ISMSP Flashcards
(449 cards)
1
Q
최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
A
관리체계 기반 마련 : 1.1.1 경영진의 참여 : 인증기준
2
Q
정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
A
관리체계 기반 마련 1.1.1 경영진의 참여 관련 주요확인사항
3
Q
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가?
A
관리체계 기반 마련 1.1.1 경영진의 참여 관련 주요확인사항
4
Q
경영진이 정보보호 및 개인(신용)정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립・이행하고 있는가?
A
관리체계 기반 마련 1.1.1 경영진의 참여 관련 주요확인사항
5
Q
정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
A
관리체계 기반 마련 1.1.1 경영진의 참여 관련 결함
6
Q
중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우
A
관리체계 기반 마련 1.1.1 경영진의 참여 관련 결함
7
Q
최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산∙인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 인증기준
8
Q
최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 주요확인사항
9
Q
정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 주요확인사항
10
Q
최고경영자는 정보보호 및 개인(신용)정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 주요확인사항
11
Q
정보보호 최고책임자 및 개인정보 보호책임자, 신용정보관리∙보호인은 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 주요확인사항
12
Q
정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 결함
13
Q
개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 결함
14
Q
조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 결함
15
Q
ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우
A
관리체계 기반 마련 1.1.2 최고책임자의 지정 관련 결함
16
Q
최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.
A
관리체계 기반 마련 1.1.3 조직 구성 관련 인증기준
17
Q
정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
A
관리체계 기반 마련 1.1.3 조직 구성 관련 주요확인사항
18
Q
조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
A
관리체계 기반 마련 1.1.3 조직 구성 관련 주요확인사항
19
Q
전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?
A
관리체계 기반 마련 1.1.3 조직 구성 관련 주요확인사항
20
Q
금융회사 또는 전자금융업자는 정보보호위원회에서 전자금융거래의 안전성 확보 및 이용자의 보호에 관한 사항을 심의・의결하고 있는가?
A
관리체계 기반 마련 1.1.3 조직 구성 관련 주요확인사항
21
Q
정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
A
관리체계 기반 마련 1.1.3 조직 구성 관련 결함
22
Q
내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
A
관리체계 기반 마련 1.1.3 조직 구성 관련 결함
23
Q
정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우
A
관리체계 기반 마련 1.1.3 조직 구성 관련 결함
24
Q
정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우
A
관리체계 기반 마련 1.1.3 조직 구성 관련 결함
25
조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
관리체계 기반 마련 1.1.4 범위 설정 관련 인증기준
26
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
관리체계 기반 마련 1.1.4 범위 설정 관련 주요확인사항
27
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의∙책임자 승인 등 관련 근거를 기록∙관리하고 있는가?
관리체계 기반 마련 1.1.4 범위 설정 관련 주요확인사항
28
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
관리체계 기반 마련 1.1.4 범위 설정 관련 주요확인사항
29
정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
관리체계 기반 마련 1.1.4 범위 설정 관련 결함
30
정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
관리체계 기반 마련 1.1.4 범위 설정 관련 결함
31
정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우
관리체계 기반 마련 1.1.4 범위 설정 관련 결함
32
정보보호와 개인정보보호 정책 및 시행문서를 수립∙작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
관리체계 기반 마련 1.1.5 정책 수립 관련 인증기준
33
조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
34
정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
35
가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
36
정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
37
정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
38
핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
39
정보보호 및 개인(신용)정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
관리체계 기반 마련 1.1.5 정책 수립 관련 주요확인사항
40
내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
관리체계 기반 마련 1.1.5 정책 수립 관련 결함
41
정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
관리체계 기반 마련 1.1.5 정책 수립 관련 결함
42
정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
관리체계 기반 마련 1.1.5 정책 수립 관련 결함
43
최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
관리체계 기반 마련 1.1.6 자원 할당 관련 인증기준
44
정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
관리체계 기반 마련 1.1.6 자원 할당 관련 주요확인사항
45
정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
관리체계 기반 마련 1.1.6 자원 할당 관련 주요확인사항
46
가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?
* 권고
- 정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성
- 정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상, 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보
관리체계 기반 마련 1.1.6 자원 할당 관련 주요확인사항
47
연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립∙시행하고 그 추진결과에 대한 심사분석∙평가를 실시하고 있는가?
관리체계 기반 마련 1.1.6 자원 할당 관련 주요확인사항
48
전자금융거래의 안전성 확보 및 이용자 보호를 위해 정보기술부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?
관리체계 기반 마련 1.1.6 자원 할당 관련 주요확인사항
49
정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
관리체계 기반 마련 1.1.6 자원 할당 관련 결함
50
개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 최소한의 보안 솔루션 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우
관리체계 기반 마련 1.1.6 자원 할당 관련 결함
51
인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우
관리체계 기반 마련 1.1.6 자원 할당 관련 결함
52
조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별∙분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
위험 관리 1.2.1 정보자산 식별 관련 인증기준
53
정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
위험 관리 1.2.1 정보자산 식별 관련 주요확인사항
54
가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?
- 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
위험 관리 1.2.1 정보자산 식별 관련 주요확인사항
55
식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
위험 관리 1.2.1 정보자산 식별 관련 주요확인사항
56
정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
위험 관리 1.2.1 정보자산 식별 관련 주요확인사항
57
정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우
위험 관리 1.2.1 정보자산 식별 관련 결함
58
정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
위험 관리 1.2.1 정보자산 식별 관련 결함
59
내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
위험 관리 1.2.1 정보자산 식별 관련 결함
60
온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내)
위험 관리 1.2.1 정보자산 식별 관련 결함
61
고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우
위험 관리 1.2.1 정보자산 식별 관련 결함
62
관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.
위험 관리 1.2.2 현황 및 흐름분석 관련 인증기준
63
관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
위험 관리 1.2.2 현황 및 흐름분석 관련 주요확인사항
64
관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
위험 관리 1.2.2 현황 및 흐름분석 관련 주요확인사항
65
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?
위험 관리 1.2.2 현황 및 흐름분석 관련 주요확인사항
66
관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
위험 관리 1.2.2 현황 및 흐름분석 관련 결함
67
개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
위험 관리 1.2.2 현황 및 흐름분석 관련 결함
68
최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
위험 관리 1.2.2 현황 및 흐름분석 관련 결함
69
조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
위험 관리 1.2.3 위험 평가 관련 인증기준
70
조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
71
위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
72
위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
73
위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
74
조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
75
가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가?
- 예. CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등
위험 관리 1.2.3 위험 평가 관련 주요확인사항
76
가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
77
위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
78
위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
위험 관리 1.2.3 위험 평가 관련 주요확인사항
79
수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
위험 관리 1.2.3 위험 평가 관련 결함
80
전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
위험 관리 1.2.3 위험 평가 관련 결함
81
위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별및 평가하지 않은 경우
위험 관리 1.2.3 위험 평가 관련 결함
82
위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
위험 관리 1.2.3 위험 평가 관련 결함
83
내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우
위험 관리 1.2.3 위험 평가 관련 결함
84
정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우
위험 관리 1.2.3 위험 평가 관련 결함
85
수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우
위험 관리 1.2.3 위험 평가 관련 결함
86
위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정∙담당자∙예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
위험 관리 1.2.4 보호대책 선정 관련 인증기준
87
식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
위험 관리 1.2.4 보호대책 선정 관련 주요확인사항
88
가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?
위험 관리 1.2.4 보호대책 선정 관련 주요확인사항
89
보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?
위험 관리 1.2.4 보호대책 선정 관련 주요확인사항
90
정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및개인정보 보호책임자에게 보고가 이루어지지 않은 경우
위험 관리 1.2.4 보호대책 선정 관련 결함
91
위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
위험 관리 1.2.4 보호대책 선정 관련 결함
92
법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
위험 관리 1.2.4 보호대책 선정 관련 결함
93
위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우
위험 관리 1.2.4 보호대책 선정 관련 결함
94
선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
관리체계 운영 1.3.1 보호대책 구현 관련 인증기준
95
이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
관리체계 운영 1.3.1 보호대책 구현 관련 주요확인사항
96
관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?
관리체계 운영 1.3.1 보호대책 구현 관련 주요확인사항
97
정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우
관리체계 운영 1.3.1 보호대책 구현 관련 결함
98
위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
관리체계 운영 1.3.1 보호대책 구현 관련 결함
99
전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
관리체계 운영 1.3.1 보호대책 구현 관련 결함
100
운영명세서에 작성된 운영 현황이 실제와 일치하지 않고, 운명명세서에 기록되어 있는 관련 문서, 결재 내용, 회의록 등이 존재하지 않는 경우
관리체계 운영 1.3.1 보호대책 구현 관련 결함
101
이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
관리체계 운영 1.3.1 보호대책 구현 관련 결함
102
보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.
관리체계 운영 1.3.2 보호대책 공유 관련 인증기준
103
구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
관리체계 운영 1.3.2 보호대책 공유 관련 주요확인사항
104
구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?
관리체계 운영 1.3.2 보호대책 공유 관련 주요확인사항
105
정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
관리체계 운영 1.3.2 보호대책 공유 관련 결함
106
조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.
관리체계 운영 1.3.3 운영현황 관리 관련 인증기준
107
관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?
관리체계 운영 1.3.3 운영현황 관리 관련 주요확인사항
108
경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?
관리체계 운영 1.3.3 운영현황 관리 관련 주요확인사항
109
정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
관리체계 운영 1.3.3 운영현황 관리 관련 결함
110
정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
관리체계 운영 1.3.3 운영현황 관리 관련 결함
111
조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 인증기준
112
조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 주요확인사항
113
경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가?
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 주요확인사항
114
법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 주요확인사항
115
경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대한 법적 요구사항에 대해 준수 여부를 정기적으로 점검하고 최고경영자에게 보고하고 있는가?
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 주요확인사항
116
정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
117
조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 장기간 수행하지 않은 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
118
법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
119
개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나 이용자 수 및매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
120
정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
121
모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
122
국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우
관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 관련 결함
123
관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 인증기준
124
법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 주요확인사항
125
관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 주요확인사항
126
정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 주요확인사항
127
관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 전산팀 관리 영역에 대한 점검에 관여하고 있어, 점검의 독립성이 훼손된 경우
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 결함
128
금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및개인정보보호 관리체계 범위를 충족하지 못한 경우
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 결함
129
관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우
관리체계 점검 및 개선 1.4.2 관리체계 점검 관련 결함
130
법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립∙이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 인증기준
131
법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립∙이행하고 있는가?
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 주요확인사항
132
재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 주요확인사항
133
내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 결함
134
내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석및 재발방지 대책이 수립되지 않은 경우
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 결함
135
관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 결함
136
관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우
관리체계 점검 및 개선 1.4.3 관리체계 개선 관련 결함
137
정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 인증기준
138
정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립∙이행하고 있는가?
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 주요확인사항
139
조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제∙개정하고 있는가?
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 주요확인사항
140
조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?
* 중대한 변화 예시 :
- 가상자산의 핫 - 콜드 월렛 보유액 비율 변경
- 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 주요확인사항
141
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제∙개정 시 이해 관계자의 검토를 받고 있는가?
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 주요확인사항
142
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제∙개정 내역에 대하여 이력 관리를 하고 있는가?
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 주요확인사항
143
지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 결함
144
정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 결함
145
데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 결함
146
개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 결함
147
개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
정책, 조직, 자산 관리 2.1.1 정책의 유지관리 관련 결함
148
내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
정책, 조직, 자산 관리 2.1.2 조직의 유지관리 관련 결함
149
정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
정책, 조직, 자산 관리 2.1.2 조직의 유지관리 관련 결함
150
내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
정책, 조직, 자산 관리 2.1.2 조직의 유지관리 관련 결함
151
정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
정책, 조직, 자산 관리 2.1.2 조직의 유지관리 관련 결함
152
정보자산의 보안등급에 따른 취급절차(생성∙도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
정책, 조직, 자산 관리 2.1.3 정보자산 관리 관련 주요확인사항
153
식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
정책, 조직, 자산 관리 2.1.3 정보자산 관리 관련 주요확인사항
154
내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
정책, 조직, 자산 관리 2.1.3 정보자산 관리 관련 결함
155
정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
정책, 조직, 자산 관리 2.1.3 정보자산 관리 관련 결함
156
식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우
정책, 조직, 자산 관리 2.1.3 정보자산 관리 관련 결함
157
보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립∙이행하고 보안시스템별 정책적용 현황을 관리하여야 한다.
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 인증기준
158
조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
159
보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
160
보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
161
보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
162
보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
163
개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
164
해킹 등 전자적 침해행위로 인한 사고를 방지하기 위해 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
165
보안시스템에 최소한의 서비스포트(port)와 기능만 적용하고 업무목적 이외 기능 및 프로그램을 제거하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
166
보안시스템의 원격관리를 금지하고 주기적으로 작동 상태를 점검하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
167
보안시스템 장애, 가동중지 등 긴급사태에 대비한 백업 및 복구절차를 수립∙시행하고 있는가?
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 주요확인사항
168
침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 결함
169
보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 결함
170
보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 결함
171
내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록·보관하도록 정하고 있으나, 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우
시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 관련 결함
172
클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유∙노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립∙이행하여야 한다.
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 인증기준
173
클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 주요확인사항
174
클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 주요확인사항
175
클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 주요확인사항
176
클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 주요확인사항
177
클라우드 서비스를 이용하고자 하는 경우 법령에서 정한 절차를 수행하고 있는가?
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 주요확인사항
178
클라우드 서비스를 이용・변경하는 경우 법령에서 정한 기간 내에 금융감독원에 보고하고 관련 서류를 최신상태로 유지하고 있는가?
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 주요확인사항
179
클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 결함
180
클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 결함
181
내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 결함
182
클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우
시스템 및 서비스 보안관리 2.10.2 클라우드 보안 관련 결함
183
외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집∙저장∙공개 절차 등 강화된 보호대책을 수립∙이행하여야 한다.
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 인증기준
184
공개서버를 운영하는 경우 이에 대한 보호대책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 주요확인사항
185
공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가?
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 주요확인사항
186
공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 주요확인사항
187
조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 주요확인사항
188
공개서버를 운영하는 경우 이에 대한 보호대책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 주요확인사항
189
공개서버에서 제공하는 서비스 이외의 다른 서비스 제공 및 시험∙개발 도구 등 불필요한 소프트웨어∙스크립트∙실행파일 설치를 금지하고 있는가?
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 주요확인사항
190
인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 결함
191
웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 결함
192
게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우
시스템 및 서비스 보안관리 2.10.3 공개서버 보안 관련 결함
193
전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작∙사기 등의 침해사고 예방을 위해 인증∙암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 인증기준
194
전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 주요확인사항
195
이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가?
* 예. OTP, 인증서, 기기인증 등
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 주요확인사항
196
전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송∙수신되는 관련 정보의 보호를 위한 대책을 수립∙이행하고 안전성을 점검하고 있는가?
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 주요확인사항
197
가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가?
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 주요확인사항
198
관련 법적 요구사항에 따른 전자(상)거래 기록의 보존 및 관리를 하고 있는가?
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 주요확인사항
199
전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위∙변조 여부 등 무결성을 검증할 수 있는 방법을 제공하고 있는가?
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 주요확인사항
200
전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 결함
201
전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 결함
202
내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우
시스템 및 서비스 보안관리 2.10.4 전자거래 및 핀테크 보안 관련 결함
203
타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.
시스템 및 서비스 보안관리 2.10.5 정보전송 보안 관련 인증기준
204
외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?
시스템 및 서비스 보안관리 2.10.5 정보전송 보안 관련 주요확인사항
205
업무상 조직 간에 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.5 정보전송 보안 관련 주요확인사항
206
신용정보회사등은 개인신용정보를 보조저장매체에 저장하거나 이메일 등의 방법으로 외부로 전송하는 경우 관리책임자의 사전 승인을 받도록 하는 내부시스템을 구축하고 있는가?
시스템 및 서비스 보안관리 2.10.5 정보전송 보안 관련 주요확인사항
207
대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통하여 안전하게 정보를 전송하고 있으나, 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우
시스템 및 서비스 보안관리 2.10.5 정보전송 보안 관련 결함
208
중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우
시스템 및 서비스 보안관리 2.10.5 정보전송 보안 관련 결함
209
PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 인증기준
210
PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
211
업무용 단말기를 통해 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
212
가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
213
업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유∙노출을 방지하기 위하여 보안대책을 적용하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
214
업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
215
단말기 공유를 금지하고 단말기에 이용자정보 등 중요정보를 보관하지 아니하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
216
중요단말기를 지정하고 외부반출, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용하고 있는가?
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 주요확인사항
217
업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 결함
218
모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 결함
219
개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 결함
220
내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우
시스템 및 서비스 보안관리 2.10.6 업무용 단말기기 보안 관련 결함
221
보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립∙이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관하여야 한다.
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 인증기준
222
외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 주요확인사항
223
보조저장매체 보유현황, 사용 및 관리실태를 주기적으로 점검하고 있는가?
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 주요확인사항
224
주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가?
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 주요확인사항
225
보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가?
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 주요확인사항
226
개인정보 또는 중요정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하고 있는가?
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 주요확인사항
227
통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인 절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 결함
228
개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 결함
229
보조저장매체 통제 솔루션을 도입·운영하고 있으나, 일부 사용자에 대하여 적절한 승인 절차 없이 예외처리되어 쓰기 등이 허용된 경우
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 결함
230
전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB메모리에 대한 쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않은 경우
시스템 및 서비스 보안관리 2.10.7 보조저장매체 관리 관련 결함
231
소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 인증기준
232
서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 주요확인사항
233
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가?
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 주요확인사항
234
서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 주요확인사항
235
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 주요확인사항
236
패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 주요확인사항
237
일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 결함
238
일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 결함
239
상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우
시스템 및 서비스 보안관리 2.10.8 패치관리 관련 결함
240
바이러스∙웜∙트로이목마∙랜섬웨어 등의 악성코드로부터 개인정보 및 중요정보, 정보시스템 및 업무용 단말기 등을 보호하기 위하여 악성코드 예방∙탐지∙대응 등의 보호대책을 수립∙이행하여야 한다.
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 인증기준
241
바이러스, 웜, 트로이목마, 랜섬웨어 등의 악성코드로부터 정보시스템 및 업무용단말기 등을 보호하기 위하여 보호대책을 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 주요확인사항
242
백신 소프트웨어 등 보안프로그램을 통하여 최신 악성코드 예방∙탐지 활동을 지속적으로 수행하고 있는가?
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 주요확인사항
243
백신 소프트웨어 등 보안프로그램은 최신의 상태로 유지하고 필요시 긴급 보안업데이트를 수행하고 있는가?
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 주요확인사항
244
악성코드 감염 발견 시 악성코드 확산 및 피해 최소화 등의 대응절차를 수립∙이행하고 있는가?
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 주요확인사항
245
일부 PC 및 서버에 백신이 설치되어 있지 않거나, 백신 엔진이 장기간 최신 버전으로 업데이트되지 않은 경우
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 결함
246
백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할수 있음에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 결함
247
백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파 가능성이 있는 경우
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 결함
248
일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나, 감염 현황, 감염 경로및 원인 분석, 그에 따른 조치내역 등이 확인되지 않은 경우
시스템 및 서비스 보안관리 2.10.9 악성코드 통제 관련 결함
249
침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내∙외부 침해시도의 탐지∙대응∙분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 인증기준
250
침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 주요확인사항
251
보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축∙운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 주요확인사항
252
침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 주요확인사항
253
월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련하고 있는가?
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 주요확인사항
254
서비스 거부 공격(DDoS)의 경우 공격 정도에 따른 대응방안을 수립∙이행하고 있는가?
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 주요확인사항
255
침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 결함
256
내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 결함
257
침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나, 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 결함
258
침해사고 신고·통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나, 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 결함
259
외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나, 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 결함
260
침해사고 대응절차를 수립하였으나, 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우
사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 관련 결함
261
정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 인증기준
262
정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
263
정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
- 대외서비스: 반기 1회 이상
- 내부시스템: 연1회 이상
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
264
발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
265
최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
266
취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
267
전자금융기반시설에 대한 취약점 점검(분석∙평가)을 자체적으로 수행하는 경우 적절한 자격을 갖춘 전담반을 구성하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
268
전자금융기반시설의 취약점 분석∙평가 수행을 종료한 후 30일 이내에 금융위원회에 결과보고 및 이행계획서를 제출하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
269
최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가?
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 주요확인사항
270
내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 결함
271
취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우
사고 예방 및 대응 2.11.2 취약점 점검 및 조치 관련 결함
272
내∙외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지∙대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 인증기준
273
내∙외부에 의한 침해시도, 개인정보 유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가?
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 주요확인사항
274
- 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가?
- 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행하고 있는가?
※ 24시간 운영 되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 주요확인사항
275
침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 주요확인사항
276
외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 결함
277
외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나, 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 결함
278
내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 대응조치가 이루어지고 있지 않은 경우
사고 예방 및 대응 2.11.3 이상행위 분석 및 모니터링 관련 결함
279
침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다.
사고 예방 및 대응 2.11.4 사고 대응 훈련 및 개선 관련 인증기준
280
침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고 이에 따라 연1회 이상 주기적으로 훈련을 실시하고 있는가?
사고 예방 및 대응 2.11.4 사고 대응 훈련 및 개선 관련 주요확인사항
281
침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하고 있는가?
사고 예방 및 대응 2.11.4 사고 대응 훈련 및 개선 관련 주요확인사항
282
침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
사고 예방 및 대응 2.11.4 사고 대응 훈련 및 개선 관련 결함
283
연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우
사고 예방 및 대응 2.11.4 사고 대응 훈련 및 개선 관련 결함
284
모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우
사고 예방 및 대응 2.11.4 사고 대응 훈련 및 개선 관련 결함
285
침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 인증기준
286
침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 주요확인사항
287
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 주요확인사항
288
침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 주요확인사항
289
침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 주요확인사항
290
내부 침해사고 대응지침에는 침해사고 발생 시 내부 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 결함
291
최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 결함
292
외부 해킹에 의해 개인정보 유출사고가 발생하였으나, 유출된 개인정보 건수가 소량이라는 이유로 72시간 이내에 통지 및 신고가 이루어지지 않은 경우
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 결함
293
담당자의 실수에 의해 인터넷 홈페이지 게시판을 통해 1천명 이상 정보주체에 대한 개인정보 유출이 발생하였으나, 해당 정보주체에 대한 유출 통지가 이루어지지 않은 경우
사고 예방 및 대응 2.11.5 사고 대응 및 복구 관련 결함
294
임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립∙운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
인적 보안 2.2.4 인식제고 및 교육훈련 관련 인증기준
295
자연재해, 통신∙전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다.
재해복구 2.12.1 재해∙재난 대비 안전조치 관련 인증기준
296
조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가?
재해복구 2.12.1 재해∙재난 대비 안전조치 관련 주요확인사항
297
핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하고 있는가?
재해복구 2.12.1 재해∙재난 대비 안전조치 관련 주요확인사항
298
재해 및 재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획을 수립∙이행하고 있는가?
재해복구 2.12.1 재해∙재난 대비 안전조치 관련 주요확인사항
299
중요 정보시스템에 대하여 이중화 또는 예비장치를 확보하고 있는가?
재해복구 2.12.1 재해∙재난 대비 안전조치 관련 주요확인사항
300
시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비하여 재해복구센터를 핵심업무 수행이 가능한 상태로 유지하고 있는가?
재해복구 2.12.1 재해∙재난 대비 안전조치 관련 주요확인사항
301
IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등중요한 내용이 누락되어 있는 경우
재해복구 2.12.1 재해·재난 대비 안전조치 관련 결함
302
비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위하여 백업센터를 구축하여 운영하고 있으나, 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우
재해복구 2.12.1 재해·재난 대비 안전조치 관련 결함
303
서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며, 이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우
재해복구 2.12.1 재해·재난 대비 안전조치 관련 결함
304
재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간, 복구 목표시점 등이 정의되어 있지 않은 경우
재해복구 2.12.1 재해·재난 대비 안전조치 관련 결함
305
현실적 대책 없이 복구 목표시간을 과도 또는 과소하게 설정하고 있거나, 복구 목표시점과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우
재해복구 2.12.1 재해·재난 대비 안전조치 관련 결함
306
재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다.
재해복구 2.12.2 재해 복구 시험 및 개선 관련 인증기준
307
수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립∙이행하고 있는가?
재해복구 2.12.2 재해 복구 시험 및 개선 관련 주요확인사항
308
시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토∙보완하고 있는가?
재해복구 2.12.2 재해 복구 시험 및 개선 관련 주요확인사항
309
재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
재해복구 2.12.2 재해 복구 시험 및 개선 관련 결함
310
재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우
재해복구 2.12.2 재해 복구 시험 및 개선 관련 결함
311
재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우
재해복구 2.12.2 재해 복구 시험 및 개선 관련 결함
312
퇴직 및 직무변경 시 인사∙정보보호∙개인정보보호∙IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수∙조정, 결과확인 등의 절차를 수립∙관리하여야 한다.
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 인증기준
313
임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다.
인적 보안 2.2.6 보안 위반 시 조치 관련 인증기준
314
개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 인증기준
315
개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 주요확인사항
316
월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가?
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 주요확인사항
317
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 주요확인사항
318
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 주요확인사항
319
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립∙이행하고 있는가?
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 주요확인사항
320
주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 결함
321
주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 결함
322
부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 결함
323
내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
인적 보안 2.2.1 주요 직무자 지정 및 관리 관련 결함
324
권한 오∙남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?
인적 보안 2.2.2 직무 분리 관련 주요확인사항
325
직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?
인적 보안 2.2.2 직무 분리 관련 주요확인사항
326
조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우
인적 보안 2.2.2 직무 분리 관련 결함
327
조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
인적 보안 2.2.2 직무 분리 관련 결함
328
신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?
인적 보안 2.2.3 보안 서약 관련 주요확인사항
329
임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?
인적 보안 2.2.3 보안 서약 관련 주요확인사항
330
임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?
인적 보안 2.2.3 보안 서약 관련 주요확인사항
331
정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?
인적 보안 2.2.3 보안 서약 관련 주요확인사항
332
신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
인적 보안 2.2.3 보안 서약 관련 결함
333
임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우
인적 보안 2.2.3 보안 서약 관련 결함
334
제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
인적 보안 2.2.3 보안 서약 관련 결함
335
개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
인적 보안 2.2.3 보안 서약 관련 결함
336
정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
337
정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?(다음 교육시간 준수)
- 임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상)
- 일반직원 : 6시간 이상
- 정보기술부문업무 담당 직원 : 9시간 이상
- 정보보호업무 담당 직원 : 12시간 이상
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
338
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
339
임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
340
IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
341
IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가?
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
342
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
인적 보안 2.2.4 인식제고 및 교육훈련 관련 주요확인사항
343
전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
인적 보안 2.2.4 인식제고 및 교육훈련 관련 결함
344
연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
인적 보안 2.2.4 인식제고 및 교육훈련 관련 결함
345
연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우
인적 보안 2.2.4 인식제고 및 교육훈련 관련 결함
346
정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
인적 보안 2.2.4 인식제고 및 교육훈련 관련 결함
347
당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육 자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
인적 보안 2.2.4 인식제고 및 교육훈련 관련 결함
348
정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우
인적 보안 2.2.4 인식제고 및 교육훈련 관련 결함
349
퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가?
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 주요확인사항
350
조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수∙조정, 결과 확인 등의 절차를 수립∙이행하고 있는가?
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 주요확인사항
351
직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 결함
352
최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 결함
353
임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및퇴직확인서를 작성하지 않은 경우
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 결함
354
개인정보취급자 퇴직 시 개인정보처리시스템의 접근 권한은 지체 없이 회수되었지만, 출입통제 시스템 및 VPN 등 일부 시스템의 접근 권한이 회수되지 않은 경우
인적 보안 2.2.5 퇴직 및 직무변경 관리 관련 결함
355
임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?
인적 보안 2.2.6 보안 위반 시 조치 관련 주요확인사항
356
정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?
인적 보안 2.2.6 보안 위반 시 조치 관련 주요확인사항
357
정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
인적 보안 2.2.6 보안 위반 시 조치 관련 결함
358
보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우
인적 보안 2.2.6 보안 위반 시 조치 관련 결함
359
업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직∙서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
외부자 보안 2.3.1 외부자 현황 관리 관련 인증기준
360
관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설∙서비스의 이용 현황을 식별하고 있는가?
외부자 보안 2.3.1 외부자 현황 관리 관련 주요확인사항
361
업무 위탁 및 외부 시설∙서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?
외부자 보안 2.3.1 외부자 현황 관리 관련 주요확인사항
362
내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
외부자 보안 2.3.1 외부자 현황 관리 관련 결함
363
관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우
외부자 보안 2.3.1 외부자 현황 관리 관련 결함
364
외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
외부자 보안 2.3.2 외부자 계약 시 보안 관련 인증기준
365
중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
외부자 보안 2.3.2 외부자 계약 시 보안 관련 주요확인사항
366
외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
외부자 보안 2.3.2 외부자 계약 시 보안 관련 주요확인사항
367
정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
외부자 보안 2.3.2 외부자 계약 시 보안 관련 주요확인사항
368
신용정보회사등이 신용정보제공∙이용자가 다른 신용정보제공∙이용자 또는 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사와 서로 신용정보를 제공하는 경우 신용정보 보안관리 대책을 포함한 계약을 체결하고 있는가?
외부자 보안 2.3.2 외부자 계약 시 보안 관련 주요확인사항
369
IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
외부자 보안 2.3.2 외부자 계약 시 보안 관련 결함
370
개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
외부자 보안 2.3.2 외부자 계약 시 보안 관련 결함
371
인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
외부자 보안 2.3.2 외부자 계약 시 보안 관련 결함
372
계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리∙감독하여야 한다.
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 인증기준
373
외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
374
외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립∙이행하고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
375
개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 동의를 받도록 하고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
376
외부자에 대한 계약 내용의 적절성 검토와 자체적인 통제를 위해 관리감독 할 수 있는 조직과 인력을 갖추고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
377
외부자가 법령, 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
378
외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립∙이행하고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
379
개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리 설치∙운영되고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
380
금융회사 및 전자금융업자, 신용정보회사등으로부터 위탁 받은 업무를 제3자에게 재위탁하지 않고 있는가?
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 주요확인사항
381
회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 결함
382
개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 결함
383
수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안 점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안점검 결과의 신뢰성이 매우 떨어지는 경우
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 결함
384
개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 결함
385
영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
외부자 보안 2.3.3 외부자 보안 이행 관리 관련 결함
386
외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 인증기준
387
외부자 계약만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립∙이행하고 있는가?
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 주요확인사항
388
외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수∙파기할 수 있도록 절차를 수립∙이행하고 있는가?
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 주요확인사항
389
제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가?
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 주요확인사항
390
일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 결함
391
외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 결함
392
개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우
외부자 보안 2.3.4 외부자 계약 변경 및 만료 시 보안 관련 결함
393
물리적∙환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역∙제한구역∙접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립∙이행하여야 한다.
물리 보안 2.4.1 보호구역 지정 관련 인증기준
394
물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가?
물리 보안 2.4.1 보호구역 지정 관련 주요확인사항
395
콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리하고 있는가?
물리 보안 2.4.1 보호구역 지정 관련 주요확인사항
396
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립∙이행하고 있는가?
물리 보안 2.4.1 보호구역 지정 관련 주요확인사항
397
월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가?
물리 보안 2.4.1 보호구역 지정 관련 주요확인사항
398
내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
물리 보안 2.4.1 보호구역 지정 관련 결함
399
내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우
물리 보안 2.4.1 보호구역 지정 관련 결함
400
보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
물리 보안 2.4.2 출입통제 관련 인증기준
401
보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
물리 보안 2.4.2 출입통제 관련 주요확인사항
402
월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가?
물리 보안 2.4.2 출입통제 관련 주요확인사항
403
각 보호구역에 대한 내∙외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
물리 보안 2.4.2 출입통제 관련 주요확인사항
404
중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고 하고 있는가?
물리 보안 2.4.2 출입통제 관련 주요확인사항
405
전산실이 위치한 건물 출입구는 경비원에 의해 통제하고 전산실 출입문을 한곳으로 지정하여 운영하고 있으며, 주요 설비시설에 대해 출입통제하고 있는가?
물리 보안 2.4.2 출입통제 관련 주요확인사항
406
통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우
물리 보안 2.4.2 출입통제 관련 결함
407
전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
물리 보안 2.4.2 출입통제 관련 결함
408
일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
물리 보안 2.4.2 출입통제 관련 결함
409
정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
물리 보안 2.4.3 정보시스템 보호 관련 인증기준
410
정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
물리 보안 2.4.3 정보시스템 보호 관련 주요확인사항
411
정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
물리 보안 2.4.3 정보시스템 보호 관련 주요확인사항
412
전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
물리 보안 2.4.3 정보시스템 보호 관련 주요확인사항
413
시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
물리 보안 2.4.3 정보시스템 보호 관련 결함
414
서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
물리 보안 2.4.3 정보시스템 보호 관련 결함
415
보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도∙습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립∙운영하여야 한다.
물리 보안 2.4.4 보호설비 운영 관련 인증기준
416
각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?
물리 보안 2.4.4 보호설비 운영 관련 주요확인사항
417
외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?
물리 보안 2.4.4 보호설비 운영 관련 주요확인사항
418
본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
물리 보안 2.4.4 보호설비 운영 관련 결함
419
전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나, 관련 설비에 대한 운영 및 점검 기준을 수립하고 있지 않은 경우
물리 보안 2.4.4 보호설비 운영 관련 결함
420
운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나, 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우
물리 보안 2.4.4 보호설비 운영 관련 결함
421
보호구역 내에서의 비인가행위 및 권한 오∙남용 등을 방지하기 위한 작업 절차를 수립∙이행하고, 작업 기록을 주기적으로 검토하여야 한다.
물리 보안 2.4.5 보호구역 내 작업 관련 인증기준
422
정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립∙이행하고 있는가?
물리 보안 2.4.5 보호구역 내 작업 관련 주요확인사항
423
월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가?
물리 보안 2.4.5 보호구역 내 작업 관련 주요확인사항
424
보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
물리 보안 2.4.5 보호구역 내 작업 관련 주요확인사항
425
전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역이 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
물리 보안 2.4.5 보호구역 내 작업 관련 결함
426
내부 규정에는 보호구역 내 작업 기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업 기록에 대한 점검이 이루어지고 있지 않은 경우
물리 보안 2.4.5 보호구역 내 작업 관련 결함
427
보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립∙이행하고 주기적으로 검토하여야 한다.
물리 보안 2.4.6 반출입 기기 통제 관련 인증기준
428
정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립∙이행하고 있는가?
물리 보안 2.4.6 반출입 기기 통제 관련 주요확인사항
429
반출입 통제절차에 따른 기록을 유지∙관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
물리 보안 2.4.6 반출입 기기 통제 관련 주요확인사항
430
이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
물리 보안 2.4.6 반출입 기기 통제 관련 결함
431
내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
물리 보안 2.4.6 반출입 기기 통제 관련 결함
432
공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립∙이행하여야 한다.
물리 보안 2.4.7 업무환경 보안 관련 인증기준
433
문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립∙이행하고 있는가?
물리 보안 2.4.7 업무환경 보안 관련 주요확인사항
434
업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유∙노출을 방지하기 위한 보호대책을 수립∙이행하고 있는가?
물리 보안 2.4.7 업무환경 보안 관련 주요확인사항
435
개인정보가 포함된 종이 인쇄물 등 개인정보의 출력∙복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가?
물리 보안 2.4.7 업무환경 보안 관련 주요확인사항
436
개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?
물리 보안 2.4.7 업무환경 보안 관련 주요확인사항
437
개인정보 내부 관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우
물리 보안 2.4.7 업무환경 보안 관련 결함
438
멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
물리 보안 2.4.7 업무환경 보안 관련 결함
439
직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우
물리 보안 2.4.7 업무환경 보안 관련 결함
440
회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등취약한 상태로 유지하고 있는 경우
물리 보안 2.4.7 업무환경 보안 관련 결함
441
조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
정책, 조직, 자산 관리 2.1.2 조직의 유지관리 관련 인증기준
442
정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록∙해지 및 접근권한 부여∙변경∙말소 절차를 수립∙이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 인증기준
443
정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록∙변경∙삭제에 관한 공식적인 절차를 수립∙이행하고 있는가?
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 주요확인사항
444
정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성∙등록∙변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가?
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 주요확인사항
445
사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가?
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 주요확인사항
446
사용자 및 개인정보취급자에 대한 계정·권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 결함
447
개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 결함
448
정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우
인증 및 권한관리 2.5.1 사용자 계정 관리 관련 결함
449
사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립∙이행하여야 한다.
인증 및 권한관리 2.5.2 사용자 식별 관련 인증기준
