통신망법 등이 반영됨)
정보보호정책ISMS 1.2.1 상위 정책과의 연계성PIMS 9.1.1 법적 요구 사항 명시ISO/IEC 27001 A.6.1.6 상급기관과의 연락
D.1.1정보보호정책이 공표되었다.(예. 그룹웨어, 이메일 등을 통해 정보보호정책이 공지됨)
정보보호정책ISMS 1.1.2 정책의 공표PIMS 1.1.2 정책의 공표
S.1.1정보보호정책이 주기적으로 검토되어 개선되고 있다.(예. 정보보호정책이 1년에 1회 이상 검토됨)
정보보호정책
ISMS 1.3.1 정책의 검토ISMS 1.3.2 정책문서 관리
PIMS 1.3.1 정책의 주기적 검토PIMS 1.3.2 정책 문서 관리
ISO/IEC 27001 A.5.1.2 정보보안 정책의 검토
2 조직관리
SUA ISMS
No 통제내용 템플릿 References
P.2.1정보보호조직이 정의되어 있다.(예. 직무기술서 또는 인사관련문서에 조직도, 역할 및 책임이 기술되어 있음)
직무기술서인사관련문서
ISMS 2.1.1 정보보호 최고책임자 지정ISMS 2.2.1 역할 및 책임ISMS 6.1.2 직무 분리
PIMS 2.1.2 개인정보관리책임자(CPO) 지정PIMS 2.2.1 역할 및 책임PIMS 2.1.3 개인정보 취급부서별 책임자 및 담당자 지정PIMS 7.1.6 개인정보 취급자의 책임PIMS 7.3.2 직무 분리
ISO/IEC 27001 A.6.1.2 정보보안 역할 조정ISO/IEC 27001 A.6.1.3 정보보안 책임의 배정ISO/IEC 27001 A.8.1.1 역할 및 책임ISO/IEC 27001 A.10.1.3 책임의 구분
P.2.2정보보호조직의 의사소통 체계가 수립되어있다.
비상연락망 PIMS 2.2.2 보고 및 의사소통체계
D.2.1 정보보호조직이 운영되고 있다.직무기술서인사관련문서
ISMS 2.1.2 실무조직 구성PIMS 2.1.1 개인정보보호조직체계 구성
S.2.1정보보호 관련사항에 대한 검토 및 의사결정이 되고 있다.
정보보호위원회 회의록ISMS 2.1.3 정보보호위원회ISO/IEC 27001 A.6.1.8 정보보안에 대한 독립적인 검토ISO/IEC 27001 A.6.1.7 전문가 이해집단과의 연락
3 인적보안관리
SUA ISMS
No 통제내용 템플릿 References
P.3.1임직원 및 외부자에 대한 정보보호 통제 절차및 계획이 수립되어 있다.
출입통제절차서출입관리대장
ISMS 6.1.1 주요 직무자 지정 및 감독PIMS 5.1.1 개인정보 취급자 감독ISO/IEC 27001 A.8.2.1 관리자 책임 사항
P.3.2외부자 계약 시 보안요구사항이 명시되어 있다.(예. 계약서에 보안관련 패널티 조항이 있음)
외부자 계약서ISMS 3.1.1 외부자 계약 시 보안요구사항ISO/IEC 27001 A.6.2.1 외부업체와 관련된 위험 식별
D.3.1 임직원으로부터 비밀유지서약서를 받고 있다.개인정보보호서약서비밀유지서약서
ISMS 6.1.3 비밀유지서약서PIMS 5.2.1 개인정보보호 서약ISO/IEC 27001 A.6.1.5 기밀유지 서약서ISO/IEC 27001 A.8.1.3 고용 조건과 약정사항
D.3.2퇴직 및 직무변경 시 자산반납 및 접근권한이변경된다.
퇴직자 확인서
ISMS 6.2.1 퇴직 및 직무변경 관리ISO/IEC 27001 A.10.3.3 접근권한의 제거ISO/IEC 27001 A.10.3.2 자산의 반납ISO/IEC 27001 A.10.3.1 퇴직시 책임 사항
D.3.3임직원의 정보보호 활동에 따른 상벌 규정이 있다.
인사규정ISMS 6.2.2 상벌규정PIMS 5.1.2 인사규정ISO/IEC 27001 A.8.2.3 징계
D.3.4 외부자에 대한 보안요구사항이 이행되고 있다. 외부자 보안점검대장ISMS 3.2.1 외부자 보안 이행 관리ISO/IEC 27001 A.10.2.1 서비스 제공
D.3.5 외부자 계약 만료시 보안절차가 수행되고 있다. 외부자 자산반납확인서ISMS 3.2.2 외부자 계약 말료 시 보안ISO/IEC 27001 A.10.2.3 제3자 서비스의 변경관리
S.3.1외부자에 대한 보안요구사항의 이행이 주기적으로 점검되고있다.
외부자 보안점검대장ISO/IEC 27001 A.10.2.2 제3자 서비스의 모니터링 검토
4 자산관리
SUA ISMS
No 통제내용 템플릿 References
P.4.1 정보자산관리 절차 및 계획이 수립되어 있다. 자산관리절차서ISMS 4.1.1 정보자산 식별ISMS 4.1.2 정보자산별 책임할당ISMS 4.2.1 보안등급과 취급ISMS 11.1.2 변경 관리
PIMS 3.1.1 개인정보 조사PIMS 3.1.2 개인정보 및 개인정보 관리 자산별 책임할당PIMS 3.2.2 개인정보 및 개인정보 자산 보안 등급과취급PIMS 7.3.1 정보관련 자산의 변경관리PIMS 7.4.6 변경관리 절차
ISO/IEC 27001 A.7.1.1 자산목록ISO/IEC 27001 A.7.1.3 자산의 허가된 사용방법ISO/IEC 27001 A.7.1.2 자산소유권ISO/IEC 27001 A.7.2.2 정보자산 라벨링 및 취급ISO/IEC 27001 A.7.2.1 분류 지침ISO/IEC 27001 A.8.1.2 선별 심사ISO/IEC27001 A.10.1.2 변경관리ISO/IEC27001 A.12.5.1 변경관리 절차
D.4.1 정보자산이 식별, 분류, 폐기되고 있다. 자산관리대장
S.4.1정보자산의 변경관리가 주기적으로 점검되고있다..
자산관리대장
5 교육관리
SUA ISMS
No 통제내용 템플릿 References
P.5.1 교육 절차 및 계획이 수립되어 있다.교육절차서교육계획서
ISMS 5.1.1 교육계획ISMS 5.1.2 교육대상ISMS 5.1.3 교육 내용 및 방법
PIMS 4.1.1 교육 및 훈련 대상PIMS 4.1.2 교육 및 훈련 내용
ISO/IEC 27001 A.8.2.2 정보보안 인식, 교육 및 훈련
D.5.1교육이 정기적으로 실시되고 있다.(예. 개인정보보호, 모의훈련 등 연 1회 이상교육 이력이 있음)
교육참석자명단교육결과보고서교육이력관리대장
ISMS 5.2.1 교육 시행 및 평가PIMS 4.1.2 교육 및 훈련내용ISMS 12.2.1 침해사고 훈련ISMS 13.2.2 시험 및 유지관리PIMS 6.2.1 침해 사고 대응 교육 및 훈련
S.5.1 교육에 대한 평가가 이루어지고 있다.교육결과보고서교육이력관리대장
PIMS 4.2.2 교육 및 훈련 평가
6 물리적보안관리
SUA ISMS
No 통제내용 템플릿 References
P.6.1보호구역이 지정되었으며 보호 대책이 수립되어 있다.
물리적보안관리절차서
ISMS 7.1.1 보호구역 지정PIMS 8.1.1 물리적 보호 구역ISO/IEC 27001 A.9.1.1 물리적 보안 구역
P.6.2시스템이 특성에 맞게 배치되고 관리될 수있는 체계가 수립되어 있다.
ISMS 7.2.2 시스템 배치 및 관리ISO/IEC 27001 A.9.2.1 설비위치 및 보호
P.6.3정보처리 설비를 위한 허가 절차가 정의되어 있다.
ISO/IEC 27001 A.6.1.4 정보처리 설비에 대한 인가절차
D.6.1비인가자로부터의 사무실 및 개인업무환경에 대한 보호대책이 이행되고 있다.
출입관리대장ISMS 7.3.1 개인업무 환경 보안ISMS 7.3.2 공용업무 환경 보안PIMS 8.3.1 사무실 보호
D.6.2각 보호구역마다 중요도 및 특성에 따른 설비가 운영되고 있다.
자산관리대장ISMS 7.1.2 보호설비ISO/IEC 27001 A.9.1.3 사무실, 룸, 설비에 대한 보안
SUA ISMS
No 통제내용 템플릿 References
D.6.3출력, 복사 시 용도에 따라 출력 항목이 최소화되고 있다.
출력물관리대장 PIMS 7.5.1 출력, 복사 시 용도 특정
D.6.4전력 및 통신 케이블이 방해 또는 손상되지 않도록 보호되고 있다.
자산관리대장ISMS 7.2.1 케이블 보안PIMS 8.2.1 케이블 보호ISO/IEC 27001 A.9.2.3 케이블 보안
D.6.5보호 구역 내∙외의 작업은 절차에 의해 보호되고 있다.
방문신청서출입관리대장
ISMS 7.1.3 보호구역 내 작업ISO/IEC 27001 A.9.1.5 보안지역에서의 작업ISO/IEC 27001 A.9.1.4 보안구역의 보호ISO/IEC 27001 A.9.2.5 외부 설비 보안ISO/IEC 27001 A.10.7.4 시스템문서 보안ISO/IEC 27001 A.11.3.3 책상정리 및 화면정리 정책
S.6.1비인가자에 대한 출입통제가 이루어 지며 관리대장이 주기적으로 검토되고 있다.
출입관리대장
ISMS 7.1.4 출입통제PIMS 8.1.2 물리적 접근 통제ISO/IEC 27001 A.9.1.6 외부접근, 운송 및 적하 지역ISO/IEC 27001 A.9.1.2 물리적인 출입통제
Coffee Break!
7 개발보안관리
SUA ISMS
No 통제내용 템플릿 References
P.7.1신규 정보시스템 개발 및 기존 정보시스템 변경 시, 정보보호 기본요소가 고려된 보안요구사항이 정의되어 있다.
요구사항정의서
ISMS 8.1.1 보안 요구사항 정의
PIMS 7.4.1 분석 및 설계 보안관리PIMS 3.2.1 개인정보 흐름 분석
ISO/IEC 27001 A.12.1.1 보안 요구사항 분석 및 명세화ISO/IEC 27001 A.6.2.2 고객 대응시 보안 언급ISO/IEC 27001 A.6.2.3 제3자 합의에서의 보안 언급
P.7.2정보시스템 외주 개발 시, 보안준수사항이 계약서에 명시되어 있다.
외부자 계약서
D.7.1정보시스템 설계 및 개발 시, 법적 요구사항이반영된 보안 요구사항이 반영되고 있다.
요구사항정의서ISMS 8.1.2 인증 및 암호화 기능ISMS 8.1.3 보안로그 기능
D.7.2정보시스템 설계 및 개발 시, 업무의 목적 및중요도에 따라 접근권한이 부여되어 있다.
요구사항정의서 ISMS 8.1.4 접근권한 기능
D.7.3보안요구사항이 반영된 정보시스템 기능이 테스트되고 있다.
테스트결과서ISMS 8.2.1 구현 및 시험PIMS 7.4.2 구현 및 시험
D.7.4정보시스템 테스트 시 운영데이터가 보호되고있다.
로그관리대장
ISMS 8.2.4 시험데이터 보안PIMS 7.4.4 테스트 데이터의 보안ISO/IEC 27001 A.12.4.3 프로그램 소스코드에 대한 접근통제
SUA ISMS
No 통제내용 템플릿 References
D.7.5소스 프로그램이 접근통제 절차에 따라 보호되고있다.
로그관리대장
ISMS 8.2.5 소스 프로그램 보안PIMS 7.4.5 소스 프로그램 접근 보안ISO/IEC 27001 A.12.5.5 외주 소프트웨어 개발ISO/IEC 27001 A.10.4.2 모바일 코드에 대한 통제
D.7.6 개발 및 테스트 환경과 운영환경은 분리되어 있다. 로그관리대장
ISMS 8.2.2 개발과 운영환경 분리PIMS 7.3.3 개발과 운영환경의 분리ISO/IEC 27001 A.10.1.4 개발, 테스트 및 운영시설의분리
D.7.7 이관 절차에 따라 운영환경으로 이관되고 있다. 이관절차서ISMS 8.2.3 운영환경 이관PIMS 7.4.3 운영환경 이행보안ISO/IEC 27001 A.8.4.2 시스템 테스트 데이터의 보호
D.7.8정보시스템 외주 개발 시, 보안준수사항에 따라 관리되고 있다.
외부자 계약서 ISMS 8.3.1 외주개발보안
D.7.9신규 정보시스템 개발 및 기존 정보시스템 변경시, 보안요구사항이 인수계획서에 따라 인수되고있다.
인수계획서ISMS 11.2.1 정보 시스템 인수ISO/IEC 27001 A.10.3.2 시스템 승인
S.7.1신규 정보시스템 개발 및 기존 정보시스템 변경시, 정의된 보안요구사항이 반영되었는지 주기적으로 검토되고 있다.
요구사항정의서
8 운영관리
SUA ISMS
No 통제내용 템플릿 References
P.8.1
정보시스템 운영을 위한 절차 및 계획이 수립되어 있다.예) 성능관리, 로그관리, 계정관리, 패치관리, 백업관리, 장애관리
성능관리계획서로그관리계획서계정관리계획서패치관리계획서백업관리계획서장애관리계획서
ISMS 11.1.1 운영절차 수립ISMS 11.2.2 보안 시스템 운영ISMS 11.2.4 장애 관리
ISO/IEC 27001 A.10.1.1 문서화된 운영절차ISO/IEC 27001 A.10.10.5 결함 로깅
D.8.1정보시스템 기록이 표준 시각에 따라 저장되고, 정보시스템의 저장된 기록은 법적요구사항에따라 보존되고있다.
로그관리대장
ISMS 11.6.2 로그기록 및 보존ISMS 11.6.1 시각 동기화
PIMS 9.3.2 개인정보 열람기록 검토 및 오남용방지PIMS 9.3.3 개인정보 처리 기록 검토 및 위변조 방지PIMS 9.3.4 시각동기화
ISO/IEC 27001 A.10.10.3 로그 정보의 보호ISO/IEC 27001 A.10.10.4 관리자 및 운영자 로그ISO/IEC 27001 A.10.10.1 감사로깅ISO/IEC 27001 A.10.10.2 모니터링 시스템의 사용ISO/IEC 27001 A.10.10.6 시간 동기화
D.8.2정보시스템 접근 통제를 위한 접근권한이 승인되고 있다.
권한관리대장
ISMS 10.2.1 사용자 등록 및 권한 부여ISMS 10.2.2 관리자 및 특수 권한 관리ISMS 10.3.2 사용자 식별
PIMS 7.1.2 개인정보 취급자 등록PIMS 7.1.3 개인정보 취급자 권한 관리
ISO/IEC 27001 A.11.2.1 사용자 등록ISO/IEC 27001 A.11.2.2 권한관리
SUA ISMS
No 통제내용 템플릿 References
D.8.3정보시스템 접근통제가 수행되고 있다.예) 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등
로그관리대장ISMS 10.3.1 사용자 인증ISO/IEC 27001 A.7.5.2 사용자 식별 및 인증
D.8.4사용자 패스워드가 관리되고 있다.예) 내부 임직원
계정관리계획서
ISMS 10.3.3 사용자 패스워드 관리ISO/IEC 27001 A.11.3.1 패스워드 사용ISO/IEC 27001 A.11.2.3 사용자 패스워드 관리ISO/IEC 27001 A.11.5.3 패스워드 관리 시스템
D.8.5외부 이용자 패스워드가 관리되고 있다.예) 고객, 회원 등
계정관리계획서ISMS 10.3.4 이용자 패스워드 관리PIMS 7.1.4 이용자 패스워드 관리PIMS 7.2.2 암호 사용
D.8.6 정보시스템이 주기적으로 백업되고 있다. 백업관리계획서ISMS 11.2.9 백업관리ISO/IEC 27001 A.10.5.1 정보백업
D.8.7정보시스템에 패치가 적용되고, 적용 후 영향이분석되고 있다.
패치관리계획서 ISMS 11.5.2 패치관리
S.8.1정보시스템에 대한 접근통제가 주기적으로 점검되고 있다.
권한관리대장
ISMS 10.2.3 접근권한 검토ISMS 11.6.3 접근 및 사용 모니터링
PIMS 7.1.5 개인정보 취급자의 접근 권한 검토PIMS 9.3.2 개인정보 처리 활동 모니터링
ISO/IEC 27001 A.11.2.4 사용자 접근 권한에 대한 검토
S.8.2
정보시스템의 저장된 기록은 주기적으로 검토되고 있다.예) 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등
로그관리대장
S.8.3정보 자산의 가용성 보장을 위해 지속적인 모니터링이 되고 있다.
성능관리계획서백업관리계획서장애관리계획서
ISMS 11.2.3 성능 및 용량 관리ISO/IEC 27001 A.10.3.1 용량관리ISO/IEC 27001 A.9.2.4 설비 유지보수
9 네트워크보안관리
SUA ISMS
No 통제내용 템플릿 References
P.9.1네트워크 보안을 위한 비인가 접근통제, 원격접속 설비 관리, 네트워크 분리 등을 포함한관리절차가 수립되어 있다.
네트워크보안관리절차서
PIMS 7.3.4 네트워크 운영대책ISO/IEC 27001 A.11.4.1 네트워크 서비스 사용에 대한 정책
D.9.1서비스의 특성에 따라 네트워크가 분리되어있다.
네트워크구성도ISO/IEC 27001 A.11.4.5 네트워크의분리ISO/IEC 27001 A.11.6.2 민감한 시스템의 격리
D.9.2 네트워크 상의 장비가 식별되고 있다. 자산관리대장 ISO/IEC 27001 A.11.4.3 네트워크 상의 장비 식별
D.9.3
외부 네트워크에서의 접근통제가 되고있다.(예. 비인가자의 접근 통제, 인증, 원격진단 및포트에 대한 접근통제, 라우팅 통제, 스마트워크 보안)
권한관리대장로그관리대장
ISMS 11.2.5 원격 운영 관리ISMS 11.2.6 스마트워크 보안ISMS 10.4.1 네트워크 접근
PIMS 7.3.6 원격운영관리PIMS 7.3.11 원격 작업PIMS 7.1.7 네트워크 접근
ISO/IEC 27001 A.11.4.7 네트워크 라우팅 통제ISO/IEC 27001 A.11.4.2 외부접속에 대한 사용자 인증ISO/IEC 27001 A.11.4.4 원격진단 및 구성포트의 보호ISO/IEC 27001 A.11.7.2 텔레워킹ISO/IEC 27001 A.10.6.1 네트워크 통제ISO/IEC 27001 A.11.4.6 네트워크 접근 통제ISO/IEC 27001 A.10.6.2 네트워크 서비스의 보안
D.9.4외부 네트워크로의 접근통제가 되고있다.(예. 인터넷 접속 제한)
권한관리대장로그관리대장
ISMS 10.4.6 인터넷 접속PIMS 7.3.5 인터넷 접속 관리
D.9.5무선 네트워크에 대한 보호대책이 이행되고있다.(예. 무선랜, 모바일기기)
무선랜 관리대장무선랜 사용 신청서
ISMS 11.2.7 무선네트워크 보안
ISMS 10.4.5 모바일 기기 접근ISO/IEC 27001 A.11.7.1 모바일 컴퓨팅 및 통신
10 서버보안관리
SUA ISMS
No 통제내용 템플릿 References
P.10.1서버 및 공개서버에 대한 보호 대책이 수립되어있다.
서버보안관리절차서
ISMS 10.4.2 서버 접근ISMS 11.2.8 공개서버 보안
PIMS 7.1.8 운영체제 접근PIMS 7.3.12 공개서버 보안관리PIMS 7.4.7 운영체제 변경 시의 검토
ISO/IEC 27001 A.10.9.3 공공이 사용 가능한 시스템
D.10.1서버에 대한 접근 허가자, 접근 수단 등을 정의및 적용되어 있다.
권한관리대장
S.10.1서버 변경 시 보안에 미치는 영향이 분석, 검토되고 있다.
서버보안관리절차서
11 응용프로그램보안관리
SUA ISMS
No 통제내용 템플릿 References
P.11.1응용프로그램에 대한 보호 대책이 수립되어있다.
응용프로그램보안관리절차서
D.11.1응용프로그램에 대한 접근통제가 수행되고 있다.예) 로그온, 터미널 타임아웃, 접속시간 등
권한관리대장로그관리대장
ISMS 10.4.3 응용 프로그램 접근PIMS 7.1.9 응용프로그램 접근
ISO/IEC 27001 A.12.5.2 운영시스템 변경의 기술적검토ISO/IEC 27001 A.12.4.1 운영 소프트웨어의 통제ISO/IEC 27001 A.11.5.1 안전한 로그온 절차ISO/IEC 27001 A.11.5.5 터미널 타임 아웃ISO/IEC 27001 A.11.5.6 접속시간의 제한ISO/IEC 27001 A.11.6.1 정보 접근 제한
D.11.2 응용프로그램에 대한 변경이 통제되고 있다.응용프로그램보안관
리절차서
PIMS 7.4.8 소프트웨어 패키지 변경ISO/IEC 27001 A.12.5.3 소프트웨어 패키지에 대한변경의 제약 조건
D.11.3응용프로그램에서의 데이터가 적절히 검증되고 있다.(예. 입,출력데이터 검증)
응용프로그램보안관리절차서
ISO/IEC 27001 A.12.2.1 입력데이터 검증ISO/IEC 27001 A.12.2.4 출력 데이터 검증
D.11.4
응용프로그램 오류로 인해 정보 변조가 되지않도록 개발되어 있다.(예. 응용프로그램의 데이터가 변조없이 내부처리됨)
응용프로그램보안관리절차서
ISO/IEC 27001 A.12.2.2 내부프로세싱의 통제
D.11.5응용프로그램의 메시지 무결성이 보장되어 있다.(예. 송신데이터가 변조없이 수신됨)
응용프로그램보안관리절차서
ISO/IEC 27001 A.12.2.3 메시지 무결성
D.11.6 응용프로그램의 정보 누출이 예방되고 있다.응용프로그램보안관
리절차서ISO/IEC 27001 A.12.5.4 정보의 누출
12 전자거래보안관리
SUA ISMS
No 통제내용 템플릿 References
P.12.1 전자거래 시, 정보 유출 방지 대책이 수립되어 있다. 전자거래보안관리절차서
ISMS 11.3.1 전자거래 보안
ISO/IEC 27001 A.10.9.2 온라인 거래ISO/IEC 27001 A.10.9.1 전자상거래D.12.1
전자거래 시 보안이 유지되고 있다.(예. 부정 행위, 허가받지 않는 유출 및 수정으로부터 보호됨)
전자거래보안관리절차서
13 데이터베이스보안관리
SUA ISMS
No 통제내용 템플릿 References
P.13.1데이터베이스 접근에 대한 응용프로그램 및 직무별접근통제 정책이 수립되어 있다.
데이터베이스보안관리절차서
ISMS 10.4.4 데이터베이스 접근PIMS 7.1.10 데이터베이스 접근PIMS 7.6.1 개인정보 마스킹
D.13.1데이터 사전 및 데이터베이스 유틸리티에 대한 접근통제, 중요 정보의 암호화 등을 통해 데이터베이스 내의 정보가 보호되고 있다.
권한관리대장로그관리대장
S.13.1사용자 접근내역을 기록하고 접근의 타당성이 정기적으로 검토되고 있다.
권한관리대장로그관리대장
14 침해사고관리
SUA ISMS
No 통제내용 템플릿 References
P.14.1
침해사고에 대한 대응절차가 수립되어 있다.(예. 침해시도의 사전 탐지를 위한 모니터링체계, 침해사고 유형별 대응, 복구 절차, 외부기관 및 전문가들의 협조체계 )
침해사고관리절차서비상연락망
ISMS 11.6.4 침해시도 모니터링ISMS 12.1.2 침해사고 대응절차 수립ISMS 12.1.2 침해사고 대응체계 구축PIMS 6.1.1 침해사고 대응계획 수립PIMS 6.1.2 침해사고 대응체계 구축ISO/IEC 27001 A.13.2.1 책임 및 절차ISMS 11.5.1 악성코드 통제PIMS 7.3.9 악성 프로그램 통제ISO/IEC 27001 A.10.4.1 악성코드에 대한 통제
P.14.2재해를 대비한 복구 체계 및 계획이 수립되어 있다.
재해복구계획서
ISMS 13.1.1 IT 재해복구 체계 구축ISO/IEC 27001 A.14.1.3 정보보안을 포함한 연속성 계획의 개발 및 전개ISO/IEC 27001 A.9.2.2 지원시설ISMS 13.2.1 영향분석에 따른 복구대책 수립
D.14.1
정보시스템의 기술적 취약점 점검이 주기적으로 이루어지고, 발견한 취약점들은 필요한조치가 취해지고 있다.(예. 허가되지 않은 어플리케이션의 사용)
취약점분석보고서
ISMS 11.2.10 취약점 점검PIMS 9.2.2 기술적 점검ISO/IEC 27001 A.13.1.2 보안취약점 보고ISO/IEC 27001 A.12.6.1 기술적 취약점의 통제ISO/IEC 27001 A.11.5.4 시스템 장비에 대한 사용
SUA ISMS
No 통제내용 템플릿 References
D.14.2침해사고 발생 징후 인지시에는 보고절차에 따라 신속히 보고되고 있다.
침해사고관리절차서비상연락망
침해사고보고서
ISMS 12.2.2 침해사고 보고PIMS 6.2.2 침해사고 보고ISO/IEC 27001 A.13.1.1 정보보안 이벤트 보고
D.14.3침해사고 발생 시 대응 및 복구 절차에 따라서 신속히 수행되고 있다.
침해사고관리절차서ISMS 12.2.3 침해사고 처리 및 복구PIMS 6.2.3 침해사고 처리 및 복구
S.14.1침해사고 종결 후 침해사고 내용이 분석되고 있다.
침해사고 분석서
ISO/IEC 27001 A.13.2.3 증거수집ISO/IEC 27001 A.14.1.1 사업연속성 관리 프로세스내에 정보보안 포함ISO/IEC 27001 A.14.1.2 사업연속성 및 위험 평가ISO/IEC 27001 A.14.1.4 사업연속성 관리 프레임워크
S.14.2
분석된 침해사고 내용의 후속조치가 수행되고 있다.(예. 관련 조직 및 임직원들에게 공유, 재발방지대책 수립 및 침해사고관리절차서 변경)
침해사고관리절차서
ISMS 12.3.1 침해사고 분석 및 공유PIMS 6.3.1 침해사고 분석 및 정보공유ISMS 12.3.2 재발방지PIMS 6.3.2 침해사고 재발방지ISO/IEC 27001 A.13.2.2 정보보안 사고로부터의 교훈ISO/IEC 27001 A.14.1.5 사업연속성 계획의 테스트유지보수 및 재평가
15 매체관리
SUA ISMS
No 통제내용 템플릿 References
P.15.1매체의 취급에 대한 절차가 수립되어 있다.(예. 사용, 기록, 보관, 폐기)
매체관리절차서ISMS 11.4.1 정보시스템 저장매체 관리ISMS 11.4.2 휴대용 저장매체 관리ISMS 7.1.5 모바일기기 반출입
PIMS 7.3.7 매체 취급 및 보관PIMS 7.3.8 매체의 폐기PIMS 7.3.10 이동컴퓨팅PIMS 7.5.2 출력,복사 시 기록 및 승인PIMS 8.2.2 장비의 안전한 폐기 및 재사용
ISO/IEC 27001 A.10.7.2 미디어 폐기ISO/IEC 27001 A.9.2.6 폐기(처분) 또는 장비 재사용에 대한 보안ISO/IEC 27001 A.9.2.7 자산의 이동ISO/IEC 27001 A.10.7.1 탈착형 컴퓨터 미디어의 관리ISO/IEC 27001 A.10.7.3 정보취급절차ISO/IEC 27001 A.11.2.3 방치한 사용자 장비ISO/IEC 27001 A.10.8.3 운송 중인 미디어 보안
D.15.1매체의 취급 절차에 따라서 통제되고 있다.(예. 사용, 기록, 보관, 폐기)
매체관리대장
S.15.1 매체의 취급 절차가 주기적으로 검토되고 있다. 매체관리대장
16 보안감사
SUA ISMS
No 통제내용 템플릿 References
P.16.1 보안감사 절차 및 계획이 수립되어 있다. 보안감사계획서
PIMS 9.2.1 정책의 준수검토PIMS 9.4.1 보안감사 계획 및 이행PIMS 9.4.2 감사결과 및 사후 관리
D.16.1 보안감사 절차 및 계획에 따라서 감사가 시행되고 있다. 보안감사결과서
D.16.2 보안감사 결과가 책임자에게 보고되고 있다. 보안감사결과서
S.16.1 보안감사 결과는 사후관리를 통해 개선되고 있다. 보안감사결과서
관리체계의 큰 그림이 그려지시나요?
SUA ISMS
요점만 간단히 다시 한 번 살펴보도록 하겠습니다.
SUA ISMSSUA ISMS
1. 정책관리 (7)2. 조직관리 (4)3. 인적보안관리 (8)4. 자산관리 (3)5. 교육관리 (3)6. 물리적보안관리 (9)7. 개발보안관리 (12)8. 운영관리 (11)
9. 네트워크보안관리 (6)10. 서버보안관리 (3)11. 응용프로그램보안관리 (7)12. 전자거래 보안관리 (2)13. 데이터베이스보안관리 (3)14. 침해사고관리 (7)15. 매체관리 (3)16. 보안감사 (4)
92개 통제항목
What’s Next?
SUA ISMS
THANK YOU
SUA ISMS