Q. 기업 실사 중 다음과 같은 결함들을 발견하였다. 어떤 심사기준에 따라 결함으로 볼 수 있는지 알맞은 항목을 모두 고르시오.
- 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
- 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
- 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
-
①1.1.5 정책 수립
-
②1.2.1 정보자산 식별
-
③2.4.6 반출입 기기 통제
-
④2.6.1 네트워크 접근
-
⑤2.12.1 재해, 재난 대비 안전조치
| 영역 | 관리체계 수립 및 운영 |
|---|---|
| 분야 | 1.1. 관리체계 기반 마련 |
| 항목 | 1.1.5 정책 수립 자세히 보기 |
| 인증기준 | 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. |
| 영역 | 관리체계 수립 및 운영 |
|---|---|
| 분야 | 1.2. 위험 관리 |
| 항목 | 1.2.1 정보자산 식별 자세히 보기 |
| 인증기준 | 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.4. 물리 보안 |
| 항목 | 2.4.6 반출입 기기 통제 자세히 보기 |
| 인증기준 | 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.6. 접근통제 |
| 항목 | 2.6.1 네트워크 접근 자세히 보기 |
| 인증기준 | 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.12. 재해복구 |
| 항목 | 2.12.1 재해, 재난 대비 안전조치 자세히 보기 |
| 인증기준 | 자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. |