ISO 27001 정보보호경영시스템 정보통신 보안점검표

[김의홍]

ISO 27001 정보보호경영시스템 정보통신 보안점검표

1. 정보통신보안 수행체계

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 정보통신보안업무 수행을 위한 보안절차, 보안통제를 점검․감독하는 보안관리 체계가 확립되어 있는가?
2. 정보통신보안 업무를 수행하는 부서는 적절한 권한과 인적자원을 보유하고 있는가?
3. 연도별 추진계획에 따라 정보통신보안 교육은 실시되고 있는가?
4. 보안관리 체계는 정보시스템 운용 부서와 분리되어 독립적으로 수행하는가?
5. 보안심사위원회가 구성 운영되고 있는가?
6. 보안심사위원회의 구성인원은 적절하며 위원회의 활동은 형식적으로 수행되지 않는가?
7. 정보통신보안 업무수행을 위한 자체 내규,지침이 수립되어 있으며, 각 부서에 배포시행되고 있는가?
8. 연도별 정보통신보안활동 추진계획 및 심사분석이 각 부서 및 소속기관의 의견을종합적으로 수렴하여 작성되고 있는가?
9. 월1회 보안진단의 날을 실시하고 있는가?
10. 정보통신보안 사고유형과 사고조치 절차에 대해 전 직원이 숙지하고 있는가?

2. 정보통신실 보안관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 정보통신실, 자료보관실은 통제구역 또는 제한구역으로 설정 관리하고 있는가?
2. 출입자기록부를 비치하고 기록관리 하고 있는가?
3. 무단침입을 방지하기 위한 이중시건 장치 등 시설 또는 절차가 있는가?
4. 수재 및 화재 등에 대한 대비책은 적절한가?
5. 정보통신실내 보조기억매체 보관함 비치 및 유사대비 안전지출계획을 수립 시행하고 있는가?

3. 정보시스템 보안관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 각종 정보시스템 관리책임자를 임명(담당 역할, 책임구분) 운영하고 있는가?
2. 각종 정보시스템 구축계획시 보안 대책 관련사항을 반영하여 추진했는가?
3. 각종 정보시스템 등에 대한 비인가자 접근의 물리적, 관리적, 기술적 대책을 강구하여 시행하고 있는가?
4. 모든 접근시도는 기록되고 사후 점검 되고 있는가?
5. 각종 정보시스템에 대해 외부업체의 원격작업을 허용하고 있지 않은가?
6. 자체 정보통신망의 취약성 개선을 위한 보안진단 또는 보안측정을 실시하는가?
7. 정보통신망 신․증설시 보안심사위원회 개최 및 자체 보안대책을 강구하고 있는가?
8. 정보통신망 운용현황 및 통신 소통량은 파악되고 있는가?

4. 인터넷 보안관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 자체 전산망과 인터넷을 접속할 경우 에는 인가된 침입차단시스템 설치 등 보안대책을 강구하고 있는가?
2. 홈페이지에 자료를 게재할 경우에는 중요내용이 외부에 공개되지 않도록 자체 보안심사위원회 심의 또는 보안담당관의 통제를 거치는가?
3. 홈페이지용 웹서버의 자료업그레이드는 디스켓 등 보조기억장치를 이용하는가?
4. 비밀 및 중요자료를 처리하는 단말기를 인터넷에 접속하여 사용하지는 않는가?
5. 보안담당 부서의 승인 없이 임의로 인터넷을접속하여 사용하고 있지 않은가?

5. ID 및 비밀번호 관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 퇴직자, 전출자 및 사용기간 만료된 사용자계정은 즉시 삭제되고 있는가?
2. 모든 시스템 사용자에게 고유의 개인별 사용자계정이 있는가?
3. 비밀번호는 쉽게 추적되거나 인지되지 않도록 문자, 숫자, 기호 등을 혼합하여 9자리이상으로 사용하는가?
4. 비밀번호는 분기1회 이상 변경 사용하는가?
5. 비밀번호는 전산망별, 단말기별, 자료별로 구분 관리되고 있는가?

6. 전산자료 보안관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 전산자료는 중요도에 따라 보호등급별로 구분 관리되고 있는가?
2. 비밀 및 중요자료의 전송 시는 기밀성을 보장하기 위하여 보안시스템 또는 암호 자재를 사용하는가?
3. 비밀자료 입․출력관리대장에 기록 관리하는가?
4. 비밀내용을 암호화 등 보안조치 없이 하드디스크에 저장 사용하지 않는가?
5. 비밀자료 입력전용 보조기억매체를 별도 지정하고 매체별로 관리번호를 부여 사용하는가?
6. 비밀자료 입력 보조기억매체 관리 책임자는 월 1회 보유현황을 확인 점검하는가?
7. 소관업무에 따라 입력, 출력, 열람 등으로자료 접근범위를 제한하고 있는가?
8. 자료복사본 확보 및 안전지역 별도 보관 등 자료 보호대책을 강구하였는가?
9. 절차에 의해 정기적으로 자료 백업을 하고 있는가?
10. 정보통신수단을 통한 비밀 및 중요문서 수발시 보안통제 절차를 수립시행 하는가?

7. PC 보안관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 개인컴퓨터(단말기 포함)별 취급자 및 관리책임자를 지정 운영하고 있는가?
2. 비인가자의 개인컴퓨터 무단조작 방지대책은 강구하고 있는가?
3. 장시간 자리를 비울 경우 단말기 화면보호기능을 사용하는가?
4. 개인소유 노트북 등 개인컴퓨터를 중요업무가 처리되는 곳에 무단 반입 사용하는 사례가 없는가?

8. 암호장비운용관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 보안상 취약한 정보시스템에는 암호장비를 부착 사용하고 있는가?
2. 암호장비의 보안관리 정․부책임자가 지정 운용되고 있는가?
3. 암호장비의 동작여부를 주기적으로 점검(담당자)하고 매월 확인(책임자) 하고 있는가?
4. 암호장비의 키는 변경운용지시에 따라 주기적 변경을 실시하는가? (지시문 : 대외비)
5. 인가되지 않은 암호장비를 사용하고 있지 않는가?
6. 암호장비 고장시 정비범위 및 정비 절차는 수립 시행되고 있는가?
7. 책임자 교체시 암호장비의 인계인수는 실시하고 인계인수사항을 기록 유지하고 있는가?

9. 암호 및 음어자재 운용관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 암호 및 음어자재는 암호실내 별도 금고 또는 비밀 캐비닛에 보관되고 있는가?
2. 암호 및 음어자재 수발시 인감등록자가 업무를 수행하는가?
3. 암호 및 음어자재는 현용을 제외한 예비용, 반납용은 봉인하여 보관하고 있는가?
4. 비상시 암호 및 음어자재 긴급파기계획을문서 로 작성하고 각 부서에 전달 시행하고 있는가?
5. 암호 및 음어자재에 대해 주1회 주기적으로 이상 유무 점검을 실시하는가?
6. 암호 및 음어자재를 임의복제 복사하여 사용하지 않는가?
7. 암호 및 음어자재의 인계인수는 실시하고,인계인수사항은 기록 유지되고 있는가?

10. 대도청 활동

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 내부로 유입되는 각종 장비 및 물품 등에 대해 도청장치 은닉여부의 보안 검색을 하는가?
2. 외부인이 청사 내에 출입할 경우 출입 통제를 실시하고 있는가?
3. 중요회의 및 협상시 해당 장소에 대해서 도청위해요소 제거 등 보안대책을 강구하는가?
4. 은닉된 도청장치 탐색을 위한 활동 계획을 수립 시행하는가?
5. 도청(盜聽)에 취약한 전화단자함 등 통신시설에 시건장치를 하는가?

11. 정보보호시스템 운용관리

점 검 사 항	자 체 점 검 결 과
	Y	N	담당자	참고서류
1. 정보보호시스템은 국가기관용의 정보 보안 요구사항을 만족하는 제품을 선정하였는가?
2. 정보보호시스템 구성시 보안등급은 적절히 구현 되었는가?
3. 최초 설정된 보안등급이 임의로 변경 되지 않았는가?
4. 보안등급 관리대장을 작성 유지하는가?
5. 정보보호시스템 설치장소는 ‘보안시스템 보안관리’에 상응하는 보안대책을 강구 하였는가?
6. 정보보호시스템 관리책임자는 지정 운영하고 주기적으로 교육을 실시하고 있는가?
7. 정보보호시스템은 필요한 서비스만 제공되고 설치 목적 외 다른 용도로 사용되지 않는가?
8. 정보보호시스템에 대한 감사기록자료는 주기적으로 점검 분석하고 있는가?
9. 안전진단 소프트웨어 등 보안도구를 이용하여 정기적으로 점검을 실시하여 점검결과를 기록 유지하는가?

세부내용은 첨부 자료 참고하시면 됩니다.

아래 첨부 양식을 잘 활용하시어 회원사 기업의 100년의 기업이 될 수 있도록 노력해보세요.

업무추진에 도움이 되었으면 합니다.

ISO 27001 정보보호경영시스템 운영 및 인증획득은 IT, 인공지능, 기술력 강화 및 정보보안에 차별성을 두고 있으며,

ESG 평가항목으로 사회적책임의 평가부문에서 경쟁사와 차별성으로 평가를 받고 있습니다.

최근 정부 조달 입찰시 IT, 소프트웨어 업종은 가점으로 중소기업에서 의뢰가 많이 들어오고 있습니다.

준비가 필요하신 회원사 기업은 언제든지 문의주세요.

지속가능한 100년 기업을 만들어 가기 위해서

지속가능성 강소기업을 만들어 드립니다.

ISO 심사원 김의홍원장 010-8763-6739 seouls9001@naver.com 올림..

정보통신보안점검표.hwp

62.50KB

정보보안점검표2.hwp

53.00KB