[K-ISMS 인증기준] 정보보호대책 11. 운영보안 #3

K-ISMS 인증기준 - 11. 운영보안 #3

---

11.3 전자거래 및 정보전송 보안

11.3.1 전자거래 보안

전자거래 서비스 제공 시 정보유출, 데이터 조작, 사기 등의 침해사고를 예방하기 위해 사용자 인증, 암호화, 부인방지 등의 보호대책을 수립하고 결제시스템 등 외부 시스템과의 연계가 필요한 경우  연계 안전성을 점검하여야 한다.

11.3.1.1 전자(상)거래서비스를 제공하는 경우 전자(상)거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립 ∙ 이행하고 있는가?  

ㅇ   전자거래  는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말한다. (전자문서 및 전자거래 기본법 제2조) ㅇ   전자상거래  는 전자거래의 방법으로 상행위를 하는 것을 말한다. (전자상거래 등에서의 소비자보호에 관한 법률 제2조) ㅇ 전자(상)거래사업자는 전자(상)거래의 안정성과 신뢰성을 확보하기 위하여 전자(상)거래이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해사고를 예방하기 위한 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 한다. 보호대책 수립 시에는 다음과 같은 법률 등을 고려하여야 한다. ※ 참고 ※ - 전자문서 및 전자거래 기본법 - 전자상거래 등에서의 소비자 보호에 관한 법률 - 정보통신 이용촉진 및 정보보호 등에 관한 법률 - 개인정보보호법 - 전자금융거래법 등

11.3.1.2 전자(상)거래 서비스 제공을 위하여 전자적 수단의 거래대금 지급방법을 이용하는 경우 전자(상)거래사업자와 전자결제업자간에 송 ∙ 수신되는 결제관련 정보의 보호를 위한 대책을 수립 ∙ 이행하고 있는가?  

ㅇ   전자결제업자  는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조) 다음에 해당하는 자를 말한다. - 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록저장하였다가 재화 등의 구매 시 지급하는 자), PG사 ※ PG(Payment Gateway)사는 인터넷 상에서 금융 기관과 하는 거래를 대행해 주는 서비스. 신용 카드, 계좌 이체, 핸드폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사 ㅇ 전자(상)거래사업자와 전자결제업자간에 송 ∙ 수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자간 피해가 발생하지 않도록 적절한 보호대책을 수립하여 이행하여야 한다.

11.3.2 정보전송 정책 수립 및 협약 체결

타 조직에 중요정보를 전송할 경우 안전한 전송을 위한 정책을 수립하고 조직 간 정보전송 합의를 통해 관리 책임, 전송 기술 표준, 중요정보의 보호를 위한 기술적 보호조치 등을 포함한 협약서를 작성하여야 한다.

11.3.2.1 업무상 조직 간에 중요정보(개인정보, 기밀정보 등)를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립 ∙ 이행하고 있는가?

ㅇ 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 한다. - 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등  - 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위해 업무상 필요한 최소한의 정보만을 송·수신 - 담당자 및 책임자 지정 - 정보 전송 기술 표준 정의 (예 : 정보 전송 시  협의 등) - 정보 전송, 저장, 파기 시 관리적∙기술적 ∙ 물리적 보호대책 등 ※ DM(Direct Mail advertising) : 우편물을 통한 홍보활동을 의미하며 편지, 엽서, 안내장, 리플렛, 카다롤그, 청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단

---

11.4 매체 보안

11.4.1 정보시스템 저장매체 관리

정보시스템 폐기 또는 재사용 시 중요정보를 담고 있는 하드디스크, 스토리지, 테잎 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제하여야 한다.

11.4.1.1 정보시스템 폐기 또는 재사용 발생 시 중요정보를 담고 있는 저장매체 처리(폐기, 재사용) 절차를 수립 ∙ 이행하고 있는가?  

ㅇ 사용연한 경과, 고장 등의 사유로 정보시스템을 폐기 또는 재사용(양도, 내부판매, 재활용 등)할 경우 저장매체 처리에 관한 절차를 수립하여 저장매체에 저장된 중요정보 유출을 방지하여야 한다.  - 저장매체 확인 및 승인 : 정보시스템 폐기 또는 재사용 시 저장매체 확인하고 폐기 또는 재사용 여부 결정 - 저장매체 폐기, 재사용에 따른 처리방법 정의 (예 : 폐기 → 물리적 폐기 ∙ 디가우징 등, 재사용 → 완전 포맷) - 저장매체 처리 확인 및 기록

11.4.1.2 저장매체 폐기 또는 재사용 시 정보가 복구되지 않는 방법으로 처리하고 있는가?

ㅇ 저장매체의 폐기 시 물리적, 전자적으로 완전파괴하고 재사용 시에는 완전포맷 방식으로 정보를 삭제하여야 한다.  완전포맷 은 저장매체 전체의 자료저장 위치에 새로운 자료를 중복하여 저장하는 것을 의미하여 완전포맷 횟수는 조직이 스스로 정하여 적용할 수 있다.

11.4.1.3 자체적으로 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인증적을 함께 보관하고 있는가?  

ㅇ조직이 자체적으로 저장매체 폐기할 경우 폐기이력에 대한 감사증적을 확보할 수 있도록 다음항목이 포함된 관리대장을 작성하고 관련 책임자가 확인하여야 한다. - 폐기일자 - 폐기 담당자, 확인자명 - 폐기방법 - 폐기확인증적(사진 등) 등

11.4.1.4 외부업체를 통해 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전한 폐기에 대한 확인을 하고 있는가?

ㅇ 아웃소싱등 외부업체를 통해 저장매체를 폐기할 경우, 내부 폐기정책과 절차 내용을 계약서에 명시하고 폐기 시 가능하면 외부업체와 함께 현장에서 함께 폐기현장을 실사하고 폐기증적을 사진, 동영상 등으로 받아 확인하여야 한다.

11.4.1.5 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?

ㅇ 정보시스템, PC 등 유지보수, 수리과정에서 저장매체 교체, 복구 등의 상황 발생 시 저장매체 내 중요정보를 보호하기 위하여 유지보수 신청 전 데이터 이관 및 파기, 암호화, 계약 시 비밀유지서약 등과 같은 보호대책을 마련하여야 한다.

 

11.4.2 휴대용 저장매체 관리

조직의 중요정보 유출을 예방하기 위해 외장하드, USB, CD 등 휴대용 저장매체 취급, 보관, 폐기, 재사용에 대한 절차를 수립하여야 한다. 또한 매체를 통한 악성코드 감염 방지 대책을 마련하여야 한다. 

11.4.2.1 외장하드, USB, CD 등 휴대용 저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립 ∙ 이행하고 있는가?  

ㅇ 휴대용 저장매체  라 함은 디스켓, 외장형 하드디스크, USB 메모리, CD, DVD 등 자료를 저장할 수 있는 일체의 것으로 PC 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다. ㅇ 업무용으로 개인 휴대용 저장매체를 사용하는 것은 원칙적으로 금지하여야 하며 업무 목적상 외장하드, USB 메모리, CD 등 휴대용 저장매체를 사용하여야 하는 경우 허가된 저장매체만 사용할 수 있도록 다음과 같은 정책 및 절차를 수립하고 이행하여야 한다. - 휴대용 저장매체 취급(사용)범위 : 통제구역, 제한구역 등 보호구역별 저장매체 사용 정책 및 절차 수립 - 휴대용 저장매체 사용허가 및 등록절차 - 휴대용 저장매체 반출, 반입 절차  - 휴대용 저장매체 폐기, 재사용에 대한 절차 - 휴대용 저장매체 보호대책 등

11.4.2.2 주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 휴대용 저장매체 사용을 제한하고 있는가?

ㅇ 주요 정보시스템이 위치한 통제구역(전산실 등), 조직 내 중요정보에 접근이 가능한 제한구역(운영실, 관제실 등)에서는 휴대용 저장매체의 사용 및 반입을 엄격하게 제한하여야 한다. 불가피하게 사용할 경우 책임자의 허가절차를 거친 후 적법한 절차에 따른 사용여부 확인을 위하여 지속적인 점검을 수행하여야 한다.

11.4.2.3 휴대용 저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가?  

ㅇ 휴대용 저장매체를 통해 바이러스, 악성코드가 유포되지 않도록 휴대용 저장매체가 연결되는 단말기에 다음과 같은 대책을 적용하고 주기적으로 점검하여야 한다. - 휴대용 저장매체 자동실행 기능 해지 - 휴대용 저장매체 이용 시 바이러스 및 악성코드 사전(자동) 검사 - 휴대용 저장매체 내 숨김파일 및 폴더 등이 표시되도록 PC 등 단말기 옵션 변경 등 ㅇ 조직의 중요정보(개인정보, 기밀정보 등)의 경우 휴대용 저장매체 저장을 제한하고  업무상 저장이 필요한 경우에는 암호화 등의 보호대책을 마련하여 매체 분실, 도난 등에 따른 중요정보 유출을 방지하여야 한다.

11.4.2.4 휴대용 저장매체 보유현황 및 관리실태를 주기적으로 점검하고 있는가?

ㅇ 업무목적으로 사용이 허용된 휴대용 저장매체의 경우 식별번호, 유형, 사용목적, 관리자, 책임자 등이 명시된 보유목록을 작성하고 주기적인 자산실사를 통해 목록을 현행화하여야 한다.