ciso-daily

1.통제 목적 보호구역 내 정보시스템, 모바일기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. 2.주요확인사항 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제절차를 수립·이행하고 있는가? 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? 3.결함사례 1)이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우 2)내부지침에 따라 전산장비 반·출입이 있는 경우 작업계획서에 반출입 내..

1.통제 목적 보호구역 내에서의 비인가행위 및 권한 오 ·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다. 2.주요 확인사항 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하고 있는가? 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가? 3.결함 사례 1)전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호 구역 작업 신청 및 승인 내역은 존재하지 않는 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우) 2)내부 규정에는 보호구역 내 작업기록에 ..

1.통제 목적 보호구역에 정보시스템의 중요도 및 특성에 따라 온도, 습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립·운영 하여야 한다. 2.주요 확인 사항 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가? 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 서약서에 반영하고 운영상태를 주기적으로 검토하고 있는가? 3.결함 사례 1)본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우 2)전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 ..

1.통제 목적 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다. 2.주요 확인사항 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가? 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가? 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로 부터 안전하게 보호하고 있는가? 3.결함 사례 1)시스템 배치도가 최신 변경사항을 반영하여 업데이트 되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우 2)서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에..

1.통제 목적 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다. 2.주요 확인사항 보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가? 각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가? 3.결함 사례 1)통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록은 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미 출입자가 다수 존재하고 있는 경우 2)전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고있는 경우 3)일부 외부 협력업체 직원에게 과도..

1.통제 목적 물리적·환경적 위협으로 부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정 하고 각 구역별 보호대책을 수립·이행하여야 한다. 2.주요 확인사항 물리적, 환경적 위협으로 부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정 기준을 마련하고 있는가? 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립·이행하고 있는가? 3.결함 사례 1)내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되고 있으나 멤버십 가입신청 서류가 보관되어 있고 문서고 등 일부대상 구..

1.통제 목적 외부자 계약 만료, 업무 종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행중 취득정보의 비밀 유지 확약서 징구 등의 보호대책을 이행하여야 한다. 2.주요 확인 사항 외부자 계약 만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질수 있도록 보안대책을 수립·이행하고 있는가? 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유 하고 있는지 확인하고 이를 회수·파기 할 수 있도록 절차를 수립·이행 하고 있는가? 3.결함 사례 1)일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우 2)외주용역 사업 수..

1.통제 목적 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적으로 점검 또는 감사 등 관리 · 감독하여야 한다. 2.주요 확인 사항 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선 계획을 수립 · 이행하고 있는가? 개인정보 처리업무 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자가 승인을 받도록 하고 있는가? 3.결함 사례 1)회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우 2)개인정보 수탁자에 ..

1.통제 목적 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 2.주요 확인사항 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가? 3.결함 사례 1)IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서..

한국 엔지니어링 협회 정책 연구실에서 2020년 엔지니어링 업체 임금실태 조사결과를 공표 하였습니다. 해당 노임의 적용일은 2021년 1월 1일 부터 이네요.