Q. 기업 실사 중 다음과 같은 결함들을 발견하였다. 어떤 심사기준에 따라 결함으로 볼 수 있는지 알맞은 항목을 모두 고르시오.
- 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
- ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우
- 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
- 폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
-
12.3.3 외부자 보안 이행 관리
-
22.5.1 사용자 계정 관리
-
32.6.6 원격접근 통제
-
42.8.1 보안 요구사항 정의
-
52.9.7 정보자산의 재사용 및 폐기
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.3. 외부자 보안 |
| 항목 | 2.3.3 외부자 보안 이행 관리 자세히 보기 |
| 인증기준 | 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.5. 인증 및 권한관리 |
| 항목 | 2.5.1 사용자 계정 관리 자세히 보기 |
| 인증기준 | 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.6. 접근통제 |
| 항목 | 2.6.6 원격접근 통제 자세히 보기 |
| 인증기준 | 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.8. 정보시스템 도입 및 개발 보안 |
| 항목 | 2.8.1 보안 요구사항 정의 자세히 보기 |
| 인증기준 | 정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.9. 시스템 및 서비스 운영관리 |
| 항목 | 2.9.7 정보자산의 재사용 및 폐기 자세히 보기 |
| 인증기준 | 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다. |