kim-pm 님의 블로그

개요카테고리 : 인적보안통제항목번호 : A-22위험도 : 상통제항목 : 무선랜(Wi-Fi 등)은 상급기관장의 보안성 검토를 필 하거나 암호키 설정 등의 적절한 보안조치를 적용 판단(평가기준) 만족• 무선랜 장비가 CC인증을 받은 장비를 사용하고 있음 • 네트워크 이름(SSID) 브로드캐스팅 중지 및 추측이 어려운 복잡한 SSID사용 • MAC주소 및 IP 필터링 설정, DHCP 사용을 금지하고 있음 • 무선랜은 암호화(WPA2 등) 방식으로 통신하고 있음 부분만족• CC인증을 받은 장비를 사용하고 있으나 SSID의 브로드캐스팅이 중지되어 있지 않음 • DHCP를 사용하고 있음 N/A• 무선랜(Wi-Fi 등)을 사용하고 있지 않는 경우 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제..

개요카테고리 : 접근 통제통제항목번호 : A-21위험도 : 상통제항목 : 정보시스템 및 정보보호시스템 접근 기록의 비인가 열람, 훼손 등을 방지하기 위한 보호대책 운영 판단(평가기준) 만족• 접근 기록에 대해 접근할 수 있는 담당자(시스템 담당자 등)를 제한하고 있음 • 접근 기록에 대해 훼손을 방지하기 위해 별도의 장치에 백업하고 있음 부분만족• 접근 기록에 대해 접근 할 수 있는 담당자를 제한하고 있으나 별도로 백업하고 있지 않음 N/A• 해당 사항 없음 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제42조(보안·네트워크장비 보안) - 제55조(로그기록 유지) ○ 행정안전부 소관 주요정보통신기반시설 보호지침 - 제25조(정보통신망 보안관리) ○ 자치단체 정보시스템 장애 예방 대..

개요카테고리 : 접근 통제통제항목번호 : A-20위험도 : 상통제항목 : 통제항목 정보통신망에 비인가 PC, 노트북 등을 연결 시 차단 판단(평가기준) 만족• 비인가 PC, 노트북 연결을 차단하기 위해 NAC 사용 또는 IP 및 MAC 주소를 매핑하여 접근을 차단하고 있음 • 네트워크 유휴 포트 물리적 차단 및 LAN 잠금장치(PC 등)를 설치하고 있음 부분만족• IP 접근만 차단하고 있음 • 사용 중인 PC의 LAN 사용 가능(비인가자) N/A• 해당 사항 없음 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제53조(서버 보안) - 제73조(개별사용자 보안) - 제74조(단말기 보안) - 제79조(비인가 기기 통제) ○ 행정안전부 소관 주요정보통신기반시설 보호지침 - 제25조(정보..

개요카테고리 : 접근 통제통제항목번호 : A-19위험도 : 상통제항목 : 스마트폰, 개인휴대단말기(PDA), 전자제어장비 등 첨단 정보통신기기를 활용하는 경우, 업무자료 등 중요정보 보호 및 전한 전송을 위한 방안 마련 판단(평가기준) 만족• 첨단 정보통신기기에 대한 장치 인증 및 사용자 인증, 데이터 암호화 실시하고 있음 • 업무자료 무단 저장 금지 및 업무용·인터넷 PC에 연동 금지하고 있음  부분만족• 첨단 정보통신기기를 활용하는 모든 업무에 대한 보안 대책이 없음(일부만 방안이 마련된 경우) • 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음 N/A• 첨단 정보통신기기를 활용하지 않고 있는 경우 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제57조(모바일 업무 보안) ○..

개요카테고리 : 접근 통제통제항목번호 : A-18위험도 : 상통제항목 : 외부 네트워크 원격작업(재택근무, 장애대응 등)에 대한 책임자 승인, 작업내용 및 범위, 기간 설정, 접근 로그 기록/검토 등이 포함된 정책(절차)가 존재하며, 원격작업 허용 시 이를 준수 판단(평가기준) 만족• 재택근무 등 원격작업에 대한 정책, 절차가 수립되어 있음 부분만족• 재택근무 등 원격작업을 수행하고 있으나 수립된 정책, 절차가 없음 N/A• 절차를 수립하여야 할 재택근무 등 원격작업이 없는 경우 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제59조(원격근무 보안) ○ 행정안전부 소관 주요정보통신기반시설 보호지침 - 제25조(정보통신망 보안관리) 증빙문서 및 참고사항 증빙 문서 • 원격근무 보안서약..

개요카테고리 : 접근 통제통제항목번호 : A-17위험도 : 상통제항목 : 담당업무(조직)에 따라 접근통제의 방법과 범위 등을 정의하고 문서화 판단(평가기준) 만족• 접근통제 관련 규정 수립 및 업무 요구사항에 따른 접근 권한 부여 부분만족• 절차는 있으나 문서화하고 있지 않음 N/A• 해당 사항 없음 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제53조(서버 보안) - 제73조(개별사용자 보안) - 제74조(단말기 보안) - 제75조(계정 관리) ○ 행정기관 정보시스템 접근권한 관리 규정 - 제5조(접근권한 관리의 책임자 지정·운영) - 제6조(접근권한 정책수립) - 제12조(접근권한 부여 원칙) 증빙문서 및 참고사항 증빙 문서 • 접근통제 관련 규정 • 권한부여 목록(대장)참고 ..

개요카테고리 : 교육 및 훈련통제항목번호 : A-16위험도 : 상통제항목 : 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시 판단(평가기준) 만족• 관리기관 내 교육훈련 계획을 수립하고 있지 않으며, 상급기관의 교육계획에 따라 참여하는 경우 • 정보보호 계획이 수립되고 적용 됨 • 정보보호 교육 결과 확인서(가칭)를 통해 교육 이력 확인 • 임직원, 정보보호 기술, 정보보호 업무 담당 등에 대한 직무별 교육실시 부분만족• 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음 N/A• 해당 사항 없음 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제9조(정보보안교육) ○ 보안업무규정 시행규칙 - 제69조(보안교육) ○ 행정안전부 보안업무규정 시행세칙 -..

개요카테고리 : 교육 및 훈련통제항목번호 : A-15위험도 : 상통제항목 : 교육 훈련 대상은 관련된 모든 내외 임직원 및 외부 인력을 포함하고 있으며 정보자산에 간접적으로 접근하는 일반 외부용역 직원에 대해서도 정보보호교육훈련 수행 판단(평가기준) 만족• 관리기관 내 교육훈련 계획을 수립하고 있지 않으며, 상급기관의 교육계획에 따라 참여하는 경우 • 정보보호 계획이 수립되고 적용 됨 • 정보보호 교육 결과 확인서(가칭)를 통해 교육 이력 확인 • 임직원, 정보보호 기술, 정보보호 업무 담당 등에 대한 직무별 교육실시 부분만족• 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음 • 일부 교육 대상자 누락 N/A• 해당 사항 없음 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제9조..

개요카테고리 : 매체 관리통제항목번호 : A-14위험도 : 상통제항목 : 정보나 매체가 용도 폐기되기 위한 폐기 방법이 수립되고 적절하게 이행 판단(평가기준) 만족• 정보나 매체가 용도 폐기되기 위한 폐기 방법이 수립 • 수립된 절차가 적절하게 수행 됨 • 물리적 완전 파기, 완전삭제 프로그램 사용  부분만족• 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음 N/A• 해당 사항 없음(절차는 존재하나 폐기 이력이 없는 경우 ‘만족’으로 평가) 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제61조(저장매체 불용처리) - 제62조(비밀의 전자적 처리) - 제87조(정보통신시설 보호대책) ○ 보안업무규정 시행규칙 - 제50조(파기) ○ 자치단체 정보시스템 장애 예방 대응 지침 - 제8..

개요카테고리 : 매체 관리통제항목번호 : A-13위험도 : 상통제항목 : 미디어 장치(노트북, 태블릿, 이동식저장매체 등)의 사용 및 반출입에 대한 관리절차나 문서보유 판단(평가기준) 만족• 미디어 관리대장을 통한 반출·입 통제 • 반출·입시 관리 절차가 존재 함  부분만족• 절차는 수립되어 있으나 이행에 따른 증빙자료가 없음 N/A• 해당 사항 없음 관련 법령 및 규칙 관련 법령 및 규칙○ 국가 정보보안 기본지침 - 제74조(단말기 보안) - 제78조(휴대용 저장매체 보안) - 제79조(비인가 기기 통제) ○ 자치단체 정보시스템 장애 예방 대응 지침 부분 - 제7조(출입관리 통제 및 기록관리) 증빙문서 및 참고사항 증빙 문서• 휴대용 저장매체(전산장비 포함) 반출∙입 관리대장 • 휴대용 저장매체 관리 ..