securityse lab

 ㅇ   전자거래  는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말한다. (전자문서 및 전자거래 기본법 제2조)

ㅇ   전자상거래  는 전자거래의 방법으로 상행위를 하는 것을 말한다. (전자상거래 등에서의 소비자보호에 관한 법률 제2조)

ㅇ 전자(상)거래사업자는 전자(상)거래의 안정성과 신뢰성을 확보하기 위하여 전자(상)거래이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해사고를 예방하기 위한 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 한다. 보호대책 수립 시에는 다음과 같은 법률 등을 고려하여야 한다.

※ 참고 ※

- 전자문서 및 전자거래 기본법

- 전자상거래 등에서의 소비자 보호에 관한 법률

- 정보통신 이용촉진 및 정보보호 등에 관한 법률

- 개인정보보호법

- 전자금융거래법 등 

ㅇ   전자결제업자  는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조) 다음에 해당하는 자를 말한다.

- 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록저장하였다가 재화 등의 구매 시 지급하는 자), PG사

※ PG(Payment Gateway)사는 인터넷 상에서 금융 기관과 하는 거래를 대행해 주는 서비스. 신용 카드, 계좌 이체, 핸드폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사

ㅇ 전자(상)거래사업자와 전자결제업자간에 송 ∙ 수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자간 피해가 발생하지 않도록 적절한 보호대책을 수립하여 이행하여야 한다. 

ㅇ 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 한다.

- 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등 

- 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위해 업무상 필요한 최소한의 정보만을 송·수신

- 담당자 및 책임자 지정

- 정보 전송 기술 표준 정의 (예 : 정보 전송 시  협의 등)

- 정보 전송, 저장, 파기 시 관리적∙기술적 ∙ 물리적 보호대책 등

※ DM(Direct Mail advertising) : 우편물을 통한 홍보활동을 의미하며 편지, 엽서, 안내장, 리플렛, 카다롤그, 청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단 

ㅇ 사용연한 경과, 고장 등의 사유로 정보시스템을 폐기 또는 재사용(양도, 내부판매, 재활용 등)할 경우 저장매체 처리에 관한 절차를 수립하여 저장매체에 저장된 중요정보 유출을 방지하여야 한다. 

- 저장매체 확인 및 승인 : 정보시스템 폐기 또는 재사용 시 저장매체 확인하고 폐기 또는 재사용 여부 결정

- 저장매체 폐기, 재사용에 따른 처리방법 정의 (예 : 폐기 → 물리적 폐기 ∙ 디가우징 등, 재사용 → 완전 포맷)

- 저장매체 처리 확인 및 기록  

 ㅇ 저장매체의 폐기 시 물리적, 전자적으로 완전파괴하고 재사용 시에는 완전포맷 방식으로 정보를 삭제하여야 한다.  완전포맷 은 저장매체 전체의 자료저장 위치에 새로운 자료를 중복하여 저장하는 것을 의미하여 완전포맷 횟수는 조직이 스스로 정하여 적용할 수 있다.

 ㅇ조직이 자체적으로 저장매체 폐기할 경우 폐기이력에 대한 감사증적을 확보할 수 있도록 다음항목이 포함된 관리대장을 작성하고 관련 책임자가 확인하여야 한다.

- 폐기일자

- 폐기 담당자, 확인자명

- 폐기방법

- 폐기확인증적(사진 등) 등 

 ㅇ 아웃소싱등 외부업체를 통해 저장매체를 폐기할 경우, 내부 폐기정책과 절차 내용을 계약서에 명시하고 폐기 시 가능하면 외부업체와 함께 현장에서 함께 폐기현장을 실사하고 폐기증적을 사진, 동영상 등으로 받아 확인하여야 한다.

ㅇ 정보시스템, PC 등 유지보수, 수리과정에서 저장매체 교체, 복구 등의 상황 발생 시 저장매체 내 중요정보를 보호하기 위하여 유지보수 신청 전 데이터 이관 및 파기, 암호화, 계약 시 비밀유지서약 등과 같은 보호대책을 마련하여야 한다.

 ㅇ 휴대용 저장매체  라 함은 디스켓, 외장형 하드디스크, USB 메모리, CD, DVD 등 자료를 저장할 수 있는 일체의 것으로 PC 등의 정보통신시스템과 분리할 수 있는 기억장치를 말한다.

ㅇ 업무용으로 개인 휴대용 저장매체를 사용하는 것은 원칙적으로 금지하여야 하며 업무 목적상 외장하드, USB 메모리, CD 등 휴대용 저장매체를 사용하여야 하는 경우 허가된 저장매체만 사용할 수 있도록 다음과 같은 정책 및 절차를 수립하고 이행하여야 한다.

- 휴대용 저장매체 취급(사용)범위 : 통제구역, 제한구역 등 보호구역별 저장매체 사용 정책 및 절차 수립

- 휴대용 저장매체 사용허가 및 등록절차

- 휴대용 저장매체 반출, 반입 절차 

- 휴대용 저장매체 폐기, 재사용에 대한 절차

- 휴대용 저장매체 보호대책 등 

 ㅇ 주요 정보시스템이 위치한 통제구역(전산실 등), 조직 내 중요정보에 접근이 가능한 제한구역(운영실, 관제실 등)에서는 휴대용 저장매체의 사용 및 반입을 엄격하게 제한하여야 한다. 불가피하게 사용할 경우 책임자의 허가절차를 거친 후 적법한 절차에 따른 사용여부 확인을 위하여 지속적인 점검을 수행하여야 한다.     

 ㅇ 휴대용 저장매체를 통해 바이러스, 악성코드가 유포되지 않도록 휴대용 저장매체가 연결되는 단말기에 다음과 같은 대책을 적용하고 주기적으로 점검하여야 한다.

- 휴대용 저장매체 자동실행 기능 해지

- 휴대용 저장매체 이용 시 바이러스 및 악성코드 사전(자동) 검사

- 휴대용 저장매체 내 숨김파일 및 폴더 등이 표시되도록 PC 등 단말기 옵션 변경 등

ㅇ 조직의 중요정보(개인정보, 기밀정보 등)의 경우 휴대용 저장매체 저장을 제한하고  업무상 저장이 필요한 경우에는 암호화 등의 보호대책을 마련하여 매체 분실, 도난 등에 따른 중요정보 유출을 방지하여야 한다. 

ㅇ 업무목적으로 사용이 허용된 휴대용 저장매체의 경우 식별번호, 유형, 사용목적, 관리자, 책임자 등이 명시된 보유목록을 작성하고 주기적인 자산실사를 통해 목록을 현행화하여야 한다. 

 ㅇ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립하여야 한다. 

- 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석

- 추가 자원의 필요성 및 시기에 대한 예상

- 성능, 안전성, 신뢰성, 보안성, 법규 등을 포함한 시스템 자원의 기능적, 운영적 요구사항

- 기존 시스템과의 호환성, 상호운영성, 기술표준에 따른 확장성

ㅇ 이 기준(11.2.1 정보시스템 인수)에서 적용되는   정보시스템   범위는 서버, 네트워크 장비, 상용 소프트웨어 패키지에 해당하며   보안시스템   도입 및 인수 시에도 적용하여야 한다.

- 다만 응용프로그램 신규 개발 및 개선 시 보안요구사항 정의, 구현 및 시험 등에 관한 내용은   8. 시스템 개발보안  을 참고하여 적용하면 된다. 

 ㅇ 정보시스템 인수 여부를 판단하기 위하여 정보시스템 및 보안시스템의 기본 보안설정 등이 반영된 인수 승인 기준을 수립하여야 한다. 또한 시스템 구매계약서 등에 반영하여 도입 과정에서 인수기준을 준수하도록 함으로써 기본 보안 설정 미흡으로 발생할 수 있는 보안취약점을 최대한 제거한 후 인수할 수 있어야 한다.

※ 기본 보안 설정 : 불필요한 시스템 계정, 디폴트 계정, 임시 계정 등 삭제, 불필요한 서비스 및 포트 차단, 백신프로그램 설치 등 

ㅇ 정보시스템을 인수하기 전 사전 정의한 인수기준과의 적합성 여부를 테스트 등을 통해 확인한 후 인수여부를 결정하여야 한다.

 ㅇ 보안시스템(정보보호시스템)은 정보통신망을 통하여 수집 ∙ 저장 ∙ 검색 및 송 ∙ 수신되는 정보의 훼손 ∙ 변조 ∙ 유출 등을 방지하기 위한 장치로서 침입차단시스템(FW), 침입탐지시스템(IDS), 침입방지시스템(IPS), 웹방화벽, DB 접근통제시스템, 내부정보유출방지시스템(DLP), 가상사설망(VPN), 패치관리시스템(PMS) 등을 포함할 수 있다.

ㅇ 외부침입 탐지 및 차단, 내외부자에 의한 정보유출 방지 등을 위하여 도입 ∙ 운영하고 있는 보안시스템에 대한 운영절차를 수립하여야 한다.

- 보안시스템 유형별 책임자 및 관리자 지정

- 보안시스템 정책(룰셋 등) 적용(등록, 변경, 삭제 등) 절차

- 최신 정책 업데이트 : IDS, IPS 등의 보안시스템의 경우 새로운 공격기법을 탐지하기 위한 최신 패턴(시그너쳐) 및 엔진 지속적 업데이트, 시그너쳐 

- 보안시스템 이벤트 모니터링 절차 : 정책에 위배되는 이상징후 탐지 및 확인 등 (인증기준 11.6.4 침해시도 모니터링 참고)

- 보안시스템 접근통제 정책

- 보안시스템 운영현황 주기적 점검 등 

 ㅇ 사용자 인증, 관리자 단말 IP 또는 MAC 접근통제 등의 보호대책을 적용하여 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근을 엄격히 통제하여야 한다. 또한 주기적인 보안시스템 접속로그 분석을 통해 비인가자에 의한 접근시도를 확인하고 적절한 조치를 하여야 한다. (11.6.3 접근 및 사용 모니터링 참고)

 ㅇ 보안시스템별로 정책(룰셋 등) 신규 등록, 변경, 삭제 등을 위한 공식적인 절차(신청, 승인, 적용 등)를 수립 ∙ 이행하여야 한다. 이는 정책(룰셋 등)의 생성 이력을 확인하기 위한 것이다. 

ㅇ 또한 정책의 타당성 및 적정성을 주기적으로 검토하여 다음 사항에 해당하는 경우 정책을 삭제 또는 변경하여야 한다.

- 내부 보안정책 위배 (예 : FW 룰셋 내부망 Inbound Any 정책 허용 등)

- 미승인 정책

- 장기간 미사용 정책

- 중복 또는 사용기간 만료 정책

- 퇴직자 및 직무변경자 관련 정책 등 

 ㅇ 대고객 서비스 및 내부 업무 수행의 연속성을 보장할 수 있도록 주요 정보시스템의 성능 및 용량을 지속적으로 모니터링하여야 하며 다음사항을 포함한 절차를 수립하고 이행하여야 한다.

- 성능 및 용량관리 대상 식별 기준 : 서비스 및 업무 수행에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템을 식별하여 대상에 포함 

- 정보시스템별 성능 및 용량 요구사항(임계치) 정의 : 정보시스템 가용성에 영향을 줄 수 있는 CPU, 메모리, 저장장치 등의 임계치를 정함

- 모니터링 방법 : 성능 및 용량 임계치 초과여부를 지속적으로 모니터링하고 대처할 수 있는 방법 수립 (예 : 알람 등)

- 모니터링 결과 기록, 분석, 보고

- 성능 및 용량 관리 담당자 및 책임자 지정 등 

ㅇ 정보시스템의 성능 및 용량 현황을 지속적으로 모니터링하여 요구사항(임계치)을 초과하는 경우 조치방안(예 : 정보시스템, 메모리, 저장장치 증설 등)을 수립하고 이행하여야 한다.

 ㅇ 정보시스템 장애유형 및 심각도를 정의하고 장애 발생 시 유형 및 심각도에 따라 다음과 같은 항목이 포함된 절차를 수립하고 이행하여야 한다.

- 장애유형 및 심각도 정의

- 장애유형 및 심각도별 보고 절차

- 장애유형별 탐지 방법 수립 : NMS(Network Management System) 등 관리시스템 활용 

- 장애 대응 및 복구에 관한 책임과 역할 정의

- 장애기록 및 분석

- 대고객 서비스인 경우 고객 안내 절차

- 비상연락체계(유지보수업체, 정보시스템 제조사) 등 

 ㅇ 다음항목이 포함된 '장애조치보고서'를 작성하여 장애발생에 관한 이력을 기록하고 관리하여야 한다. 

- 장애일시

- 장애심각도 (예 : 상, 중, 하)

- 담당자, 책임자명 (유지보수업체 포함)

- 장애내용 (장애로 인한 피해 또는 영향 포함)

- 장애원인

- 조치내용

- 복구내용

- 재발방지대책 등 

 ㅇ 일상 업무가 중단되는 장애, 과다한 비용(피해)을 초래한 장애, 반복적으로 발생하는 장애 등과 같은 심각한 장애의 경우 원인을 규명하고 재발을 방지하기 위한 대책을 수립하고 이행하여야 한다.

 ㅇ 내부 네트워크를 통해 정보시스템(서버, 네트워크 장비, 정보보호시스템 등)을 운영하거나 웹관리자 페이지에 접속하는 경우 관리자는 지정된 단말을 통해서만 접근 할 수 있도록 통제(IP 또는 MAC 인증 등)하여야 한다.  특히 패드, 스마트폰 등 스마트기기를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 한다. 다만 부득이한 경우 스마트기기에 대한 보안대책을 마련하고 책임자의 승인 후 사용하여야 한다.

 ㅇ 인터넷과 같은 외부네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하여야 하며 긴급 장애 대응, 유지보수 등과 같이 부득이한 경우 다음과 같은 보안대책을 마련하여야 하여야 한다.

- 원격운영에 대한 정보보호 최고책임자 승인절차

- 접속 단말 및 사용자 인증절차 : ID/PW 이외의 강화된 인증방식(공인인증서, OTP 등) 적용 권고. 법적 요구사항 의무적 반영 필요.

- 한시적 접근권한 부여 : VPN 계정, 시스템 접근권한 등

- VPN 등의 전송구간 암호화

- 접속 단말 보안 (예 : 백신 설치, 보안패치 적용 등)

- 원격운영 현황(원격운영 인가자, VPN 계정 발급 현황 등) 지속적인 모니터링

- 원격 접속 기록 로깅 및 주기적 분석 

- 원격운영 관련 보안인식교육 등

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제4조(접근통제)

- 개인정보보호법 '개인정보의 안전성 확보기준(고시)' 제6조(접근통제 시스템 설치 및 운영)

 ㅇ   스마트워크  란 정보통신망을 활용하여 언제, 어디서나 편리하게 효율적으로 업무에 종사할 수 있도록 하는 업무형태를 말한다. (스마트워크 활성화를 위한 정보보호 권고 제2조)

- 스마트워크 업무형태에는 재택근무, 스마워크센터, 원격협업(영상회의 등), 모바일오피스(BYOD 포함) 등이 있다.

  ※   모바일오피스  란 스마트폰, 스마트패드, 노트북 등 모바일기기를 이용하여 시간적, 공간적 제약없이 업무를 수행하는 근무환경을 말함

ㅇ 조직이 구축하고 있는 스마트워크 업무형태에 따라 위협요인을 분석하여 중요정보 유출, 해킹 등의 침해사고 예방을 위한 절차 및 보호대책을 다음과 같이 수립 ∙ 이행하여야 한다.

- 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경

- 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위

※ 스마트워크 서비스 영역과 내부네트워크 영역을 분리하고 스마트워크용 단말에서 내부네트워크 영역 직접 연결 차단 필요(중계서버 구축 등) 

- 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등 

- 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화 (예 : VPN, SSL 인증서 등), 사용자 인증(예 : ID/PW이외 OTP, 공인인증서 등 강화된 인증방식 도입 권고) 등

- 접속 단말(PC, 모바일기기 등) 보안 :  백신 설치, 보안패치 적용, 단말 인증, 분실/도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요 시 암호화 조치) 등   

- 스마트워크 업무 환경에서의  이용자 정보보호 지침 마련 등

※ 참고 ※

- 스마트워크 활성화를 위한 정보보호 권고 해설서 (KISA) 

 ㅇ 조직 내부네트워크에 연결이 가능한 무선네트워크 환경 구축 시에는 내부 승인절차를 마련하여 비인가된 (사설)무선네트워크 장비(Rogue AP : Access Point)를 운영하지 않도록 하여야 하며 사전 보안성 검토를 수행하여 다음과 같은 보호대책을 적용하여야 한다. 

- 무선네트워크 장비 접속 단말기 인증 및 보안

- 무선네트워크 장비 (예 : AP, Access Point) 보안 및 허용 장비 리스트

- 무선 네트워크를 통하여 접근 할 수 있는 정보시스템 범위 정의

- 무선네트워크 사용권한 신청/변경/삭제 절차

- 사용자 식별 및 인증

- 무선네트워크 서비스 거리 제한 (주파수 세기 조정)

- 정보송수신 시 무선망 암호화 기준 (예 : WPA2)

- 전산실 등 통제구역 내 무선네트워크 사용 제한

- SSID(Service Set IDentification) 브로드캐스팅 중지 및 추측 어려운 SSID 사용 등

ㅇ 내부네트워크에 무선네트워크 환경을 구축하는 것은 업무의 편리성을 증대할 수는 있으나 충분한 보호대책 마련 없이 적용할 경우 내부 정보유출, 해킹 등의 심각한 상황을 초래할 수 있으므로 업무상 반드시 필요한 경우를 제외하고는 매우 신중하게 접근하여야 한다. 

※ 참고 ※

- 알기쉬운 무선랜 보안 안내서 및 무선랜 보안안내서 (KISA)  

 ㅇ 외부인이 무선네트워크 통해 내부네트워크(업무망)에 접속할 수 없도록 인가받은 임직원만 무선네트워크을 사용할 수 있도록 필요한 절차를 마련하여야 한다.  

 ㅇ 회의실, 교육장, 기자실, 민원실 등 외부인의 접근이 빈번한 장소인 경우 외부인에게 무선네트워크 사용을 허용할 수 있으나 내부네트워크(업무망)과 분리하여 무선네트워크를 통한 내부네트워크 침투 및 내부 정보유출을 방지하여야 한다.

 ㅇ 공개서버(웹서버, 메일서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다.

- 공개서버 전용서버로 운영 

- 웹서버를 통한 개인정보 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축

- 접근권한 설정

- 백신설치 및 OS 최신 패치

- 불필요한 서비스 제거 및 포트 차단

- 불필요한 소프트웨어 ∙ 스크립트 ∙ 실행파일 등 설치 금지 등

- 불필요한 페이지(테스트 페이지) 및 에러처리 미흡에 따른 시스템 정보 노출 방지

- 주기적인 취약점 점검 등 

 ㅇ 공개서버(웹서버, 메일서버 등)는 DMZ 영역에 설치하고 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용하여야 한다.

 - DMZ의 공개서버가 내부 네트워크에 위치한 DB, WAS(Web Application Server) 등의 정보시스템과 접속이 필요한 경우 엄격하게 접근통제 정책을 적용하여야 한다.

 ㅇ 웹서버의 경우 최소한 OWASP TOP 10 웹취약점은 기본적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다. (인증기준 11.2.10 취약점 점검 참고)

※ 참고 ※ 

- 전자금융거래법 '전자금융감독규정(고시)' 제17조(홈페이지 등 공개용 웹서버 관리대책)

- 웹서버구축 보안점검 안내서 (KISA)  

 ㅇ 웹서버의 보안설정 미흡, 기술적 취약점, 담당자의 실수 등으로 인해 조직의 중요정보(개인정보, 기밀정보 등)가 외부로 누출되는 경우(무단게시 등)가 빈번하게 발생하고 있다. 이를 예방하기 위하여 웹사이트에 정보를 공개하거나 업무상 웹서버에 중요정보를 저장하여야 할 경우 허가 및 게시절차를 수립하여 이행하여야 한다. 다만 원칙적으로 DMZ 구간내 웹서버에 조직의 중요정보(개인정보, 기밀정보 등)를 저장 관리하지 않는 것이 바람직하다.

ㅇ 또한 게시절차 위반 등으로 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다. 

 ㅇ IT 재해, 장애, 침해사고 등으로 인한 정보시스템 손상 시 적시에 복구가 가능하도록 백업 및 복구 절차를 수립하고 이행하여야 한다.

- 백업대상 선정기준 수립

- 백업담당자 및 책임자 지정

- 백업대상별 백업 주기 및 보존기한 정의

- 백업방법 및 절차 : 백업시스템 활용, 매뉴얼 방식 등

- 백업매체 관리 (예 : 라벨링, 보관장소, 접근통제 등)

- 백업 복구 절차 : 주요 정보시스템의 경우 IT 재해복구 측면(인증기준 13. IT재해복구 참고)에서 백업정보의 완전성, 정확성 등을 점검하기 위하여 정기적인 복구 테스트 수행 필요 

- 백업관리대장 관리 등

ㅇ 백업대상은 중요정보(개인정보, 기밀정보 등), 문서, 각종 로그(정보시스템 보안감사로그, 이벤트 로그, 정보보호시스템 이벤트 로그 등), 환경설정파일 등 대상 정보 및 정보시스템의 중요도를 고려하여 선정하여야 하며 정해진 절차에 따라 백업관리를 수행하여야 한다. 

 ㅇ 중요정보가 저장된 백업매체는 운영중인 정보시스템 혹은 백업시스템이 위치한 장소로부터 물리적으로 거리가 있는 곳에 소산 보관하고 관리대장으로 소산 이력을 관리하여야 한다.

- 소산일자 (반출, 반입 등)

- 소산 백업매체 및 백업정보 내용

ㅇ 주기적으로 관리대장에 따라 소산 여부를 실사하여야 한다.

ㅇ 소산장소에 대해 다음과 같은 보안대책을 마련하여야 한다.

- 화재, 홍수와 같은 자연재해에 대한 대책 (예 : 내화금고, 방염처리 등)

- 접근통제 등 

 ㅇ 정보시스템 취약점 점검 정책과 절차를 다음과 같은 내용을 포함하여 수립하여야 한다.

- 취약점 점검 대상 (예 : 서버, 네트워크 장비 등)

- 취약점 점검 주기

- 취약점 점검 담당자 및 책임자 지정

- 취약점 점검 절차 및 방법 등

ㅇ 정보시스템 중요도에 따라 주기적으로 다음과 같은 내용을 포함하여 취약점 점검을 실시하여야 한다.

- 라우터, 스위치 등 네트워크 장비 구성, 설정 취약점 

- 서버 OS, 보안 설정 취약점 

- 방화벽 등 정보보호시스템 취약점

- 어플리케이션 취약점

- 웹서비스 취약점

- 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점

ㅇ 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려하여야 한다.

ㅇ 취약점 점검 시 이력관리가 될 수 있도록 '점검일시', '점검대상', '점검방법', '점검내용 및 결과', '발견사항', ' 조치사항' 등이 포함된 보고서를 작성하여야 한다. 

 ㅇ 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다. 

- 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고하여야 한다. 

 ㅇ 정보시스템  은 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계를 의미한다. 즉 서버, PC 등 단말기, 보조기억매체, 네트워크 장치, 응용프로그램 등 정보의 수집 ∙ 가공 ∙ 저장 ∙ 검색 ∙ 송신 ∙ 수신에 필요한 하드웨어 및 소프트웨어를 말한다.

ㅇ 각 정보시스템 특성에 적합한 운영절차(또는 매뉴얼)를 수립하여야 한다. 이는 담당자 부재 시 혹은 신입직원 등이 긴급 상황에서 별다른 인수인계 없이도 정의된 절차에 따라 대응이 가능하도록 하기 위한 것이다.

ㅇ 정보시스템 운영절차에는 다음과 같은 내용을 포함하여야 한다.

- 정보시스템 환경설정(접근통제 : ACL, 패스워드 등) 방법

- 정보시스템 변경 절차

- 정보시스템 보안설정 방법 (인증기준 11.2.1 정보시스템 인수 참고)

- 접근권한 설정 방법

- 오류 및 예외 사항 처리 방법

- 문제 발생 시 긴급종료/재동작/복구 방법

- 시스템 모니터링 방안 : 보안감사로그, 각종 이벤트 로그 확인방법

- 긴급상황 발생 시 비상연락망 등 

ㅇ 신규 정보시스템 도입, 유지보수업체 변경 등 정보시스템 관련 환경 변화가 있을 경우 운영절차 내용을 검토하여 변경 사항을 반영하여야 한다. 또한 운영절차(매뉴얼)의 작성일자, 변경일자, 검토 및 승인자 등에 대한 이력도 함께 관리하여야 한다.

ㅇ 운영절차(또는 매뉴얼)는 정보시스템 운영과 관련된 중요 자료이므로 조직의 민감한 정보(IP 등 시스템 정보)가 포함된 경우 대외비 문서로 지정(인증기준 4.2.1 보안등급과 취급 참고)하여 해당 업무 관련자만 접근할 수 있도록 통제하고 업무상 재해에 대비하여 복사본을 별도로 마련하여 소산 보관하는 것이 좋다. (인증기준 13. 재해복구 참고) 

 ㅇ 정보시스템 운영을 외부 위탁하는 경우 외부 아웃소싱 업체가 정보시스템 운영절차(매뉴얼)를 수립하고 있는지 확인하고 운영절차에 따라 정보시스템 운영을 보장하도록 계약서에 관련 내용을 명시하여야 한다. 

- 운영절차(매뉴얼)은 외부 아웃소싱 업체가 자체 수립하거나 위탁사의 절차를 준용하여 수립할 수 있다.

ㅇ 운영 점검항목 등을 통해 외부 아웃소싱 업체가 운영절차를 준수하고 있는 지 주기적으로 확인하여야 한다. (인증기준 3.외부자 보안 참고) 

 ㅇ 운영체제 업그레이드, 상용 소프트웨어 설치, 운영 중인 응용프로그램 기능 개선, 네트워크 구성 변경, CPU/메모리/저장장치 증설 등 정보시스템 관련 자산 변경이 필요한 경우 변경요청, 책임자 검토 ∙ 승인, 변경확인, 변경이력관리 등의 공식적인 절차를 수립하고 이행하여야 한다.

 ㅇ 정보시스템 관련 정보자산 변경이 필요한 경우 변경에 따른 보안, 성능, 업무 등에 미치는 영향을 분석하여 변경에 따른 영향을 최소화 할 수 있도록 변경을 이행하고 변경 실패에 따른 복구방안을 사전에 고려하여야 한다.

- 변경의 규모를 고려하여 영향 분석 대상 기준을 자체적으로 정할 수 있다.