항목2. 보호대책 요구사항 - 2.8. 정보시스템 도입 및 개발 보안 - 2.8.2 보안 요구사항 검토 및 시험 인증기준사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다. 세부설명■ 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 검토기준과 절차를 수립하고 이에 따른 시험을 수행하여야 한다. - 정보시스템 인수 전 인수기준 적합성 여부를 확인하기 위한 시험 수행‧ 정보시스템이 사전에 정의한 보안 요구사항을 만족하여 개발·변..

항목2. 보호대책 요구사항 - 2.8. 정보시스템 도입 및 개발 보안 - 2.8.1 보안 요구사항 정의 인증기준정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. 세부설명■ 정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립·이행하여야 한다. - 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립‧ 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석‧ 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 ..

항목2. 보호대책 요구사항 - 2.7. 암호화 적용 - 2.7.2 암호키 관리 인증기준암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다. 세부설명■ 암호키 생성, 이용, 보관, 배포, 파기에 대하여 다음과 같은 내용이 포함된 정책 및 절차를 수립하여야 한다. - 암호키 관리 담당자- 암호키 생성, 보관(소산 백업 등) 방법- 암호키 배포 대상자 및 배포방법(복호화 권한 부여 포함)- 암호키 사용 유효기간(변경 주기) : 암호키 변경 시 비용, 업무중요도 등을 고려하여 결정- 암호키 복구 및 폐기 절차와 방법- 소스코드에 하드코딩 방식의 암호키 기록 금지에 관한 사항 등 ■ 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고..

항목2. 보호대책 요구사항- 2.7. 암호화 적용- 2.7.1 암호정책 적용 인증기준개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. 세부설명■ 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다. - 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의- 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택 ■ 암호정책에 따라 개인정보 및 주요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.- 암호화 위치, 시스템 특성 등을 고려..

항목2. 보호대책 요구사항 - 2.6. 접근통제 - 2.6.7 인터넷 접속 통제 인증기준인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다. 세부설명■ 인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행하여야 한다. - 인터넷 연결 시 네트워크 구성 정책- 외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책-..

항목2. 보호대책 요구사항 - 2.6. 접근통제 - 2.6.6 원격접근 통제 인증기준보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다. 세부설명■ 인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고 부득이하게 허용하는 경우 다음과 같은 대책을 수립·이행하여야 한다. - 원격 운영 및 접속에 대한 책임자의 승인- 안..

항목2. 보호대책 요구사항 - 2.6. 접근통제 - 2.6.5 무선 네트워크 접근 인증기준무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다 세부설명■ 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 다음의 사항을 고려하여 보호대책을 수립·이행하여야 한다. - 무선네트워크 장비(AP 등) 목록 관리- 사용자 인증 및 정보 송수신 시 암호화 기능 설정(WPA2-Enterprise mode, WPA3-Enterprise mode 등)- 무선 AP 접속 단말..

항목2. 보호대책 요구사항 - 2.6. 접근통제 - 2.6.4 데이터베이스 접근 인증기준테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다. 세부설명■ 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 지속적으로 현행화하여 관리하여야 한다. - 데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별- 중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별- 데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리 ■ 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 ..

항목2. 보호대책 요구사항 - 2.6. 접근통제 - 2.6.3 응용프로그램 접근 인증기준사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. 세부설명■ 중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다. - 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별- 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별- 최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련- 중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할..

항목2. 보호대책 요구사항 - 2.6. 접근통제 - 2.6.2 정보시스템 접근 인증기준서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. 세부설명■ 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다. - 계정 및 권한 신청·승인 절차- 사용자별로 개별 계정 부여 및 공용 계정 사용 제한- 계정 사용 현황에 대한 정기 검토 및 현행화 관리 : 장기 미사용 계정, 불필요한 계정 존재 여부 등- 접속 위치 제한 : 접속자 IP주소 제한 등- 관리자 등 특수권한에 대한 강화된 인증수단 고려 : 인증서, OTP 등- 안전한 접근수단 적..