ISMS 비상주 온라인 정보보호 관리체계

대상: 소기업, 중기업

방법: 비상주 온라인 수행

영역: 관리영역(ISMS 통제항목), 법준거 영역

일정: 회사 상황에 따라 아래 일정 중 선택

일정 1)

- 평균 2달 (일반적인 컨설팅과 동일한 일정)

- 업무시간: 9 to 18

일정 2)

- 평균 4달 (업무시간 조절에 따른 일정 조율)

- 업무시간: (평일) 18 to 23 (주말/휴일) 9 to 18

비용: ISMS 2달 수행 기준(비상주)

비용: ISMS-P 3달 수행 기준(비상주) 별도 협의

1) 의뢰인이 운영중인 정보보호 관련 업무자료 공유

- Office365 family 공유 메일 발송

2) 공유받은 업무자료 검토

3) 정보보호 통제항목 대비 업무현황 작성

- 필요 시 업무 내용에 대해 인터뷰 항목 작성

- 인터뷰 항목에 대한 현황 및 증적 회신

4) 작성 내용을 의뢰인이 검토 및 의견 회신

- Office365 family 공유 메일 발송

5) 3번, 4번 반복

6) 정보보호 통제항목 최종 현황 작성 및 전달

7) 의뢰인 최종 검토

의뢰인이 수행하는 보안활동 수행 내역으로 아래 내용을 포함하고 있는 자료

ㅇ 개인정보보호법 준수 증거자료

ㅇ 최상위 정보보호 관련 정책서

ㅇ 정보보호 관련 정책, 지침에 대해 내부 승인 자료

ㅇ 정보보호 관련 정책, 지침에 대해 내부 공표 자료

ㅇ 정보보호 관련 정책, 지침 정기적 검토 자료

ㅇ 정보보호 관련 업무의 진행 현황 자료

ㅇ 정보보호조직 구성 현황

ㅇ 정보보호조직 구성에 대해 내부 승인 자료

ㅇ 정보보호조직 구성에 대해 내부 공표 자료

ㅇ 정보보호위원회 구성 현황

ㅇ 정보보호위원회 임원 지정에 대해 내부 승인 자료

ㅇ 정보보호위원회 임원 지정에 대해 내부 공표 자료

ㅇ 정보보호 최고책임자 지정 현황

ㅇ 정보보호 최고책임자 지정에 대해 내부 승인 자료

ㅇ 정보보호 최고책임자 지정에 대해 내부 공표 자료

ㅇ 정보보호조직 구성원의 정보보호 업무 전문성 강화를 위해 진행한 자료

ㅇ 외부자와의 계약 시 보안요구사항 반영된 표준 계약서 등의 자료

ㅇ 외부자 업무 투입 시 서약서

ㅇ 외부자 업무 수행 시 점검표

ㅇ 외부자 업무 철수 시 서약서

ㅇ 외부자 업무 철수 시 점검표

ㅇ 정보시스템 자산 분류 자료

ㅇ 정보시스템 자산의 중요도 산정 자료

ㅇ 정보시스템 자산 중요도에 따른 보안등급 산정 자료

ㅇ 정보시스템 보안등급에 따른 취급절차 수립 자료

ㅇ 정보시스템 자산에 대해 담당자 관리자 지정 자료

ㅇ 정보보호교육 계획

ㅇ 정보보호교육 결과(교육 내용에 대한 설문내용 포함)

ㅇ 정보보호교육 교재

ㅇ 정보보호교육 참석자 명단

ㅇ 정기 정보보호교육 미참석자에 대해 추가 교육 방안 자료

ㅇ 주요 직무자 선정 근거 및 지정 현황

ㅇ 임직원 입사 시 서약서

ㅇ 임직원 퇴사 시 서약서

ㅇ 임직원 퇴사 시 점검표(신분증 반납 등)

ㅇ 임직원 입사, 퇴사 시 업무절차 자료(입사시 ID 생성, 퇴사시 ID 삭제에 관한 내용)

ㅇ 상벌규정 자료(개인정보 유출등 보안사고시 징계 규정)

ㅇ 업무망, 인터넷망을 물리적 또는 논리적으로 분리하여 사용하는 임직원 현황

ㅇ 보호구역 지정 자료(일반구역, 제한구역, 통제구역 등)

ㅇ 보호구역 내 정기점검 이행에 대한 자료(온도, 습도, 화재, 누수, 전력, 통신 등)

ㅇ 사무실, 전산실, 서버실 등 보호구역 내 출입관리대장

ㅇ 사무실, 전산실, 서버실 등 보호구역 내 출입자 목록

ㅇ 사무실, 전산실, 서버실 등 보호구역 출입자의 출입이력 관리 방법, 주기, 검토 현황

ㅇ 사무실, 전산실, 서버실 등 보호구역으로 모바일 기기(노트북, 스마트패드 등) 반입을 위한 업무 절차

ㅇ 사무실, 전산실, 서버실 등 보호구역에서 모바일 기기(노트북, 스마트패드 등) 반출을 위한 업무 절차

ㅇ 전산실, 서버실 등 보호구역 내 시스템 배치도

ㅇ 개인업무 환경 보안점검 사항 자료(Clean Desk, PC 보안환경 설정 등)

ㅇ 공용업무 환경 보안점검 사항 자료(공용PC에 대한 보안환경 설정 등)

ㅇ 개발 분석-설계-구현-이관 에 대해서 각 단계별 보안사항 점검 자료

ㅇ 개발 소스 버전관리 현황

ㅇ 개발 서버에 1인 1계정 등록 현황

ㅇ 개발 테스트 진행 시 가상데이터 사용 현황

ㅇ 개발 및 테스트 환경과 운영 환경의 분리 현황

ㅇ 개발 완료 후 이관 전 보안점검 진행 자료(시큐어코딩, 취약점 점검, 요구사항 반영, 법준거 사항 검토 등)

ㅇ 외주 개발 진행 시 보안요구사항 반영된 계약서

ㅇ 외주 개발 진행 시 전 과정에 대해 관리 현황

ㅇ 암호화 정책 수립 현황

ㅇ 암호화 적용 항목 자료(전송 시 암호화 적용 항목, 저장 시 암호화 적용 항목)

ㅇ 암호화 적용 항목에 대해 암호화 이행 현황(예. 비밀번호 : SHA256, 개인정보 : AES-128 등)

ㅇ 암호화에 사용한 암호화키 관리 현황

ㅇ 서버 접근통제 정책 수립 자료

ㅇ 네트워크 접근통제 정책 수립 자료

ㅇ 보안장비 접근통제 정책 수립 자료

ㅇ DB 접근통제 정책 수립 자료

ㅇ 응용프로그램 접근통제 정책 수립 자료

ㅇ 유선.무선 네트워크 접근 신청서(IP신청서 등)

ㅇ 유선.무선 네트워크 접근 단말 관리 현황(IP관리 대장 등)

ㅇ 무선 네트워크 운영 현황(공개 및 비공개 여부, 접근 시 비밀번호 입력 등 접근통제 여부, 암호화 적용 여부 등)

ㅇ 정보시스템 계정 신청서(서버, 네트워크 장비 등에 접속하는 ID의 신청서)

ㅇ 정보시스템 계정 관리 현황(0월 관리자계정 : O개, 특수계정 : O개, 일반계정 : O개 등)

ㅇ 정보시스템 계정 접근권한 검토 이력(정기적으로 미사용 또는 불필요한 ID를 검토하여 삭제하는지)

ㅇ 정보시스템 계정 발급 시 권한 차등화 부여 기준 자료

ㅇ 정보시스템 작업 시작 전 작성하는 계획서(작업계획서)

ㅇ 정보시스템 장애발생 시 작성하는 장애보고서(향후 유사장애 대응방안 포함)

ㅇ 정보시스템 작업 종료 후 작성하는 결과서(작업결과서)

ㅇ 정보시스템 성능, 용량 점검 결과 자료

ㅇ 정보시스템 패치 적용여부 검토 자료

ㅇ 정보시스템 패치 적용 자료

ㅇ 정보시스템 내부에서 원격으로 접근 시 특정 단말에서만 접근 가능하도록 한 자료

ㅇ root, admin 등 관리자 권한을 보유한 계정에 대해 비밀번호 관리 현황 자료(비밀번호 관리대장 등)

ㅇ (개인정보처리시스템) 개인정보 DB 접근권한을 부여할 수 있는 계정에 대해 비밀번호 관리 현황 자료

ㅇ (개인정보처리시스템) 개인정보 DB 접근 대상자의 접속이력 검토 현황

ㅇ (개인정보처리시스템) 개인정보 DB 접근 대상자의 접근권한 생성, 수정, 삭제 이력

ㅇ 인터넷을 통해 내부 네트워크로의 원격 접근 시 작성하는 신청서

ㅇ 인터넷을 통해 내부 네트워크로의 원격 접근대상 리스트 현황

ㅇ 인터넷을 통해 내부 네트워크로의 원격 접근 방법

ㅇ 방화벽 정책 생성, 변경, 삭제에 관한 업무 절차(방화벽 신청서)

ㅇ 공유계정 사용하는 경우 사유

ㅇ 개인용 모바일기기(노트북, 스마트패트 등)를 업무에 사용하기 위해 내부 네트워크 접근 시 업무 절차

ㅇ 인터넷 접속 제한 대상자 현황

ㅇ 인터넷 접속 제한 대상자 접속제한 방법

ㅇ 정보시스템 운영절차 수립 자료(시스템 운영 매뉴얼, 시스템 운영 절차 등)

ㅇ 정보시스템 장애 발생 시 업무 절차

ㅇ 정보시스템 장애 대비 모의훈련 진행 자료

ㅇ 정보시스템 로그 저장 현황(예. 1차 로그 저장 : 로컬, 2차 로그 저장 : 원격지 또는 외장저장매체)

ㅇ 정보시스템 로그 저장 시 저장하는 로그의 항목

ㅇ 정보시스템 로그 검토 방법(검토 대상 또는 시스템, 검토 방법, 검토 주기, 검토 항목)

ㅇ 정보시스템 접속이력 검토 방법

ㅇ 정보시스템 저장매체 내 중요정보 안전하게 삭제한 자료(파기업체 활용 자료, 담당자 동석 자료, 파기 과정 사진촬용 자료 등)

ㅇ 정보시스템 백업 현황(백업 대상 또는 시스템, 백업 항목, 백업 주기, 백업 방법, 복구 방법)

ㅇ 정보시스템 시각동기화 현황

ㅇ 재택근무, 원격협업 진행 현황

ㅇ 이용자 대상으로 인터넷을 통한 결제 진행 시 이에 따른 업무 자료

ㅇ 다른 조직으로 중요정보 전송 시 안전한 전송에 대한 내용이 수립된 자료

ㅇ 휴대용 저장매체 사용신청 자료 (USB 외장하드 사용 신청서 작성 등)

ㅇ 휴대용 저장매체 관리대장 자료 (부서별, 사용자별, 사용매체별 등)

ㅇ 정보시스템 장비 도입 단계 또는 실제 운영 전 단계에서 보안성 검토 이행 자료

ㅇ 자체 DNS 사용 여부

ㅇ 자체 DNS 사용 시 보호대책 적용 자료(이중화, DNS 스푸핑 방지책, Ddos 공격 방지책 등)

ㅇ pc 및 서버 악성코드 통제 자료(백신 설치, 보안관제 이용 등)

ㅇ 업무 시스템 장애 발생 시 신속한 연락이 가능하도록 작성한 비상연락망

ㅇ 침해사고대응 훈련 계획 자료

ㅇ 침해사고대응 훈련 결과 자료

ㅇ IT재해 발생 시 대응방안 자료

ㅇ IT재해 발생 대비 모의훈련 계획 자료

ㅇ IT재해 발생 대비 모의훈련 결과 자료