2. 보호대책 요구사항(5)

정보시스템은 중단없이 서비스하는 것이 중요

• 변경관리
• 성능 및 장애관리
• 백업 및 복구관리

2.9 시스템 및 서비스 운영관리

2.9.1 변경관리

- 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립/이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석해야함

• 변경에 관한 절차를 수립/이행하고 있는가?
• 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?

2.9.2 성능 및 장애관리

- 정보시스템의 가용성 보장을 위해 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지/기록/분석/복구/보고 등의 절차를 수립/관리해야 함

• 정보시스템의 운영을 위탁하는 경우, 성능 및 용량 요구사항의 준수여부를 유지보수 보고서 등을 통해 정기적으로 보고 받음

2.9.3 백업 및 복구관리

- 정보시스템의 가용성과 데이터 무결성을 유지하기 위해 백업 대상, 조기, 방법, 보관장소, 보관 기간, 소산 등의 절차를 수립/이행해야 함, 사고발생 시 적시에 복구할 수 있도록 관리해야 함

• 백업 및 복구절차
• 정기적으로 복구 테스트 진행
• 물리적으로 떨어진 장소에 소산

2.9.4 로그 및 접속기록 관리

- 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위/변조/도난/분실 되지 않도록 안전하게 보존/관리해야 함

 

2.9.5 로그 및 접속기록 점검

- 정보시스템의 정상적인 사용을 보장하고 사용자 오/남용을 방지하기 위해 접근 및 사용에 대한 로그 검토기준을 수립해 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행해야 함

• 정보시스템 관련 오류, 오/남용, 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립/이행해야 함
  • 검토 주기
  • 검토 대상
  • 검토 기준 및 방법
  • 검토 담당자 및 책임자
  • 이상징후 발견 시 대응절차 등

2.9.6 시간 동기화

- 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위해 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리해야 함

 

2.9.7 정보자산의 재사용 및 폐기

- 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구/재생되지 않도록 안전한 재사용 및 폐기 절차를 수립/이행해야 함

 

2.10 시스템 및 서비스 보안관리

2.10.1 보안시스템 운영

- 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋변경, 이벤트 모니터링 등의 운영절차를 수립/이행하고 보안시스템별 정책적용 현황을 관리해야 함

• 외부침입 탐지 및 차단과 내외부자에 의한 정보 노출을 막기위해 보안시스템을 운영해야함

2.10.2 클라우드 보안

- 클라우드 서비스 이용 시 서비스 유형에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유/노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립/이행해야 함

 

2.10.3 공개서버 보안 

- 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집/저장/공개 절차 등 강화된 보호대책을 수립/이행해야함

 

2.10.4 전자거래 및 핀테크 보안

- 전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작/사기 등의 침해사고 예방을 위해 인증/암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 함

 

2.10.5 정보전송 보안

- 타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행해야 함

 

2.10.6 업무용 단말기기 보안

- PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검해야 함

 

2.10.7 보조저장매체 관리

- 보조저장매체를 통해 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립/이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관해야 함

 

2.10.8 패치 관리

- 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위해 최신 패치를 적용해야함, 다만 서비슷 영향을 검토해 최신 패치가 적용이 어려운 경우 별도의 보완대책을 마련해 이행해야 함

 

2.10.9 악성코드 통제

- 바이러스/웜/트로이목마/랜섬웨어 등의 악성코드로부터 개인정보 및 중요정보, 정보시스템 및 업무용 단말기 등을 보호하기 위해 악성코드 예방/탐지/대응 등의 보호대책을 수립/이행해야 함