구   분

세 부 조 치 사 항

1.

관

리

적

보

호

조

치

1.1.

정보보호

조직의 구성?운영

1.1.1.

정보보호조직의 구성

-정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구

성된 정보보호조직을 운영

1.1.2.

정보보호 최고

책임자의 지정

-기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정

1.1.3.

정보보호조직

구성원의 역할

-정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘

-정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리

-정보보호담당자는 정보보호 업무의 분야별 실무를 담당

1.2.

정보보호

계획 등의 수립 및 관리

1.2.1.

정보보호 방침의 수립?이행

-정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침

(policy) 수립

-정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상

의 요구사항을 문서화하고 시행

1.2.2.

정보보호

실행계획의

수립.이행

-정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의

 정보보호 실행계획을 수립

-최고경영층이 실행계획을 승인하고 정보보호 최고책임자가

추진 상황을 매 반기마다 점검

1.2.3.

정보보호

실무지침의

마련.준수

-정보통신설비 및 시설에 대한 관리적/기술적/물리적 보호조

치의 구체적인 시행 방법.절차 등을 규정한 정보보호 실무지

침을 마련

-정보보호 최고책임자가 실무지침을 승인하고 관련 법.제도,

설비의 교체 등 변경사유가 발생할 경우 보완하여 관리

1.2.4.

정보보호

사전점검

-새로운 정보통신망을 구축하거나 정보통신서비스를 제공하

고자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보

호에 관한 사항을 고려

1.3.

인적 보안

1.3.1.

내부인력 보안

-임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근

권한을 제거

-임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호

실천수칙 보급 등)를 실시

-정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하

는 자에게 정기적으로 정보보호 교육 실시

1.3.2.

외부인력 보안

-자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구

1.3.3.

위탁운영 보안

-전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준

협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무

중단에 따른 비상대책’ 등을 반영

1.4.

이용자 보호

1.4.1.

정보보호 정보

제공

-이용자에게 침해사고 예.경보, 보안취약점, 계정.비밀번호

관리방안 등의 정보를 지속적으로 제공

1.4.2.

정보보호 현황

공개

-정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보

호 현황을 자사 홈페이지 등에 공개

1.5. 침해사고  대응

1.5.1.

침해사고 대응

계획의

수립.이행

-침해사고 정의 및 범위, 대응체계(보고 및 조치 체계),  대응

방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등을

포함한 침해사고 대응계획을 마련.시행

1.6. 정보보호

조치 점검

1.6.1.

정보보호조치의

자체 점검

-정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침

의 기준에 따라 자체적으로 정보보호 현황을 점검

1.7. 정보자산 관리

1.7.1.

정보통신설비 및 시설의 현황 관리

-정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완.

관리

-정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네

트워크와 분리된 환경에서 안전하게 관리

1.8. 정보보호 투자

1.8.1.

정보보호 투자계획 수립.이행

-기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보

기술부문 예산의 5%이상)의 정보보호 예산 편성 및 집행

2. 

기 

술 

적 

보 

호 

조 

치 

2.1.

네트워크 보안

2.1.1.

트래픽 모니터링

-네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외

부망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터

링

2.1.2.

무선서비스 보안

-무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자

인증, 데이터암호화 등 보안조치를 마련

2.1.3.

정보보호시스템 설치.운영

-외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템

등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설

치운영

2.1.4.

정보보호를 위한 모니터링

-주요시스템 및 네크워크 사용 및 접근이 명확하게 허용된 범

위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는

위탁 운영을 통하여 침해사고 탐지 및 대응 체계 운영

2.2.

정보통신

설비 보안

2.2.1.

웹서버 보안

-외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고

-DMZ에 설치

2.2.2.

DNS서버 보안

-과부하에 대비한 부하분산 대책을 마련

-설정파일 백업 실시

2.2.3.

DHCP서버 보안

-과부하에 대비한 부하분산 대책을 마련

-설정파일 백업 실시 

-IP 할당 상황 등에 대한 로그기록 유지?관리

2.2.4.

DB서버 보안

-내부망에 설치

-외부망에서 직접 접속할 수 없도록 네트워크를 구성

2.2.5.

라우터/스위치 보안

-ACL(Access Control List) 등의 접근제어 기능을 적용할 수

있는 설비를 사용

2.2.6.

정보보호시스템

보안

-이상징후 탐지를 알리는 경고 기능을 설정하여 운영 

-정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작

동 여부를 주기적으로 점검(월 1회 이상)

2.2.7.

취약점 점검

-연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완

2.2.8.

접근통제 및 보안설정 관리

-인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등

을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가

절차를 강화

-불필요한 프로토콜 및 서비스 제거 등 보안설정

2.2.9.

관리자 계정의

비밀번호 관리

-관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가

능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수

로 설정

-최소 3개월에 1회 이상 비밀번호 변경

2.2.10.

로그 관리

-최소 1개월 이상 로그기록 유지?관리(정보보호시스템은 3개

월)

2.2.11.

보안패치 관리

-보안패치 정보를 주기적으로 입수하고 적용

-주요 보안패치에 대해서는 적용일 등 패치정보를 기록.관리

2.2.12.

백업 및 복구

-주요정보를 주기적으로 백업

-백업 담당자, 백업 및 복구 방법.절차.주기 등을 기록.관리

2.2.13.

중요정보의 암호화

-비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장

-주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등┖

은 안전한 암호알고리듬으로 암호화하여 저장

2.2.14.

관리용 단말 보안

-일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버,

웹서버 등 주요 정보통신설비의 접속에만 사용

-전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수

립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있

도록 통제

-관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소

프트웨어 예방?탐지 활동 실시

3.

물

리

적

보

호

조

치

3.1. 출입 및 접근 보안

3.1.1.

정보통신시설의 출입.접근 통제

-비인가자가 출입할 수 없도록 잠금장치를 설치

-출입자의 기록을 1개월 이상 유지 및 보관

3.2.

부대설비 및 시설 운영.관리

3.2.1.

백업설비 및 시설 설치.운영

-주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설

치.운영