정보시스템 보안 관리 지침

정보시스템 보안 지침

안정적이고 무결한 정보시스템 운영을 위해서는 체계적인 보안 및 위험 관리 지침이 필수적이다.  금융, 공공 기관이나 대기업들은 이미 오래 전부터 정보시스템 보안 및 위험 관리 전문 조직을 두고 관련 지침을 운영하고 있지만 상대적으로 정보시스템 예산과 전문 인력이 부족한 중소기업 입장에서는 보안 및 위험 관리의 필요성을 인식하고 있음에도 불구하고 체계적이고 주기적으로 운영하기 어려운 문제를 안고 있다.  정보화 가이드에서는 중소기업들이 참고하여 활용할 수 있도록 보안 및 위험 관리 지침 양식을 제공한다.   <정보시스템 보안 관리 지침> 1. 개요 3.4 DB 보안 지침 2. 정보 보안 조직 구성 및 관리 3.5 바이러스 예방 지침 2.1 정보 보안 조직 4. 보안 점검 2.2 정보 보안 조직 관리 4.1 적용 대상 3. 업무 지침 4.2 점검 시기 3.1 기본 원칙 4.3 점검 절차 3.2 ID 및 패스워드 보안 지침 4.4 책임 소재 3.3 서버 보안 지침 4.5 보안 체크리스트   1. 개요 본 문서는 OO사의 시스템 보안과 바이러스 예방을 위한 권고 사항을 기술함으로써 OO사 정보시스템에 대하여 보다 체계적인 보안관리를 수행할 수 있도록 보안 가이드라인을 제공하는 데 목적이 있다.  시스템 보안 관리를 위한 정보 보안 조직의 구성 및 관리, 보안 관리 대상별 업무 지침 등을 설명하고 있다.   2. 정보 보안 조직 구성 및 관리 2.1 정보 보안 조직 보안 관리 위원회 보안 관리 위원회는 회사 보안 정책의 수립, 기업 비밀 보안 업무의 운영과 관련된 최고 의사 결정 기구이다. 보안 관리 위원회는 조직 전체의 정보 보호 정책 목표, 목적 및 우선 순위 등을 결정하고, 필요한 자금이 정보 보호 정책의 이행에 사용되어질 수 있도록 관련 사항에 대해 의사결정을 한다.   보안 실무 위원회 보안 실무 위원회는 정보시스템 보안 관련 세부 지침 및 절차를 검토하고 대책을 수립하며 정보시스템 보안 관련 주요 현안 사항에 대해 부서간 합의를 도출하는 실무 조직으로 정보시스템 담당 부서장을 장으로 하고 정보시스템 기획, 개발, 운영 관련 핵심 임직원과 정보시스템 보안 관리자로 구성된다.   보안 관리자 보안 관리자는 당사 정보시스템 보안 관리의 책임자로 보안 계획 및 지침 수립/개정, 보안 교육 실시, 주기적 보안 점검 수행, 보안 침해 사고 대응, 보안 시스템 도입의 기획 및 운영, 정보시스템 보안성 검토, 보안 사고 발생시 보고 등을 수행한다.  보안 관리자는 보안 이외의 현업 담당 업무를 수행하지 말아야 한다. 부서별 보안 담당자 정보시스템 개발 및 운영 관련 조직의 보안 담당자로 담당 시스템의 접근을 통제하고 담당 영역의 새로운 정보시스템 자원에 대한 보안 대책을 점검하고 이에 대한 침해 사고 대응 체계를 수립한다.  부서별 보안 담당자는 담당 시스템의 보안 대책과 상황 등에 대해 보안 관리자에 보고할 의무가 있다. 2.2 정보 보안 조직 관리 조직에 관련된 일반 지침은 조직 및 직무관리지침에 준한다.   3. 업무 지침 3.1 기본 지침 주기적인 보안 점검을 통해 보안 정책 및 보안 지침의 준수 여부를 확인하고 보안 대책을 강구한다. 정보 자산에 대한 위험 분석을 주기적으로 실시하여 그 결과를 보안 정책에 반영한다. 3.2 ID, 패스워드 관리 지침 (1) 기본 원칙 사내 시스템에 대한 ID와 패스워드 관리는 다음 원칙을 따른다. 패스워드는 개인별로 발급한다. 패스워드는 타인에게 공지할 수 없다. 패스워드의 보안책임은 해당 ID의 사용자에게 있다. ID 및 패스워드가 발급되는 모든 시스템은 디폴트(Default) 패스워드 및 ID와 동일한 패스워드를 사용할 수 없다. (2) 패스워드 설정 및 변경 패스워드는 N자 이상으로 설정한다.(문자와 숫자 혼합) 변경 시 3자 이상 변경하며, 직전의 패스워드에서 유추할 수 없어야 한다. 디폴트(Default) 패스워드, 성명의 영문 약자, 신상 명세(생일 등), 영문 단어, 자판 배열을 이용한 패스워드는 사용할 수 없다. (3) ID 관리 회사 업무수행에 필수적인 ID는 입사시 자동으로 발급한다. 퇴사자의 ID는 신속히 삭제한다. 3.3 서버 보안 지침 (1) 액세스 컨트롤(Access Control) 사용자 역할 관련서버 시스템 보안 담당자 1.보안관련 툴을 사용하여 시스템의 취약점 파악한다.  2.DB자원에는 접근할 수 없다. 모든 서버 시스템 관리자 1.관리자로서 프로세스.디바이스.네트워크.백업 및 리커버리 작업을 관리한다. 2.DB 자원에는 접근할 수 없다. 담당 서버 DB 관리자 1.DB 자원에 대한 관리자권한을 갖는다. 2.DB 자원 이외는 접근할 수 없다. 담당 서버 개발자(SI) 개발 관련 툴, 응용 프로그램 및 업무 관련 자원만을 사용할 수 있다. 개발용 서버 유지보수(SM) 유지보수 업무 관련 자원만을 사용할 수 있다. 유지보수를 위한 담당 서버 일반 사용자 업무 관련 응용 시스템에만 접근할 수 있다. 응용 시스템 벤더 ID 벤더용 ID는 허용되지 않으며, 벤더는 시스템 관리자의 참관하에서만 작업할 수 있다. 해당 서버 (2) 시스템 관리자의 책임과 권한 시스템 관리자가 변경될 경우 후임자는 패스워드를 변경한다. 천재지변, 해커 침입 등의 비상 사태 발생 시에 대비하여 적절한 조치를 준비하고 절차화한다. 시스템 사용자에 대한 보안 교육 및 훈련사항을 보안절차에 명시하며 소정의 보안교육을 실시한다. 정기적으로 보안 절차의 준수 여부와 보안의 위협 등을 점검한다. 벤더에서 제공하는 패치 및 WEB의 패치 정보를 공개된 후 3개월 이내에 해당 시스템에 적용한다. 웹의 패치 정보는 정보보호센터의 권고문을 기본으로 한다. 3.4 DB 보안 지침 DB 보안 지침은 다음과 같다. 데이터의 삭제, 수정 등의 변조와 파괴 위협에 대비한다. 시스템 사용자는 업무상 필요한 데이터에만 접근할 수 있다. 데이터의 삭제, 수정, 생산의 경우에 백업 데이터를 만들어 저장한다. 사용자 ID, 사용 시간, 접근 DB자료 등의 감사기록을 관리하여 책임 추적성을 확보한다. 접근 권한 관리 프로그램은 DB 관리자만 사용한다.(특별한 경우 DB 관리자의 승인하에 한시적으로 시스템 사용자의 접근을 허용한다) 3.5 바이러스 예방 지침 바이러스 예방 지침은 다음과 같다. 백신 프로그램을 구입하여 정기적으로 바이러스 감염여부를 체크하고 치료한다. 감염되지 않은 디스켓으로 부팅 디스켓을 만들어 쓰기 방지 탭을 설정한 후 비상시에 대비한다. 일반디스켓을 사용할 시는 바이러스의 유무를 체크한 후 사용한다. 중요한 자료는 정기적으로 백업을 실시한다. 상업용 소프트웨어는 불법복사를 하지 않고 정품만을 사용한다. 쉐어웨어나 공개 소프트웨어는 오랫동안 문제없이 사용하는 것만 이용한다. 통신이나 인터넷을 통해 받아오는 경우는 등록된지 1주일이상 경과했고 다른 사람들이 문제없이 사용하는 프로그램만을 이용한다. 통신이나 인터넷에서 자료를 받아올 때 바이러스의 감염여부를 먼저 체크한 후 사용한다. 항상 백신프로그램을 최신의 바이러스 패턴으로 업그레이드한다. 백신프로그램으로 치료해도 복구되지 않는 경우도 있으므로 백신프로그램을 과신하지 말고 바이러스 대비법을 숙지하여 바이러스 예방에 대비한다.   4. 보안 점검 외부/내부의 불법 침입으로부터 안전하게 보호하기 위해 보안점검을 실시한다. 4.1 적용 대상 보안 체크리스트 참조 4.2 점검 시기 매 반기별 1회 정기 점검하는 것을 원칙으로 한다. 필요에 따라 비정기적으로 여러 차례 보안 점검을 실시할 수 있다. 보안 담당자나 시스템 운영 요원이 바뀔 경우에 보안 체크리스트의 모든 항목을 점검한다. 4.3 점검 절차 보안 담당자는 보안 점검 대상 및 부분을 관련 부서에 통보한다.        해당 부서에서는 보안 점검에 필요한 자료 및 제반 요청 사항을 준비하여 보안 점검에 대비한다. 보안 담당자는 보안 점검을 실시하여 그 결과를 관련 관리자에게 통보하고 보안 실무 위원회장에게 보고 한다. 해당 부서는 보안 담당자 점검 결과에 따른 지적 사항을 보완하고 그 결과를 부서 관리자가 보안 담당자에게 제출한다 . 4.4 책임 소재   보안 점검을 실시하여 다음과 같은 사항이 발견될 경우, 규정에 의거하여 징계할 수 있다. 허가받지 않은 정보 자산에 접근하여 불법 사용 및 정보를 유출한 경우 타인의 사용자 계정 및 패스워드를 허가 없이 사용한 경우 이전 보안 점검의 지적 사항에 대해 조치를 취하지 않은 경우 기타 정보 자산 사용지침을 위반했을 경우 4.5 보안 체크리스트 정보 보호 정책: 정보 보호를 위한 정책, 지침, 절차 등을 확립, 문서화하고 이를 변화에 따라 적절히 유지 보수하는 것과 정보 보호에 대한 문제 발생시 이에 대한 보고, 처리 절차의 확립에 관한 사항 보안 교육: 성공적인 정보 보호 시스템 구축을 위한 필수 사항으로써, 컴퓨터 보안에 대한 숙지, 훈련, 교육을 통해 직원들의 행동을 변화시킴으로써 보안을 강화하는 것이 주요 목적이며 운영방안, 교육조직, 교육내용, 교육효과에 대한 사항을 다룬다. 장비 보안: PC, DB, 서버, 네트워크 장비에 대한 운영 및 불법적인 접근, 변경 등에 관한 통제 계정 관리 - 사용자 ID 생성, 정지, 삭제 등 관리  - 패스워드 관리 서버 관리 - 서버의 접근 통제  - 운영 시스템의 버그 조사 - 보안 패치의 적용 여부 PC보안   - 백신 프로그램의 설치, 사용 현황 - 불법 소프트웨어 사용 현황 - FD(Floppy Disk), CDROM, 외장 하드디스크 등 외부 정보 유출 매체의 관리 현황 DB 보안 - DBMS 사용자 관리 현황 - 비인가자의 DB자원 접근 통제 - DB자원별 보안 등급 분류 현황 - 중요DB자원에 대한 통제 방안 시스템 관리 부분        - 보안사고 관리철 관리          *출처 : 중소기업은행