[K-ISMS 인증기준] 정보보호대책 11. 운영보안 #2

K-ISMS 인증기준 - 11. 운영보안 #2

---

11.2 시스템 및 서비스 운영 보안

11.2.1 정보시스템 인수

새로운 정보시스템 도입 또는 개선 시 필수 보안요구사항을 포함한 인수 기준을 수립하고 인수 전 기준 적합성을 검토하여야 한다.

11.2.1.1 정보시스템 도입 또는 개선 계획을 수립하고 있는가?  

ㅇ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립하여야 한다.  - 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석 - 추가 자원의 필요성 및 시기에 대한 예상 - 성능, 안전성, 신뢰성, 보안성, 법규 등을 포함한 시스템 자원의 기능적, 운영적 요구사항 - 기존 시스템과의 호환성, 상호운영성, 기술표준에 따른 확장성 ㅇ 이 기준(11.2.1 정보시스템 인수)에서 적용되는   정보시스템   범위는 서버, 네트워크 장비, 상용 소프트웨어 패키지에 해당하며   보안시스템   도입 및 인수 시에도 적용하여야 한다. - 다만 응용프로그램 신규 개발 및 개선 시 보안요구사항 정의, 구현 및 시험 등에 관한 내용은   8. 시스템 개발보안  을 참고하여 적용하면 된다.

11.2.1.2 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준을 수립하고 있는가?  

ㅇ 정보시스템 인수 여부를 판단하기 위하여 정보시스템 및 보안시스템의 기본 보안설정 등이 반영된 인수 승인 기준을 수립하여야 한다. 또한 시스템 구매계약서 등에 반영하여 도입 과정에서 인수기준을 준수하도록 함으로써 기본 보안 설정 미흡으로 발생할 수 있는 보안취약점을 최대한 제거한 후 인수할 수 있어야 한다.   ※ 기본 보안 설정 : 불필요한 시스템 계정, 디폴트 계정, 임시 계정 등 삭제, 불필요한 서비스 및 포트 차단, 백신프로그램 설치 등

11.2.1.3 정보시스템 인수 전 인수기준 적합성 여부를 확인하기 위하여 테스트를 수행하고 있는가?

ㅇ 정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통해 확인한 후 인수여부를 결정하여야 한다.

11.2.2 보안시스템 운영 

보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립하고 보안시스템 별 정책적용 현황을 관리하여야 한다.

11.2.2.1 조직에서 운영하고 있는 보안시스템 운영절차를 수립하고 있는가?  

ㅇ 보안시스템(정보보호시스템)은 정보통신망을 통하여 수집 ∙ 저장 ∙ 검색 및 송 ∙ 수신되는 정보의 훼손 ∙ 변조 ∙ 유출 등을 방지하기 위한 장치로서 침입차단시스템(FW), 침입탐지시스템(IDS), 침입방지시스템(IPS), 웹방화벽, DB 접근통제시스템, 내부정보유출방지시스템(DLP), 가상사설망(VPN), 패치관리시스템(PMS) 등을 포함할 수 있다. ㅇ 외부침입 탐지 및 차단, 내외부자에 의한 정보유출 방지 등을 위하여 도입 ∙ 운영하고 있는 보안시스템에 대한 운영절차를 수립하여야 한다. - 보안시스템 유형별 책임자 및 관리자 지정 - 보안시스템 정책(룰셋 등) 적용(등록, 변경, 삭제 등) 절차 - 최신 정책 업데이트 : IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한 최신 패턴(시그너쳐) 및 엔진 지속적 업데이트, 시그너쳐  - 보안시스템 이벤트 모니터링 절차 : 정책에 위배되는 이상징후 탐지 및 확인 등 (인증기준 11.6.4 침해시도 모니터링 참고) - 보안시스템 접근통제 정책 - 보안시스템 운영현황 주기적 점검 등

11.2.2.2 보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자 접근을 엄격하게 통제하고 있는가?

ㅇ 사용자 인증, 관리자 단말 IP 또는 MAC 접근통제 등의 보호대책을 적용하여 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근을 엄격히 통제하여야 한다. 또한 주기적인 보안시스템 접속로그 분석을 통해 비인가자에 의한 접근시도를 확인하고 적절한 조치를 하여야 한다. (11.6.3 접근 및 사용 모니터링 참고)

11.2.2.3 보안시스템별 정책(룰셋 등) 신규 등록, 변경, 삭제 등 절차를 수립하고 정책의 타당성 검토를 주기적으로 수행하고 있는가?  

ㅇ 보안시스템별로 정책(룰셋 등) 신규 등록, 변경, 삭제 등을 위한 공식적인 절차(신청, 승인, 적용 등)를 수립 ∙ 이행하여야 한다. 이는 정책(룰셋 등)의 생성 이력을 확인하기 위한 것이다.  ㅇ 또한 정책의 타당성 및 적정성을 주기적으로 검토하여 다음 사항에 해당하는 경우 정책을 삭제 또는 변경하여야 한다. - 내부 보안정책 위배 (예 : FW 룰셋 내부망 Inbound Any 정책 허용 등) - 미승인 정책 - 장기간 미사용 정책 - 중복 또는 사용기간 만료 정책 - 퇴직자 및 직무변경자 관련 정책 등

11.2.3 성능 및 용량관리

정보시스템 및 서비스 가용성 보장을 위해 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링할 수 있는 방법 및 절차를 수립하여야 한다.

11.2.3.1 정보시스템의 성능 및 용량을 지속적으로 모니터링 하기 위한 절차를 수립 ∙ 이행하고 있는가?  

ㅇ 대고객 서비스 및 내부 업무 수행의 연속성을 보장할 수 있도록 주요 정보시스템의 성능 및 용량을 지속적으로 모니터링하여야 하며 다음사항을 포함한 절차를 수립하고 이행하여야 한다. - 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템을 식별하여 대상에 포함  - 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치를 정함 - 모니터링 방법 : 성능 및 용량 임계치 초과여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립 (예 : 알람 등) - 모니터링 결과 기록, 분석, 보고 - 성능 및 용량 관리 담당자 및 책임자 지정 등

11.2.3.2 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우 조치절차를 수립 ∙ 이행하고 있는가?

ㅇ 정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립하고 이행하여야 한다.

11.2.4 장애관리

정보시스템 장애 발생 시 효과적으로 대응하기 위한 탐지, 기록, 분석, 복구, 보고 등의 절차를 수립하여야 한다.

11.2.4.1 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립 ∙ 이행하고 있는가?  

ㅇ 정보시스템 장애유형 및 심각도를 정의하고 장애 발생 시 유형 및 심각도에 따라 다음과 같은 항목이 포함된 절차를 수립하고 이행하여야 한다. - 장애유형 및 심각도 정의 - 장애유형 및 심각도별 보고 절차 - 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용  - 장애 대응 및 복구에 관한 책임과 역할 정의 - 장애기록 및 분석 - 대고객 서비스인 경우 고객 안내 절차 - 비상연락체계(유지보수업체, 정보시스템 제조사) 등

11.2.4.2 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 기록 ∙ 관리하고 있는가?  

ㅇ 다음항목이 포함된 '장애조치보고서'를 작성하여 장애발생에 관한 이력을 기록하고 관리하여야 한다.  - 장애일시 - 장애심각도 (예 : 상, 중, 하) - 담당자, 책임자명 (유지보수업체 포함) - 장애내용 (장애로 인한 피해 또는 영향 포함) - 장애원인 - 조치내용 - 복구내용 - 재발방지대책 등

11.2.4.3 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 수립 ∙ 이행하고 있는가?

ㅇ 일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립하고 이행하여야 한다.

11.2.5 원격운영관리

내부 네트워크를 통하여 정보시스템을 관리하는 경우 특정 단말에서만 접근을 할 수 있도록 제한하고, 원격지에서 인터넷 등 외부 네트워크를 통하여 정보시스템을 관리하는 것은 원칙적으로 금지하고 부득이한 사유로 인해 허용하는 경우에는 책임자 승인, 접속 단말 및 사용자 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등의 보호대책을 수립하여야 한다.

11.2.5.1 내부 네트워크를 통해서 원격으로 시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?

ㅇ 내부 네트워크를 통해 정보시스템(서버, 네트워크 장비, 정보보호시스템 등)을 운영하거나 웹관리자 페이지에 접속하는 경우 관리자는 지정된 단말을 통해서만 접근 할 수 있도록 통제(IP 또는 MAC 인증 등)하여야 한다.  특히 패드, 스마트폰 등 스마트기기를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 한다. 다만 부득이한 경우 스마트기기에 대한 보안대책을 마련하고 책임자의 승인 후 사용하여야 한다.

11.2.5.2 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 있으며 부득이하게 허용하는 경우 다음과 같은 대책을 마련하고 있는가?

- 정보보호 최고책임자 승인

- 접속 단말 및 사용자 인증

- 한시적 접근권한 부여

- VPN 등의 전송구간 암호화

- 접속 단말 보안

- 원격운영 현황 지속적인 모니터링 등

ㅇ 인터넷과 같은 외부네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 하며 긴급 장애 대응, 유지보수 등과 같이 부득이한 경우 다음과 같은 보안대책을 마련하여야 하여야 한다. - 원격운영에 대한 정보보호 최고책임자 승인절차 - 접속 단말 및 사용자 인증절차 : ID/PW 이외의 강화된 인증방식(공인인증서, OTP 등) 적용 권고. 법적 요구사항 의무적 반영 필요. - 한시적 접근권한 부여 : VPN 계정, 시스템 접근권한 등 - VPN 등의 전송구간 암호화 - 접속 단말 보안 (예 : 백신 설치, 보안패치 적용 등) - 원격운영 현황(원격운영 인가자, VPN 계정 발급 현황 등) 지속적인 모니터링 - 원격 접속 기록 로깅 및 주기적 분석  - 원격운영 관련 보안인식교육 등 ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제4조(접근통제) - 개인정보보호법 '개인정보의 안전성 확보기준(고시)' 제6조(접근통제 시스템 설치 및 운영)

 

11.2.6 스마트워크 보안

재택근무, 원격협업 등과 같은 원격 업무 수행 시 이에 대한 관리적 ∙ 기술적 보호대책을 수립하고 이행하여야 한다.

11.2.6.1 재택근무, 원격협업 등과 같은 원격업무 수행, 클라우드 환경을 이용한 스마트워크 환경에서 주요정보자산을 보호하기 위한 정책 및 절차가 수립 ∙ 이행하고 있는가?  

ㅇ   스마트워크  란 정보통신망을 활용하여 언제, 어디서나 편리하게 효율적으로 업무에 종사할 수 있도록 하는 업무형태를 말한다. (스마트워크 활성화를 위한 정보보호 권고 제2조) - 스마트워크 업무형태에는 재택근무, 스마워크센터, 원격협업(영상회의 등), 모바일오피스(BYOD 포함) 등이 있다.   ※   모바일오피스  란 스마트폰, 스마트패드, 노트북 등 모바일기기를 이용하여 시간적, 공간적 제약없이 업무를 수행하는 근무환경을 말함 ㅇ 조직이 구축하고 있는 스마트워크 업무형태에 따라 위협요인을 분석하여 중요정보 유출, 해킹 등의 침해사고 예방을 위한 절차 및 보호대책을 다음과 같이 수립 ∙ 이행하여야 한다. - 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경 - 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위 ※ 스마트워크 서비스 영역과 내부네트워크 영역을 분리하고 스마트워크용 단말에서 내부네트워크 영역 직접 연결 차단 필요(중계서버 구축 등)  - 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등  - 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화 (예 : VPN, SSL 인증서 등), 사용자 인증(예 : ID/PW이외 OTP, 공인인증서 등 강화된 인증방식 도입 권고) 등 - 접속 단말(PC, 모바일기기 등) 보안 :  백신 설치, 보안패치 적용, 단말 인증, 분실/도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요 시 암호화 조치) 등    - 스마트워크 업무 환경에서의  이용자 정보보호 지침 마련 등 ※ 참고 ※ - 스마트워크 활성화를 위한 정보보호 권고 해설서 (KISA)

11.2.7 무선네트워크 보안

무선랜 등을 통해 무선인터넷을 사용하는 경우 무선 네트워크 구간에 대한 보안을 강화하기 위해 사용자 인증, 송수신 데이터 암호화 등의 보호대책을 수립하여야 한다.  

11.2.7.1 조직 내 무선네트워크 환경을 구축(AP 설치)할 경우 허가(승인), 보안성 검토 등 절차를 마련하고 구축에 따른 다음 (주요) 보호대책을 적용하고 있는가?

- 무선네트워크 장비(AP) 접속 단말 인증(MAC 인증 등)

- 무선네트워크 장비(AP) 정보 송수신 시 암호화 기능 설정(WPA2 이상 권고)

- 무선네트워크 장비(AP) SSID 숨김(브로드캐스팅 중지) 기능 설정

ㅇ 조직 내부네트워크에 연결이 가능한 무선네트워크 환경 구축 시에는 내부 승인절차를 마련하여 비인가된 (사설)무선네트워크 장비(Rogue AP : Access Point)를 운영하지 않도록 하여야 하며 사전 보안성 검토를 수행하여 다음과 같은 보호대책을 적용하여야 한다.  - 무선네트워크 장비 접속 단말기 인증 및 보안 - 무선네트워크 장비 (예 : AP, Access Point) 보안 및 허용 장비 리스트 - 무선 네트워크를 통하여 접근 할 수 있는 정보시스템 범위 정의 - 무선네트워크 사용권한 신청/변경/삭제 절차 - 사용자 식별 및 인증 - 무선네트워크 서비스 거리 제한 (주파수 세기 조정) - 정보송수신 시 무선망 암호화 기준 (예 : WPA2) - 전산실 등 통제구역 내 무선네트워크 사용 제한 - SSID(Service Set IDentification) 브로드캐스팅 중지 및 추측 어려운 SSID 사용 등 ㅇ 내부네트워크에 무선네트워크 환경을 구축하는 것은 업무의 편리성을 증대할 수는 있으나 충분한 보호대책 마련 없이 적용할 경우 내부 정보유출, 해킹 등의 심각한 상황을 초래할 수 있으므로 업무상 반드시 필요한 경우를 제외하고는 매우 신중하게 접근하여야 한다.  ※ 참고 ※ - 알기쉬운 무선랜 보안 안내서 및 무선랜 보안안내서 (KISA)

11.2.7.2 정상적인 절차에 따라 무선네트워크 사용을 허가한  경우 인가된 임직원만 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립하고 있는가?

ㅇ 외부인이 무선네트워크 통해 내부네트워크(업무망)에 접속할 수 없도록 인가받은 임직원만 무선네트워크을 사용할 수 있도록 필요한 절차를 마련하여야 한다.

11.2.7.3 외부인에게 제공하는 무선네트워크를 내부네트워크(업무망)와 분리하고 있는가?

ㅇ 회의실, 교육장, 기자실, 민원실 등 외부인의 접근이 빈번한 장소인 경우 외부인에게 무선네트워크 사용을 허용할 수 있으나 내부네트워크(업무망)과 분리하여 무선네트워크를 통한 내부네트워크 침투 및 내부 정보유출을 방지하여야 한다.

11.2.8 공개서버 보안

웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시절차를 수립하고 공개서버에 대한 물리적, 기술적 보호대책을 수립하여야 한다.

11.2.8.1 웹서버 등 공개 서버를 운영하는 경우 이에 대한 보호대책을 마련하고 있는가?  

ㅇ 공개서버(웹서버, 메일서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다. - 공개서버 전용서버로 운영  - 웹서버를 통한 개인정보 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축 - 접근권한 설정 - 백신설치 및 OS 최신 패치 - 불필요한 서비스 제거 및 포트 차단 - 불필요한 소프트웨어 ∙ 스크립트 ∙ 실행파일 등 설치 금지 등 - 불필요한 페이지(테스트 페이지) 및 에러처리 미흡에 따른 시스템 정보 노출 방지 - 주기적인 취약점 점검 등

11.2.8.2 공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가?

ㅇ 공개서버(웹서버, 메일서버 등)는 DMZ 영역에 설치하고 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용하여야 한다.  - DMZ의 공개서버가 내부 네트워크에 위치한 DB, WAS(Web Application Server) 등의 정보시스템과 접속이 필요한 경우 엄격하게 접근통제 정책을 적용하여야 한다.

 

11.2.8.3 공개서버의 취약점 점검을 주기적으로 수행하고 발견된 취약점을 조치하고 있는가?  

ㅇ 웹서버의 경우 최소한 OWASP TOP 10 웹취약점은 기본적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다. (인증기준 11.2.10 취약점 점검 참고) ※ 참고 ※  - 전자금융거래법 '전자금융감독규정(고시)' 제17조(홈페이지 등 공개용 웹서버 관리대책) - 웹서버구축 보안점검 안내서 (KISA)

11.2.8.4 웹사이트에 중요정보를 게시하거나 웹서버에 중요정보를 저장하여야 할 경우 책임자 승인 등 게시절차를 수립∙이행하고 중요정보 노출 여부를 주기적으로 확인하고 있는가?  

ㅇ 웹서버의 보안설정 미흡, 기술적 취약점, 담당자의 실수 등으로 인해 조직의 중요정보(개인정보, 기밀정보 등)가 외부로 누출되는 경우(무단게시 등)가 빈번하게 발생하고 있다. 이를 예방하기 위하여 웹사이트에 정보를 공개하거나 업무상 웹서버에 중요정보를 저장하여야 할 경우 허가 및 게시절차를 수립하여 이행하여야 한다. 다만 원칙적으로 DMZ 구간내 웹서버에 조직의 중요정보(개인정보, 기밀정보 등)를 저장 관리하지 않는 것이 바람직하다. ㅇ 또한 게시절차 위반 등으로 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다.

11.2.9 백업관리

데이터의 무결성 및 정보시스템의 가용성을 유지하기 위해 백업 대상, 주기, 방법 등의 절차를 수립하고 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

11.2.9.1 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립 ∙ 이행하고 있는가?  

ㅇ IT 재해, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 및 복구 절차를 수립하고 이행하여야 한다. - 백업대상 선정기준 수립 - 백업담당자 및 책임자 지정 - 백업대상별 백업 주기 및 보존기한 정의 - 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등 - 백업매체 관리 (예 : 라벨링, 보관장소, 접근통제 등) - 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해복구 측면(인증기준 13. IT재해복구 참고)에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요  - 백업관리대장 관리 등 ㅇ 백업대상은 중요정보(개인정보, 기밀정보 등), 문서, 각종 로그(정보시스템 보안감사로그, 이벤트 로그, 정보보호시스템 이벤트 로그 등), 환경설정파일 등 대상 정보 및 정보시스템의 중요도를 고려하여 선정하여야 하며 정해진 절차에 따라 백업관리를 수행하여야 한다.

11.2.9.2 중요정보가 저장된 백업매체의 경우 재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?  

ㅇ 중요정보가 저장된 백업매체는 운영중인 정보시스템 혹은 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리하여야 한다. - 소산일자 (반출, 반입 등) - 소산 백업매체 및 백업정보 내용 ㅇ 주기적으로 관리대장에 따라 소산 여부를 실사하여야 한다. ㅇ 소산장소에 대해 다음과 같은 보안대책을 마련하여야 한다. - 화재, 홍수와 같은 자연재해에 대한 대책 (예 : 내화금고, 방염처리 등) - 접근통제 등

11.2.10 취약점 점검

정보시스템이 알려진 취약점에 노출되어 있는 지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다.

11.2.10.1 정보시스템 취약점 점검 절차를 수립하여 정기적으로 점검을 수행하고 있는가?

ㅇ 정보시스템 취약점 점검 정책과 절차를 다음과 같은 내용을 포함하여 수립하여야 한다. - 취약점 점검 대상 (예 : 서버, 네트워크 장비 등) - 취약점 점검 주기 - 취약점 점검 담당자 및 책임자 지정 - 취약점 점검 절차 및 방법 등 ㅇ 정보시스템 중요도에 따라 주기적으로 다음과 같은 내용을 포함하여 취약점 점검을 실시하여야 한다. - 라우터, 스위치 등 네트워크 장비 구성, 설정 취약점  - 서버 OS, 보안 설정 취약점  - 방화벽 등 정보보호시스템 취약점 - 어플리케이션 취약점 - 웹서비스 취약점 - 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 ㅇ 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려하여야 한다. ㅇ 취약점 점검 시 이력관리가 될 수 있도록 '점검일시', '점검대상', '점검방법', '점검내용 및 결과', '발견사항', ' 조치사항' 등이 포함된 보고서를 작성하여야 한다.

11.2.10.2 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?  

ㅇ 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다.  - 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고하여야 한다.