2.9 시스템 및 서비스 운영관리

영역

2. 보호대책 요구사항

적용여부

ISMS

ISMS-P

2.9.1 변경관리

상세 내용

정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립∙이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.

주요 확인사항

•

정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립∙이행하고 있는가?

•

정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?

2.9.2 성능 및 장애관리

상세 내용

정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지∙기록∙분석∙복구∙보고 등의 절차를 수립∙관리하여야 한다.

주요 확인사항

•

정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링 할 수 있는 절차를 수립∙이행하고 있는가?

•

정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립∙이하고 있는가?

•

정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립∙이행하고 있는가?

•

장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 장애조치내역을 기록하여 관리하고 있는가?

•

심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?

2.9.3 백업 및 복구관리

상세 내용

정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립∙이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

주요 확인사항

•

백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립∙이행하고 있는가?

•

백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?

•

중요정보가 저장된 백업매체의 경우 재해∙재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?

2.9.4 로그 및 접속기록 관리

상세 내용

서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위∙변조, 도난, 분실 되지 않도록 안전하게 보존∙관리하여야 한다.

주요 확인사항

•

서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?

•

정보시스템의 로그기록은 위∙변조 및 도난, 분실되지 않도록 안전하게 보관하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가?

•

개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?

2.9.5 로그 및 접속기록 점검

상세 내용

정보시스템의 정상적인 사용을 보장하고 사용자 오∙남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다.

주요 확인사항

•

정보시스템 관련 오류, 오∙남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립∙이행하고 있는가?

•

로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?

•

개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?

2.9.6 시간 동기화

상세 내용

로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다.

주요 확인사항

•

정보시스템의 시간을 표준시간으로 동기화하고 있는가?

•

시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가?

2.9.7 정보자산의 재사용 및 폐기

상세 내용

정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구∙재생되지 않도록 안전한 재사용 및 폐기 절차를 수립∙이행하여야 한다.

주요 확인사항

•

정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립∙이행하고 있는가?

•

정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?

•

자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?

•

외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?

•

정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?