ISMS-P 인증 기준 2.11.2.취약점 점검 및 조치

From CS Wiki
Revision as of 09:55, 20 January 2024 by 61.77.208.197 (talk)


개요

항목 2.11.2.취약점 점검 및 조치
인증기준 정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.
주요 확인사항
  • 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
    • (가상자산사업자) 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
      • 대외서비스: 반기 1회 이상
      • 내부시스템: 연1회 이상
  • 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
  • 최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가?
  • 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?

세부 설명

취약점 점검 절차 수립 및 정기적 수행

정보시스템 취약점 점검 절차를 수립하고, 정기적으로 점검을 수행하여야 한다.

  • 취약점 점검 절차에 포함되어야 할 사항
    • 취약점 점검 대상(예: 서버, 네트워크 장비 등)
    • 취약점 점검 주기(법적 요구사항, 중요도 등 고려)
    • 취약점 점검 담당자 및 책임자 지정
    • 취약점 점검 절차 및 방법 등
    • 중요도에 따른 조치 기준
    • 취약점 점검 결과 보고 절차
    • 미조치 취약점에 대한 보안성 검토 등
    • 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
  • 취약점 점검 대상
    • 라우터, 스위치 등 네트워크시스템 구성 및 설정 취약점
    • 서버 OS 보안 설정 취약점
    • 방화벽 등 보안시스템 취약점
    • 애플리케이션 취약점
    • 웹서비스 취약점
    • 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등
  • 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려
  • 고유식별정보를 처리하는 개인정보처리 자는 인터넷 홈페이지를 통해 고유식별정 보가 유출ㆍ변조ㆍ훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다. (개인정보의 안전성 확보조치 기준 제6조제4항) (2023. 11 삭제)
  • 개인정보처리자는 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항을 내부 관리계획에 포함하여 수립·시행 필요(개인정보의 안전성 확보조치 기준 제4조제1항제10호)

발견된 취약점 조치 및 보고

발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고하여야 한다.

  • 취약점 점검 시 이력관리가 될 수 있도록 점검일시, 점검대상, 점검방법, 점검내용 및 결과, 발견사항, 조치사항 등이 포함된 보고서 작성
  • 취약점별로 대응조치 완료 후 이행점검 등을 통하여 완료 여부 확인
  • 불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고

최신 취약점 모니터링 및 영향도 분석

최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.

  • 정기적인 보안취약점 점검 외에도 지속적으로 최신 보안취약점 파악
  • 최신 보안취약점이 발견된 경우 해당 보안취약점이 정보시스템에 미치는 영향을 분석하여 필요시 대응 조치

취약점 점검 이력 관리 및 재발 방지

취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대한 보호대책을 마련하여야 한다.

  • 취약점 점검 이력에 대한 기록관리
  • 취약점 점검 시 지난 취약점 점검결과와 비교 분석하여 취약점 재발 여부 확인
  • 유사한 취약점이 재발되고 있는 경우 근본원인 분석 및 재발방지 대책 마련

증거 자료

  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검), 제6조(접근통제)
  • 취약점 점검 계획서
  • 취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크시스템, 보안시스템, DBMS 등)
  • 취약점 점검 이력
  • 취약점 조치계획서
  • 취약점 조치완료보고서
  • 모의해킹 계획서/결과보고서

결함 사례

  • 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우
  • 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)