Q. 기업 실사 중 다음과 같은 결함들을 발견하였다. 어떤 심사기준에 따라 결함으로 볼 수 있는지 알맞은 항목을 모두 고르시오.
- 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우
- 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
- 모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우
-
12.2.3 보안 서약
-
22.2.4 인식제고 및 교육훈련
-
32.5.2 사용자 식별
-
42.7.1 암호정책 적용
-
52.11.4 사고 대응 훈련 및 개선
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.2. 인적 보안 |
| 항목 | 2.2.3 보안 서약 자세히 보기 |
| 인증기준 | 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.2. 인적 보안 |
| 항목 | 2.2.4 인식제고 및 교육훈련 자세히 보기 |
| 인증기준 | 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.5. 인증 및 권한관리 |
| 항목 | 2.5.2 사용자 식별 자세히 보기 |
| 인증기준 | 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.7. 암호화 적용 |
| 항목 | 2.7.1 암호정책 적용 자세히 보기 |
| 인증기준 | 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. |
| 영역 | 보호대책 요구사항 |
|---|---|
| 분야 | 2.11. 사고 예방 및 대응 |
| 항목 | 2.11.4 사고 대응 훈련 및 개선 자세히 보기 |
| 인증기준 | 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다. |