[ISMS] 침해사고 관리, IT 재해복구 (개인공부)

요약

• 시스템 개발 보안을 통해 개발 사항에서 반영되야 할 보안 요구사항을 정의하고 준수 검토하는 지 확인한다.
• 침해사고 관리를 통해 개인 정보가 침해당할 상황을 가정하고 어떻게 대응할지 메뉴얼을 작성하고 정리한다.
• IT 재해복구 대책을 통해 재해가 발생하여 정보자산이 불능으로 빠질 것을 대비하여 어떻게 대응할지 메뉴얼을 작성하고 정리 한다.

내용

• 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...)
  • 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리, 현황 및 흐름 분석, 자산 재사용 및 폐기
  • 정보보호 정책 → 정보보호 정책 설정 및 위험 평가, 보호대책 선정/구현/공유, 정책 유지관리
  • 정보보호 조직 → 관리 체계 조직 마련 (회의록, 관리자 선정)
  • 외부자 보안 → 계약 관리, 보안 이행 관리, 현황 관리
  • 인적 보안 → 보안 서약, 보안 교육, 퇴직 및 직무변경 관리, 보안 위반 조치
  • 물리적 보안 → 보호 구역 지정, 출입통제, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안, 보조저장 매체 차단 정책, 관리 대장
  • 운영 보안 → 운영 현황 관리, 법적 요구사항 준수 검토, 개정 내부 공유, 관리체계 개선
  • 시스템 개발 보안 → 보안 요구사항 정의, 영향 평가,백업 및 복구관리, 로그 및 접속기록 관리, 보안시스템 운영
  • 암호 통제 → 암호키 관리, 계정 관리
  • 접근 통제 → 네트워크 접근, 원격접근통제, 인터넷 접속 통제 정책, 암호키 관리
  • 침해사고 관리 → 사고 대응 훈련 및 개선, 사고 대응 및 복구,
  • IT 재해복구 → 성능 및 장애관리, 재해, 재난 대비 안전조치,

메뉴얼 상으로 이해한 내용은 아래와 같다.

• 시스템 개발 보안
  • 정보보호 및 개인정보 보안 요구사항을 정의하고 적용해야 한다. (시큐어 코딩 가이드)
• 침해사고 관리
  • 침해사고 및 개인정보 유출을 예방하고 대응할 수 있도록, 내,외부 침해시도의 탐지,대응,분석 및 공유를 위한 체계와 절차를 수립하여야 한다.
• IT 재해복구
  • 시스템의 가용성 보장을 위하여 성능 및 용량을 정의하고 지속적으로 모니터링 해서 장애 발생시 탐지,기록,분석,복구,보고 등의 절차를 수립해야 한다.
  • 시스템의 가용성을 위해 백업 대상, 주기 방법, 보관기간, 소산 등의 절차를 수립,이행하여야한다.
  • 자연재해, 통신/전력/장애, 해킹 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해를 식별하고 체계를 구축하여야 한다.

배울 점 및 생각

• 시스템 개발 보안은 조금 더 시큐어코딩과 관련이 있는 것 같다. 가장 간편한 방법으로는 소나큐브 등의 도입을 통해 애초에 코드 검수 단계에서 검사하는 시스템을 구축하는 것이 증적이나 관리 등 모든 상황에서 편할 것 같다.
• 침해 관리와 재해복구 부분은 언제나 문제가 생길 것을 생각하고 어떻게 대응할지

추후 해야할 것

• 인프라적으로 보안을 신경써야 할 부분을 정리한다.

ISMS 참고 자료.pdf

5.67MB