CSAP153 (ISMS-P) 1.4.3. 관리체계 개선 (항목) 1.4.3. 관리체계 개선 (내용) 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. 2021. 10. 27. (ISMS-P) 1.4.2. 관리체계 점검 (항목) 1.4.2. 관리체계 점검 (내용) 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 2021. 10. 27. (ISMS-P) 1.4.1. 법적 요구사항 준수 검토 (항목) 1.4.1. 법적 요구사항 준수 검토 (내용) 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 2021. 10. 27. (ISMS-P) 1.3.3. 운영현황 관리 (항목) 1.3.3. 운영현황 관리 (내용) 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. 2021. 10. 27. (ISMS-P) 1.3.2. 보호대책 공유 (항목) 1.3.2. 보호대책 공유 (내용) 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. 2021. 10. 27. (ISMS-P) 1.3.1. 보호대책 구현 (항목) 1.3.1. 보호대책 구현 (내용) 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 2021. 10. 27. (CSAP) 정보보호시스템 등 도입/운용 관련 보안성 검증 1) CC인증서 보유 필수 제품 정보보호시스템 등 23종은 인증서 보유 필수 가상사설망, 호스트 기반 자료유출방지 제품은 검증필 암호모듈 탐재 필요 국가용 보안요구사항 또는 국가용 보호프로파일을 준수한 경우 보안적합성 검증 신청 절차 생략 가능 (준수하지 않은 경우 도입은 가능하지만 도입 후 보안적합성 검증 신청 2) GS인증서로 안전성이 검증된 경우 스팸메일 차단 시스템, 패치관리 시스템, 망간 자료전송 제품 등 3종 국가용 보안요구사항을 준수한 GS인증서로 안전성이 검증된 경우 안전성 검증필 제품목록에 등재 보안적합성 검증 절차 생략 및 도입/운용 가능 22년부터 GS인증으로 안전성 검증필 제품목록에 신규 등록 불가, 도입 제한 3) 성능평가 결과 확인서로 안전성이 검증된 경우 디도스 대응 장비, 안.. 2021. 8. 31. (CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 1. 개인정보 수집 관련 근거 가. 개인정보보호법 기준 개인정보보호법 제15조(개인정보의 수집, 이용) 제1항에 따라 정보주체의 동의를 받아 처리 제2항부터 제6항까지 예외 조항에 따라 동의 없이 추가 가능 특히 제4항 정보주체와의 계약 체결, 이행을 위해 불가피한 경우와 제6항 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 (정보주체의 권리보다 우선하는 경우)에 동의 없이 개인정보를 수집 가능 나. 관련 용어 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람 개인정보처리자 : 업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 개인정보 수탁자 : 개인정보처리자를 대신하여 개인정보파일을 운영하는 자 (이 경우 개인정보처리자는 위탁자가 됨) 2... 2021. 8. 24. (ISMS-P) 개인정보의 유형 (가명정보, 익명정보) 가. 개인정보의 유형 근거 유형 설명 특징 개인정보 (개인정보보호법 제2조 제1항) 개인식별정보 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 (직접)식별자 개인식별가능정보 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (간접/준)식별자, 민감정보 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소 요되는 시간, 비용, 기술 등을 합리적으로 고려 가명정보 개인식별정보 또는 개인식별가능정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용 결합 없이는 특정 개인을 알아볼 수 없는 정보 비개인정보 (개인정보보호법 제58조의2) 익명정보 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보.. 2021. 8. 16. (ISMS-P) 데이터 보호 -CSAP의 도메인 '12. 데이터 보호'와 관련된 통제항목들과 클라우드 서비스 유형별(IaaS/SaaS/SECaaS/DaaS) 통제 사항 정리 2021. 8. 10. (ISMS-P) 데이터 폐기 1. 데이터 폐기의 개요 가. 데이터 폐기의 정의 이용자와의 서비스 종료 또는 이전 시, 이용자의 데이터를 재사용할 수 없도록 정보 삭제 나. 데이터 폐기의 특징 이용자 완전 삭제 (복구가 불가능 하도록 삭제) 백업된 데이터에 대한 삭제 방안 마련 2. 데이터 폐기의 개념도 및 구성요소 가. 데이터 폐기의 개념도 나. 데이터 폐기의 구성요소 구분 대상 설명 Virtual resource VM Object Storage NAS -공개 또는 상용 툴을 사용 삭제 -자체 개발한 툴을 이용하여 이용자의 데이터가 저장된 위치에 새로운(무의미한) 데이터를 중복하여 저장하는 방법 -랜덤 키로 데이터 생성 후 해당 파일에 덮어 쓰기 Database Table Space Table Column -저장된 데이터 삭제 -삭.. 2021. 8. 10. (ISMS-P) 암호 정책 수립 1. 암호 정책 수립의 개요 가. 정의 중요정보의 전송 및 저장 시 안전한 보호를 위한 정책 수립 및 이행 나. 특징 암호 대상은 취급 정보 민감도 및 중요도에 따라 정의 암호화 대상별 암호화 방식과 알고리즘 강도 정의 암호키 관리 대책 정보 전송 및 저장 시 암호화 방안 암호화 관련 시스템 운영 담당자 역할 및 책임 정의 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등) 2. 암호 정책 수립과 관련된 통제항목 가. 암호 정책 수립과 관련된 통제항목 개념도 나. 암호 정책 수립과 관련된 통제항목 요소 통제항목 특징 설명 9.1.5. 공개서버 보안 SSL TLS -웹 서버 등을 통한 개인정보 등 중요정보를 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport L.. 2021. 8. 10. (CSAP) 금융사 CSP 안전성 평가와 비교 1. CSAP (클라우드 서비스 보안 인증) 가. CSAP의 정의 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제23조 제2항에 따라 정보보호 기준의 준수 여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. CSAP의 특징 (공공기관 이용 대상), 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 목적 (민간 클라우드 관리체계), 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 다. CSAP의 근거 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(20.. 2021. 7. 30. (ISMS-P) (MySQL & Maria DB) 데이터베이스의 시스템 로그 유형 1. MySQL & Maria DB의 로그 개요 가. 로그의 정의 -데이터베이스 자신의 상태를 기록하기 위해 로그를 기록 나. 로그의 유형 유형 설명 Error log 시작, 종료, 운영 중에 발생되는 Error 상태를 기록 General query log 클라이언트로부터 수행된 SQL 문법 기록 Binary log 변경된 데이터 혹은 수행된 SQL문 기록 Relay log 복제 마스터 서버로부터 변경된 데이터를 수신한 로그 Slow query log long_query_time 파라미터에서 설정된 시간보다 오래 수행될 경우 기록되는 로그 DDL log DDL 언어가 수행될 때 기록되는 로그 -특정 설정을 하지 않는 한 기본적으로 디렉터리에 저장 2. 로그 생성 파라미터 및 결과 확인 방법 가. 로그 생.. 2021. 7. 27. (ISMS-P) (MySQL & Maria DB) 데이터베이스의 감사로그 관리 Maria DB는 5.5.37과 10.0.10 버전부터 audit plugin 내장 1) Plugin이 위치하는 디렉터리 확인 >show global variables like 'plugin_dir%'; 2) 1)에서 확인한 위치에 라이브러리 파일 복사 3) plugin 설치 여부 확인 4) audit 환경 변수 설정 확인 5) OS에서 plugin 설치 >install plugin server_audit soname 'server_audit.so'; 6) plugin 설치 여부 확인 >select * from mysql.plugin; 7) audit 설정 여부 >show global variables like 'server_audit%'; 8) my.cnf에 환경 변수 설정 server_audit_ev.. 2021. 7. 27. (ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 고급 감사 정책 1. (윈도우키+secpol)에서 감사 정책 [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] -'보안 설정 > 고급 감사 정책 구성'의 보안 감사 정책 설정은 정의된 활동을 추적하여 중요한 비즈니스 관련 및 보안 관련 규칙의 준수를 감사 가능 2. [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책]에서 생성 가능한 감사 유형 유형 설명 계정 로그온 -도메인 컨트롤러 또는 로컬 SAM(보안 계정 관리자)에서 계정 데이터를 인증하려는 시도를 기록 계정 관리 -사용자 및 컴퓨터 계정 및 그룹에 대한 변경 내용을 모니터링 가능 세부 추적 -자세한 추적 보안 정책 설정 및 감사 이벤트를 사용하여 해당 컴퓨터에서 개별 응용 프로그램 .. 2021. 7. 25. (ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 로컬 감사 정책 1. (윈도우키+secpol)에서 감사 정책 -감사 설정을 구성하지 않으면 보안 관련 문제 상황 동안 어떠한 일이 발생했는지 파악하기란 거의 불가능 -구성된 감사 설정에서 이벤트를 생성하는 허가된 작업이 너무 많으면 보안 이벤트 로그가 불필요한 데이터로 가득 차게 되며 전체 컴퓨터 성능에도 영향을 줄 수 있음 2. [로컬 정책 > 감사 정책] [로컬 정책 > 감사 정책]에서 생성 가능한 감사 이벤트의 유형 구분 설명 개체 액세스 감사 -파일, 폴더, 레지스트리 키, 프린터 등 감사 요구 사항을 지정하는 SACL(시스템 액세스 제어 목록)이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 여부를 결정 계정 관리 감사 -컴퓨터의 각 계정 관리 이벤트를 감사할지 여부를 결정 계정 로그온 이벤트 감사 -이벤트.. 2021. 7. 25. (ISMS-P) (Windows) 윈도우 시스템에서 생성 가능한 감사 로그 유형 1. 감사 생성 정책 시스템 버전 설명 Windows XP, 2003 로컬 정책-감사 정책에서 9개 범주의 로그 생성 Windows Server 2008, Windows 7 이후 고급 감사 정책에서 그룹 정책 관리 콘솔(GPMC, 도메인, 사이트, OU)나 로컬 보안 정책(secpol.msc)에서 설정 -로컬 정책 > 감사 정책의 기본 감사 정책 설정과 고급 감사 정책 구성의 고급 설정을 모두 사용 시 예기치 않은 결과 발생 가능 2. 생성된 로그 확인 윈도우에서는 로그를 이벤트라고 하며 이벤트 뷰어(eventvwr.msc)를 통해 확인 가능 2021. 7. 25. 이전 1 ··· 3 4 5 6 7 8 9 다음
