[작성중][ISMS] 정보시스템 운영 관리 지침

실제 인증 받은 지침이 아니며 학습을 하며 작성해본 내용이기에 부족하거나 잘못된 부분이 있을 수 있습니다.

 

제1조(목적) 이 지침은 정보시스템을 안정적이고 효율적인 운영 기준을 수립함을 목적으로 한다

 

제2조(범위) 조직의 정보시스템 및 관련 담당자를 적용 범위로 한다.

 

제3조(용어정의)

1. 공개서버: 외부 네트워크에 공개되어 외부에서 접근 가능한 서버

2. 업무용 단말기: 업무 수행을 목적으로 조직에서 발급하거나 공식 절차를 통해 반입한 PC, 노트북, 태블릿, 모바일 단말기

 

제4조(공개서버 보안 관리)

1. 웹서버 등 공개서버를 운영하는 경우 아래의 보호대책을 적용하여야 한다.

- 공개서버를 통한 개인정보 송수신 시 암호화 통신 적용

- 백신 등 보안 프로그램 설치 

- 응용프로그램(웹서버, openssl 등), 운영체제는 최신 보안패치 적용

- 불필요한 서비스 제거 및 포트 차단

- 불필요한 소프트웨어, 스크립트, 실행파일 등 제거 및 설치 금지

- 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지

- 연 1회 이상 취약점 점검 및 조치

 

2. 공개서버는 내부 네트워크과 분리된 영역(DMZ)에 설치 및 운영하고 보안시스템을 통하여 보호하여야 한다.

- 공개서버를 통한 내부 네트워크 침입이 불가능하도록 보안시스템을 통한 접근통제 정책 적용

- 공개서버가 내부 네트워크 내 정보시스템으로 통신이 필요한 경우 엄격하게 접근통제 정책 적용

 

3. 공개서버에 개인정보 및 중요정보를 게시하거나 저장할 경우 사전에 정보보안 담당자의 승인 등 공식적인 절차로 진행하여야 한다.

- 원칙적으로 DMZ 구간의 공개서버에 개인정보 및 중요정보의 저장 및 게시를 금지

- 업무상 불가피하게 중요정보를 공개서버에 저장하는 경우 '[서식]공개서버 자료등록 신청서'를 작성하여 담당 부서장, 정보보안 책임자의 승인을 받아야 한다.

- 정보보안 담당자는 요청을 받은 경우, 암호화 조치 등 정보 보호에 필요한 조치 여부를 확인하고 승인을 하여야 한다.

- 외부에서 접근권한이 없는 자에게 개인정보 및 중요정보가 노출되지 않도록 게시물 접근 통제, 개인정보 필터링 등 조치

 

4. 개인정보 및 중요정보가 공개서버를 통한 노출 여부를 연 1회이상 점검하고 노출을 인지한 경우 즉시 필요한 조치를 수행하여야 한다.

- 검색엔진 등을 통하여 주기적으로 점검 및 필요한 조치 적용

- 정보 노출을 인지한 경우 공개서버에서 차단 조치 또는 비식별 처리 수행

- 검색엔진 사업자에게 요청하여 캐시 등을 통하여 계속적으로 노출되지 않도록 조치

- 정보보안 담당자는 개인정보 및 중요정보 노출 여부를 점검하고 이력을 관리

 

제 5조(업무용 단말기 보안)

1. 업무용 단말기 통한 업무 사용범위 => 이것이 무엇인지 지금은 모르겠다.

2. 업무용 단말기는 '[서식] 업무용 단말기 신청서'를 통해 조직에서 지급 받거나 '[서식']외부 기기 반입 신청서'를 통해 정보보안 담당자 승인을 받고 외부 기기를 반입하여 사용하여야 한다.

3. 단말 관리 담당자는 업무용 단말기의 계정 및 IP 관리를 수행하며 현황을 문서로 작성하여야 한다.

4. 업무용 단말기는 백신, 보안프로그램을 필수로 설치하여야 하며 정보 보안 담당자는 전체 단말기의 설치 현황을 관리하여야 한다.

5. 업무용 단말기의 관리 및 보안 책임은 단말기 사용자에게 있으며 다음 사항을 준수하여야 한다.

- 인가되지 않은 보조기억장치 등 외부 기기를 연결하지 않는다. 단, 키보드 및 마우스 같은 입력 장치는 연결을 허용하며 그 외 장치는 정보보안 담당자의 승인을 받은 후 연결하여야 한다.

- 불법 프로그램을 포함한 업무에 불필요한 소프트웨어 설치 및 사용을 제한한다.

- P2P 프로그램, 상용 웹메일, 웹하드, 메신저, SNS 서비스 사용을 금지한다.

- 출처가 불분명한 이메일 열람 금지한다.

- 파일 공유는 원칙적으로 제한하나 업무를 위해 불가피하게 사용하는 경우 적절한 보안 정책(접근권한 비밀번호 설정, 사용 후 공유설정 제거, 권한 개별 설정)을 적용한다. 

- 무선망을 이용하는 경우 WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 망을 이용하여야 한다.

- 단말기를 외부에서 사용해야 하는 경우, 정보 유출 및 단말기 분실에 주의하여야 한다. 

6. 정보보안 담당자는 업무용 단말기 관리를 위하여 다음 사항을 정책으로 관리하여야 한다.

- 업무용 단말기에 패스워드, PIN 등 잠금 설정을 사용하여야 한다.

- 업무용 단말기 계정의 패스워드를 분기별로 1회 이상 변경하도록 한다.

- 백신 및 보안 프로그램을 사용자가 임의로 중지하지 못하도록 통제한다.

- OS, Office 소프트웨어을 최신 업데이트를 수행하도록 노력한다.

- 개인정보 및 내부자료 유출 방지를 위한 사용자 교육을 수행하여야 한다.

- 업무용 단말기기에 대한 접근통제 대책의 적절성을 주기적으로 점검하여야 한다.

 

 

[서식]

공개서버 자료등록 신청서(홈페이지 자료 등록 신청서)

업무용 단말기 신청서

외부 기기 반입 신청서