[K-ISMS 인증기준] 정보보호대책 12. 침해사고 관리

K-ISMS 인증기준 - 12. 침해사고 관리

---

12.1 절차 및 체계

12.1.1 침해사고 대응절차 수립

DDoS 등 침해사고 유형별 중요도 분류, 유형별 보고 대응․복구 절차, 비상연락체계, 훈련 시나리오 등을 포함한 침해사고 대응 절차를 수립하여야 한다.  

12.1.1.1 침해사고대응절차가 수립되어 있고 대응절차에는 다음과 같은 사항을 포함하고 있는가?

- 침해사고의 정의 및 범위 (중요도 및 유형 포함)

- 침해사고 선포절차 및 방법

- 비상연락체계

- 침해사고 발생시 기록, 보고절차

- 침해사고 신고 및 통지 절차 (관계기관, 이용자 등)

- 침해사고 보고서 작성

- 침해사고 대응 및 복구 절차

- 침해사고 복구조직의 구성 및 책임, 역할

- 침해사고 복구장비 및 자원조달

- 침해사고 대응 및 복구 훈련, 훈련 시나리오

- 외부 전문가나 전문기관의 활용방안

- 기타 보안사고 예방 및 복구를 위하여 필요한 사항

ㅇ 침해사고의 정의 및 범위, 긴급연락체계 구축, 침해사고 발생시 보고 및 대응 절차, 사고 복구조직의 구성 등을 포함한 침해사고 대응절차를 수립하여야 한다.

12.1.2 침해사고 대응체계 구축

침해사고 대응이 신속하게 이루어질 수 있도록 중앙 집중적인 대응체계를 구축하고 외부기관 및 전문가들과의 협조체계를 수립하여야 한다.

12.1.2.1 침해사고를 모니터링 하고 신속하게 대응할 수 있도록 모니터링 및 대응 방법, 절차, 대응 조직 및 인력, 보고 및 승인 방법 등을 포함한 중앙집중적인 대응체계를 수립하고 있는가?

ㅇ 침해사고를 효과적으로 모니터링하고 신속하게 대응하기 위해서는 중앙집중적인 대응체계를 수립하여야 한다.

12.1.2.2 침해사고가 유형 및 중요도에 따라 분류되어 있고 이에 따른 보고체계를 정의하고 있는가?

ㅇ 침해사고를 유형 및 중요도에 따라 분류하고 분류에 따른 보고체계를 정의하여야 한다.

12.1.2.3 외부관제시스템 등 외부 기관을 통해 침해사고 대응체계를 구축 ∙ 운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?

ㅇ 침해사고 대응체계를 외부 기관을 통해 구축한 경우 수립된 침해사고 대응절차 및 체계를 계약서에 반영하여야 한다.

12.1.2.4 침해사고의 모니터링, 대응 및 처리와 관련된 외부전문가, 전문업체, 전문기관(KISA) 등과의 협조체계를 수립하고 있는가?

ㅇ 침해사고의 모니터링, 대응 및 처리와 관련되어 외부 전문가, 전문업체, 전문기관(KISA) 등과의 연락 및 협조체계를 수립하여야 한다.

---

12.2 대응 및 복구

12.2.1 침해사고 훈련

침해사고 대응 절차를 임직원들이 숙지할 수 있도록 시나리오에 따른 모의훈련을 실시하여야 한다.

12.2.1.1 침해사고 대응절차에 관한 모의훈련계획을 수립하고 이에 따라 주기적으로 훈련을 실시하고 있는가?

ㅇ 침해사고 대응절차 및 방법에 대한 적정성과 효과성을 평가하기 위하여 주기적으로 침해사고 대응 훈련을 수행하여야 한다.

12.2.2 침해사고 보고

침해사고 징후 또는 사고 발생을 인지한 때에는 침해사고 유형별 보고절차에 따라 신속히 보고하고 법적 통지 및 신고 의무를 준수하여야 한다.

12.2.2.1 침해사고의 징후 또는 침해사고 발생을 인지한 경우 정의된 침해사고 보고절차에 따라 신속하게 보고가 이루어지고 있는가?

ㅇ 하드웨어 및 소프트웨어상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 신속하게 보고하여야 한다.

12.2.2.2 침해사고보고서에는 사고 날짜, 사고 내용 등 필요 내용을 모두 포함하고 있는가?  

ㅇ 침해사고 발생시 침해사고보고서가 작성되어야 하고, 보고서에는 다음과 같은 사항이 포함하여야 한다. - 침해사고 발생일시 - 보고자와 보고일시 - 사고내용 (발견사항, 피해내용 등)  - 사고대응 경과 내용 - 사고대응까지의 소요시간 등

12.2.2.3 침해사고가 조직에 미치는 영향이 심각할 경우 최고경영층까지 신속하게 보고하고 있는가?

ㅇ 조직의 유 ∙ 무형 자산에 심각한 영향을 끼칠 수 있는 침해사고가 발견되거나 발생한 경우 최고경영층까지 보고하여야 한다.

12.2.2.4 침해사고 발생 시 관련 법률 및 규정에 따라 신고, 통지하는 절차를 따르고 있는가?  

ㅇ 침해사고 발생 시 법률이나 규정 등에 따라 관계기관에 신고하여야 하며 개인정보와 관련한 침해사고는 이용자(정보주체)에게 신속하게 통지하여야 한다. ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등) - 개인정보보호법 제34조(개인정보 유출 통지 등)

12.2.3 침해사고 처리 및 복구

침해사고 대응절차에 따라 처리와 복구를 신속하게 수행하여야 한다.

12.2.3.1 침해사고가 발생한 경우 절차에 따라 처리 및 복구를 수행하고 그 기록을 남기고 있는가?

- 처리 및 복구 일시

- 담당자

- 처리 및 복구 방법

- 처리 및 복구 수행 경과 내용 (예 : 시작부터 종료까지 시간순으로 작성)

ㅇ 침해사고 처리와 복구는 수립된 절차에 따라 수행하여야 하며 침해사고 이력관리를 위하여 사고발생부터 처리 및 복구 종료까지의 진행경과를 보고서로 작성하여야 한다.

---

12.3 사후관리

12.3.1 침해사고 분석 및 공유

침해사고가 처리되고 종결된 후 이에 대한 분석을 수행하고 그 결과를 보고하여야 한다. 또한 사고에 대한 정보와 발견된 취약점들을 관련 조직 및 임직원들과  공유하여야 한다.

12.3.1.1 침해사고가 종결된 후 사고의 원인을 분석하고 그 결과를 보고하고 있는가?

ㅇ 침해사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며 그 결과가 보고되어야 한다.

12.3.1.2 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하고 있는가?

ㅇ 침해사고 정보와 발견된 취약점을 관련조직 및 인력과 공유하여야 한다.

12.3.2 재발방지

침해사고로부터 얻은 정보를 활용하여, 유사 사고가 반복되지 않도록 재발방지 대책을 수립하고 이를 위해 필요한 경우 정책, 절차, 조직 등의 대응체계를 변경하여야 한다.

12.3.2.1 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?  

ㅇ 침해사고 분석을 통해 얻어진 정보를 활용하여 유사사고가 반복되지 않도록 하는 재발방지 대책을 수립하여야 한다. ㅇ 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호정책 및 절차 등의 사고대응체계에 대한 변경을 수행하여야 한다.