ciso-daily

1. 통제 목적 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 2.주요 확인사항 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설 · 서비스의 이용 현황을 식별하고 있는가? 업무 위탁 및 외부 시설 · 서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가? 3.결함 사례 1)내부 규정에 따라 외부 위탁 및 외부시설 ·서비스 현황을 목록으로 관리하고 있으나, 수개월 전에 변경된 위탁업체가 목록에 반영되어 ..

1.통제 목적 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 2.주요 확인사항 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가? 정보보호 및 개인정보보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? 3.결함 사례 1)정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우 2)보안시스템(DLP, DB 접근제어시스템, 내부정보유출통제시스템 등)을 통해 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가조사, 징계 처분등 내부 규정에 따른 ..

1.통제 목적 퇴직 및 직무변경 시 인사, 정보보호, 개인정보보호, IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수, 조정, 결과 확인 등의 절차를 수립, 관리하여야 한다. 2.주요 확인 사항 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영 부서 간에 공유되고 있는가? 조직 내 인력(인직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경시 지체없는 정보자산 반납, 접근권한 회수, 조정, 결과 확인 등의 절차를 수립, 이행하고 있는가? 3.결함 사례 1)직무 변동에 따라 개인정보 취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우 2)최근에 퇴직한 주요직무자..

1.통제 목적 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육 훈련 계획을 수립,운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 2.주요 확인 사항 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가? 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가? 임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가? IT 및 정보보호, 개인..

1.통제 목적 정보자산을 취급하거나 접근권한이 부여된 임직원, 임시직원, 외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 2.주요 확인 사항 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가? 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가? 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요 시 쉽게 찾아볼 수 있도록 관리하고 있는가? 3.결함 사례 1)신규 입사..

1.통제 목적 권한 오남용등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완 대책을 마련하여 이행하여야 한다. 2.주요 확인 사항 권한 오남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완 통제를 마련하고 있는가? 3.결함 사례 1)조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부 규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우 2)조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나..

1.통제 목적 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 2.주요 확인사항 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 관리하고 있는가? 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립, 이행하고 있는가? 3.결함 사례 1)주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단등)을 작성하고 있으나 대량의 개인정보 등 중요정보..

1.통제 목적 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립,이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 2.주요 확인사항 정보자산의 보안등급에 따른 취급절차 (생성, 도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가? 3.결함 사례 1)내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우 2)정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우 3)식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록..

1.통제 목적 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 2.주요 확인사항 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립,이행하고 있는가? 3.결함 사례 1)내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나 실제 운영현황과 일치하지 않는 경우 2)정보..

blog.naver.com/errorsoft666/221695261264 [리눅스] 리눅스에서 웹 서버 구축하기(Centos 7) 윈도우에서는 비트나미(Bitnami)를 이용해서웹 서버를 구축해 보았는데리눅스에서는 간단히패키지 설치를 ... blog.naver.com [리눅스] 리눅스에서 웹 서버 구축하기(Centos 7) 윈도우에서는 비트나미(Bitnami)를 이용해서 웹 서버를 구축해 보았는데 리눅스에서는 간단히 패키지 설치를 통해 웹 서버를 구축하는 법을 알아보겠습니다. 1. root 로그인 및 패키지 업데이트하기 패키지 설치를 위한 yum 명령어는 root 권한에서만 사용할 수 있으므로 su 명령어를 통해 root 사용자로 바꿔주세요. 그리고 yum update 명령어를 입력하여 패키지 리스트를 ..