[K-ISMS 인증기준] 정보보호대책 11. 운영보안 #1

K-ISMS 인증기준 - 11. 운영보안 #1

---

11.1 운영절차 및 변경관리

11.1.1 운영절차 수립

정보시스템 동작, 문제 발생 시 재 동작 및 복구, 오류 및 예외사항 처리 등 시스템 운영을 위한 절차를 수립하여야 한다.

11.1.1.1 정보시스템 운영을 위한 운영절차(또는 매뉴얼)를 수립하고 있는가?  

ㅇ 정보시스템  은 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 의미한다. 즉 서버, PC 등 단말기, 보조기억매체, 네트워크 장치, 응용프로그램 등 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신에 필요한 하드웨어 및 소프트웨어를 말한다. ㅇ 각 정보시스템 특성에 적합한 운영절차(또는 매뉴얼)를 수립하여야 한다. 이는 담당자 부재 시 혹은 신입직원 등이 긴급 상황에서 별다른 인수인계 없이도 정의된 절차에 따라 대응이 가능하도록 하기 위한 것이다. ㅇ 정보시스템 운영절차에는 다음과 같은 내용을 포함하여야 한다. - 정보시스템 환경설정(접근통제 : ACL, 패스워드 등) 방법 - 정보시스템 변경 절차 - 정보시스템 보안설정 방법 (인증기준 11.2.1 정보시스템 인수 참고) - 접근권한 설정 방법 - 오류 및 예외 사항 처리 방법 - 문제 발생 시 긴급종료/재동작/복구 방법 - 시스템 모니터링 방안 : 보안감사로그, 각종 이벤트 로그 확인방법 - 긴급상황 발생 시 비상연락망 등

11.1.1.2 각종 정보시스템 운영절차(또는 매뉴얼)를 목록으로 관리하고 주기적인 내용 검토를 하고 있는가?  

ㅇ 신규 정보시스템 도입, 유지보수업체 변경 등 정보시스템 관련 환경 변화가 있을 경우 운영절차 내용을 검토하여 변경 사항을 반영하여야 한다. 또한 운영절차(매뉴얼)의 작성일자, 변경일자, 검토 및 승인자 등에 대한 이력도 함께 관리하여야 한다. ㅇ 운영절차(또는 매뉴얼)는 정보시스템 운영과 관련된 중요 자료이므로 조직의 민감한 정보(IP 등 시스템 정보)가 포함된 경우 대외비 문서로 지정(인증기준 4.2.1 보안등급과 취급 참고)하여 해당 업무 관련자만 접근할 수 있도록 통제하고 업무상 재해에 대비하여 복사본을 별도로 마련하여 소산 보관하는 것이 좋다. (인증기준 13. 재해복구 참고)

11.1.1.3 정보시스템 운영을 외부 위탁하는 경우 운영절차(매뉴얼) 수립 여부를 확인하고 있는가?  

ㅇ 정보시스템 운영을 외부 위탁하는 경우 외부 아웃소싱 업체가 정보시스템 운영절차(매뉴얼)를 수립하고 있는지 확인하고 운영절차에 따라 정보시스템 운영을 보장하도록 계약서에 관련 내용을 명시하여야 한다.  - 운영절차(매뉴얼)은 외부 아웃소싱 업체가 자체 수립하거나 위탁사의 절차를 준용하여 수립할 수 있다. ㅇ 운영 점검항목 등을 통해 외부 아웃소싱 업체가 운영절차를 준수하고 있는 지 주기적으로 확인하여야 한다. (인증기준 3.외부자 보안 참고)

11.1.2 변경관리

정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립하고 변경 전 시스템의 전반적인 성능 및 보안에 미치는 영향을 분석하여야 한다.

11.1.2.1 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립 ∙ 이행하고 있는가?

ㅇ 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU/메모리/저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경요청, 책임자 검토 ∙ 승인, 변경확인, 변경이력관리 등의 공식적인 절차를 수립하고 이행하여야 한다.

11.1.2.2 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?  

ㅇ 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석하여 변경에 따른 영향을 최소화 할 수 있도록 변경을 이행하고 변경 실패에 따른 복구방안을 사전에 고려하여야 한다. - 변경의 규모를 고려하여 영향 분석 대상 기준을 자체적으로 정할 수 있다.