Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

2016년 보안감사 및 최신 보안 이슈 공유

No description
by

Benjamin Han

on 14 July 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of 2016년 보안감사 및 최신 보안 이슈 공유

2016년 보안감사 및
최신 보안 이슈 공유

'16년 국무조정실
보안감사 요구 목록


7. 감사대상기간 중 보안감사(자체, 외부) 결과
(기관 장결재 사본) 및 후속조치 이행결과 : 5부
8. 세부 네트워크구성도(무선망 포함), 정보시스템
및 정보보호시스템 관리대장 : 3부
9. 정보화 용역사업 보안대책 및 이행 결과 : 3부

정보보안 요구목록
주요 지적사항(1/3)
1. 서버, 스토리지, 네트워크장비,
정보보안 장비 등

2. 정보시스템 관리

3. 정보보안시스템 관리

+ @
주요 지적사항(2/3)
4. 비밀번호 관리

5. 용역사업 관리

6. 원격지원 관리

7. 사용자 관리
주요 지적사항(3/3)
8. 대외비 관리

9. 각종 대장 관리





10. 주기적인 재난복구대책 현행화

1. 자체 보안관련 규정 : 5부

2. 보안심사위원회 구성 편성표 : 3부

3. 연간 보안업무 시행 계획 및 심사분석 결과 : 5부

4. 신원조사대장/회보서철

5. 비밀관리기록부(2014/2015/2016년도 연구과제 목록 포함)

6. 보호구역 설정 현황(출입통제대장 포함)
10. 무선망 구축 및 운영현황 : 3부
11. 기관 내·외부 업무용 메일시스템
운영 현황
12. 방화벽, 유해사이트 차단시스템 등 정보보호시스템
보유 및 운영 현황 : 3부

13. PC, 노트북, 모바일기기 관리‧ 운영현황 : 3부
* 감사대상기간 중 PC 구입 및 교체 현황(OS 포함) 및 계획 포함

14. 휴대용저장매체 관리대장, 점검대장, 반출‧입대장 : 3부

15. 원격지 근무 관련 정보시스템 구축 및 운영현황 : 1부신원

16. 보안취약점 점검 및 조치 현황 : 1부
17. 보안 및 정보보안 교육 실시 계획 및 증빙자료 : 3부

18. HDD, SDD 등 저장매체 불용처리 대장

19. 운영중인 정보보호제품 CC인증 현황 : 3부

20. 보안지원이 중단된 IE 10이하, 운영체제(2003, XP) 대상
상위버전 업데이트 현황
1. 주기적인 접속암호 변경(대외비 지정)

2. 서버, 스토리지 접근제어(ACL) 및 방화벽으로 보호

3. NAS 등 연구용 스토리지 관리책임자 지정,
관리자 페이지 / 이용자 접근제어(관리대장 운영)

4. 백업시스템(스케줄, 백업로그 등) 운영 및 관리 현황

5. 화면보호기 시간 설정(점검시에만 적용)
서버, 스토리지, 네트워크장비, 정보보안 장비
등 하드웨어 관련 지적사항
□ 정보시스템 관리


1. 메일, 웹디스크 등 외부에서 접속가능한 정보시스템은
2FA 이상의 복합인증 적용
(아이디, 비밀번호 + 인증서 or OTP)

2. 관리자 페이지는 담당직원 PC에서만 접근(IP제한 등)

3. 웹서버, WAS 등 기본페이지 / 오류페이지 제거
□ 정보보안시스템 관리


1. 원격접속기록과 접근통제시스템(방화벽 등) 로그 비교

2. 접근통제시스템 정책을 하나하나 모두 확인
(불필요한 정책 유무 점검)

3. 접속정보 주기적 변경 및 대장 기재
- 통제구역 출입대장 : 담당자 복무기록과 비교

- 암호관리대장(대외비)

- 대외비 지정현황 : 대외비 지정 및 불출 현황

- 취약점 점검 보고서 : 웹서비스 취약점 등 보안취약점
점검 보고서 대외비 지정

※ 지정 뿐만이 아니라 열람여부까지 확인함!!!
- 정보통신망(시스템 / 네트워크) 구성도

- 정보시스템 / 정보보호시스템 목록(접속정보 포함)

- 사용자 IP할당내역

→ 대외비 지정은 기본!!! 열람대장 열람내역 확인!!!
□ 정보화사업 수행에 따른 보안대책 이행 및 산출물 관리
- 보안서약서, 보안각서 징구

- 용역 참여인력에 대한 정보보안교육

- 자료관리대장 (자료 인수인계 대장, 자료열람 대장)

- 네트워크 구성도 및 IP 현황(대외비)
※ 필요시 열람대장에 기재 후 제공

- 과제 참여자중 정보보안 담당자 지정
※ 해당 사업의 계획부터 완료까지의 산출물 체계적 관리 요구
□ 상시출입자(상주 인력 포함) 관리
- 상시출입자(상주 인력 포함)에 대한 신원조회
□ 비상주 용역업체
- 비상주 용역업체 직원 방문시 기관에서 지정한 PC만 이용

- 출입대장 운영 / 작업이력 현행화

- 자체교육(정보보안 / 개인정보보호) 실시
□ 주기적인 암호변경 /
대장 운영
- 접속정보 주기적으로 변경

- 변경 사항 대장 기재

- 대외비로 지정 관리
□ 원격접속 관리
- 원격접속신청서와 접근통제시스템 로그기록 일치여부 확인

- 원격접속이 불가피한 경우 원격접속 PC를 지정하여
한시적 운영 (대장관리 철저)
□ 공유폴더 사용제한
- NAS 등 연구용 스토리지 공유폴더 사용

- 관리자 지정 / 사용자 관리

- 관리자 페이지 접근제어(IP제한 등)

- 사용자 접근제어(IP제한 등)

※ "[정보보안담당관 승인] + [보안조치]" 후 사용
□ 무선 네트워크 통제
- 에그, LTE 라우터 등 휴대용 무선공유기 외부출장시 사용

- WPA2 이상의 암호화 및 비밀번호 설정,
MAC제한 등 보안조치

- 주기적인 점검 및 불시점검을 통해 실태점검 / 대응 필요

※ 부득이한 경우 (정보보안담당관 승인 + 보안조치) 후 사용
Full transcript