길드장

1. 자격심의위원회는 심사기관이 아님 인증심사원의 자격 취소 적합여부를 심의 의결하는 기구 보기는 심사기간이라고 되어 있음 3. 1.3.1 보호대책 구현 결함 서버의 OS버전의 EoS는 패치관리 결함으로 볼 수 있으나 보완대책을 마련 시행하고 있지만 시행이 되지 않았다. 5.  2.5.5 특수 계정 및 권한 관리 퇴사한 직원 권한 말소 내용 퇴직 시점에서 정지 말소는 배치작어버 으로 보이지만 5일이내 조치  하는 것으로 보아 결함으로 하기 힘듬 시스템 권한관리 메뉴는 전체 권한그룹 사용자가 모두 보유하고 있으므로 결함 6. 문제 잘못봄 2.10.1 보안시스템 운영은 방화벽이 유일하나 결함으로 보기 힘들고 상세 정책을 보고 판단할 사안임 7. 2.10.1 보안시스템 운영 결함 방화벽 장비의 불필요 정책으로 인한것으로  8. 2.8.2 보안 요구사항 검토 및 시험 결함 사전 보안성 검토를 통해 보안가이드를 제시하고 수행했다고 짐작 다수의 취약점이 조치되지 않은 것과 보안 요구사항에 대해 점검 또는 조치를 하지 않은 것으로 보아 10. 2.6.3 응용프로그램 접근 결함 세션 타임아웃 기능 구현 was 설정에서 구현 화면보호기 잠근 수준은 접적 요구사항 충족 불가 15. 2.6.2 정보시스템 접근/2.6.7 인터넷 접속 통제 2.6.2 정보시스템 접근 telnet을 통한 속 가능과 db서버에 불필요한 telnet서비스가 실행 2.6.7 인터넷 접속 통제 was에서 curl명령어르 ㄹ통해 외부 인터넷 접속이 가능함을 확인 18.2.5.5 특수 계정 및 권한 관리 클라우드 보안지침에는 root계정에 대해 hw otp를 적용인데 sw otp사용 hw otp를 인증수단으로 적용, 감사팀 또는 경영지원팀에서 관리하면서 사용 대장 작성 hw otp접근하여 사용하는 절차 적용이 필요 19. 2.7.1 암호정책 적용 고유식별 번호가 저장된 운전명허증 사본에 대한 암호화 적용이 수행되지 않음 s3설정에서 기본 암호화 속성이 비활성화 20. 3.2.1 외부자 현황 관리 외부 클라우드로

ISMS-P의 3. 개인정보 처리 단계별 요구사항 중 3.1 개인정보 수집 시 보호조치 에 대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  ----- ★ ----- ☆ ----- ★ ----- 링 크 모 음 ----- ★ ----- ☆ ----- ★ ----- ISMS-P(2019.1) 3.1 개인정보 수집 시 보호조치 인증기준 ISMS-P(2019.1) 3.1개인정보 수집 시 보호조치 결함사례 ----- ★ ----- ☆ ----- ★ ----- ☆ ------ ★ ----- ☆ ----- ★ ----- ☆ ----- 3.1.1 개인정보 수집 제한 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위해 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가? 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가? 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가? 3.1.2 개인정보의 수집 동의 개인정보 수집 시 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가? 정보주체(이용자)에게 동의를 받는 방법 및 시점은 적절하게 되어 있는가? 정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가? 만 14세 미만 아동의 개인정보에 대해 수집 ․ 이용 ․ 제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가? 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며,법정대리인이 자격 요건을

ISMS-P의 2.보호대책 요구사항 중 2.12 재해복구 에 대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  ----- ★ ----- ☆ ----- ★ ----- 링 크 모 음 ----- ★ ----- ☆ ----- ★ ----- ISMS-P(2019.1) 2.12. 재해복구 인증기준 ISMS-P(2019.1) 2.12재해복구 결함사례 ----- ★ ----- ☆ ----- ★ ----- ☆ ------ ★ ----- ☆ ----- ★ ----- ☆ ----- 2.12.1 재해 ․ 재난 대비 안전조치 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가? 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하고 있는가? 재해 및 재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획을 수립 ․ 이행하고 있는가? 2.12.2 재해 복구 시험 및 개선 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립 ․ 이행하고 있는가? 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토 ․ 보완하고 있는가? -----★-----☆-----★-----☆------★-----☆-----★-----☆----- ISMS-P(2019.1) 2.1정책, 조직, 자산 관리 주요 확인사항   ISMS-P(2019.1) 2.2인적 보안 주요 확인사항   ISMS-P(2019.1) 2.3외부자 보안 주요 확인사항   ISMS-P(2019

ISMS-P의 2.보호대책 요구사항 중 2.11 사고 예방 및 대응 에 대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  ----- ★ ----- ☆ ----- ★ ----- 링 크 모 음 ----- ★ ----- ☆ ----- ★ ----- ISMS-P(2019.1) 2.11. 사고 예방 및 대응 인증기준 ISMS-P(2019.1) 2.11사고 예방 및 대응 결함사례 ----- ★ ----- ☆ ----- ★ ----- ☆ ------ ★ ----- ☆ ----- ★ ----- ☆ ----- 2.11.1 사고 예방 및 대응체계 구축 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가? 보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축 ․ 운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가? 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가? 2.11.2 취약점 점검 및 조치 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? 최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가? 2.11.3 이상행위 분석 및 모니터링 내 ․ 외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하

ISMS-P의 2.보호대책 요구사항 중 2.10 시스템 및 서비스 보안관리 에 대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  ----- ★ ----- ☆ ----- ★ ----- 링 크 모 음 ----- ★ ----- ☆ ----- ★ ----- ISMS-P(2019.1) 2.10. 시스템 및 서비스 보안관리 인증기준 ISMS-P(2019.1) 2.10시스템 및 서비스 보안관리 결함사례 -----★-----☆-----★-----☆------★-----☆-----★-----☆----- 2.10.1 보안시스템 운영 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립 ․ 이행하고 있는가? 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가? 보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립 ․ 이행하고 있는가? 보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가? 보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가? 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가? 2.10.2 클라우드 보안 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가? 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립 ․ 이행하고 있는가? 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고

ISMS-P의 2.보호대책 요구사항 중 2.9 시스템 및 서비스 운영관리 에 대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  ----- ★ ----- ☆ ----- ★ ----- 링 크 모 음 ----- ★ ----- ☆ ----- ★ ----- ISMS-P(2019.1) 2.9. 시스템 및 서비스 운영관리 인증기준 ISMS-P(2019.1) 2.9시스템 및 서비스 운영관리 결함사례 -----★-----☆-----★-----☆------★-----☆-----★-----☆----- 2.9.1 변경관리 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립 ․ 이행하고 있는가? 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가? 2.9.2 성능 및 장애관리 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링 할 수 있는 절차를 수립 ․ 이행하고 있는가? 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립 ․ 이행하고 있는가? 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립 ․ 이행하고 있는가? 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 장애조치내역을 기록하여 관리하고 있는가? 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가? 2.9.3 백업 및 복구관리 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립 ․ 이행하고 있는가? 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가? 중요정보가 저장된 백업매체의 경우 재해 ․ 재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?

ISMS-P의 2.보호대책 요구사항 중 2.8 정보시스템 도입 및 개발 보안 에  대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  -----★-----☆-----★-----☆------★-----☆-----★-----☆----- ISMS-P(2019.1) 2.8. 정보시스템 도입 및 개발 보안 인증기준 ISMS-P(2019.1) 2.8정보시스템 도입 및 개발 보안 결함사례 -----★-----☆-----★-----☆------★-----☆-----★-----☆----- 2.8.1 보안 요구사항 정의 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립 ․ 이행하고 있는가? 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가? 2.8.2 보안 요구사항 검토 및 시험 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가? 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가? 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가? 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석 ․ 설계단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가? 2.8.3 시험과 운영 환경 분리 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가? 불가피한 사유

ISMS-P의 2.보호대책 요구사항 중 2.7 암호화 적용 에  대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  ----- ★ ----- ☆ ----- ★ ----- 링 크 모 음 ----- ★ ----- ☆ ----- ★ ----- ISMS-P(2019.1) 2.7. 암호화 적용 인증기준 ISMS-P(2019.1) 2.7암호화 적용 결함사례 ----- ★ ----- ☆ ----- ★ ----- ☆ ------ ★ ----- ☆ ----- ★ ----- ☆ ----- 2.7.1 암호정책 적용 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? 2.7.2 암호키 관리 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립 ․ 이행하고 있는가? 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가? -----★-----☆-----★-----☆------★-----☆-----★-----☆----- ISMS-P(2019.1) 2.1정책, 조직, 자산 관리 주요 확인사항   ISMS-P(2019.1) 2.2인적 보안 주요 확인사항   ISMS-P(2019.1) 2.3외부자 보안 주요 확인사항   ISMS-P(2019.1) 2.4물리 보안 주요 확인사항   ISMS-P(2019.1) 2.5인증 및 권한 관리 주요 확인사항   ISMS-P(2019.1) 2.6접근 통제 주요 확인사항 -----★-----☆-----★-----☆------★-----☆-----★-----☆----- #ISMS-

ISMS-P의 2.보호대책 요구사항 중 2.6접근 통제 에  대해 살펴보겠습니다 ​ 본 글은 2019.1에 발행된 정보보호 및 개인정보보호 관리체계  인증제도 안내서를  기준으로 작성되었습니다 ​ 지금 시작하겠습니다!!!  -----★-----☆-----★-----☆------★-----☆-----★-----☆----- ISMS-P(2019.1) 2.1정책, 조직, 자산 관리 주요 확인사항   ISMS-P(2019.1) 2.2인적 보안 주요 확인사항   ISMS-P(2019.1) 2.3외부자 보안 주요 확인사항   ISMS-P(2019.1) 2.4물리 보안 주요 확인사항   ISMS-P(2019.1) 2.5인증 및 권한 관리 주요 확인사항 -----★-----☆-----★-----☆------★-----☆-----★-----☆----- 2.6.1 네트워크 접근 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가? 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 동의 대책을 적용하고 있는가? 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가? 2.6.2 정보시스템 접근 서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가? 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고