Compliance & Vulnerability/ISMS-P

보호대책 요구사항 - 2.11 사고 예방 및 대응

"Everything about infra" 2025. 12. 26. 16:13

안녕하세요,

ISMS 인증 심사 중 보호대책 요구사항의 사고 예방 및 대응에 대하여 작성해보려 합니다.

참고하시어 보안 강화에 보탬이 되었으면 좋겠습니다.

 

 

2.11.1 사고 예방 및 대응체계 구축

 Details

침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.

 

「개인정보 보호법 제29조, 개인정보 보호법 시행령 제34조」 안전성 조치 의무, 개인정보 유출 통지 등

보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축‧운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?

 

📌 조치 사항

  • 침해사고 대응 프로세스 수립 : 사고 인지 → 초기 대응 → 분석 및 보고 → 복구 → 재발 방지
  • 외부 전문기관 협력체계 구축 : 보안관제 서비스, CERT, KISA 등과 SLA 체결
  • 정기 점검 및 모의훈련 : 침해사고 대응 훈련 연 1회 이상
  • 계약서 내 명시사항 : 사고 대응 절차, 책임 범위, 보고 체계, SLA
    • 또한, 보고 시간, 복구 목표(RTO/RPO) 명시 여부 확인.

🔎 증적 자료 수집

1) 보안관제 서비스 계약서 (SLA 포함)

2) 침해사고 대응 매뉴얼

3) 모의훈련 결과 보고서

4) 외부기관 협력체계 문서 (연락망, 협약서 등)

2.11.2 취약점 점검 및 조치

 Details

정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.

 

「개인정보 보호법 제29조, 정보통신망법 제48조」 안전성 조치 의무, 정보보호 기술적 관리적 조치 의무

정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?

 

📌 조치 사항

  • 점검 대상 시스템 목록을 관리하고 각 대상에 대해 취약점 점검 후 결과 보고서 문서화.
  • 점검 도구 및 방법 표준화
  • 정기 점검 주기 설정 (ex: 분기, 반기 별)

 

「개인정보 보호법 제29조」 안전성 조치 의무

발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?

 

📌 조치 사항

  • 취약점 조치 계획 수립 : 취약점 조치 우선순위를 설정하고 계획을 수립하여 점검
  • 조치 후 검증 및 보고 체계 운영

 

「개인정보 보호법 제29조, 정보통신망법 제48조」 재발 방지를 위한 관리적 조치, 정보보호 기술적 관리적 조치 의무

최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가?
취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?

 

📌 조치 사항

  • 영향도 평가 프로세스 운영 : 영향 분석 및 패치 적용
  • 취약점 DB 관리
  • 보안공지 모니터링(KISA, CVE 등)에 대한 알림 서비스 구축
  • 취약점 재발 방지 체크리스트 운영, 점검 이력 관리 시스템 운영
  • 재발 취약점에 대한 추가 대책 수립

🔎 증적 자료 수집

1) 취약점 점검 결과 보고서(웹, 모바일 앱, 서버, 네트워크, 보안 시스템 등)

2) 취약점 조치계획서, 조치완료 보고서

3) 모의해킹 계획서, 결과 보고서

4) 취약점 점검 이력

2.11.3 이상행위 분석 및 모니터링

 Details

내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.

 

「개인정보 보호법 제29조, 정보통신망법 제48조」 재발 방지를 위한 관리적 조치, 정보보호 기술적 관리적 조치 의무

내‧외부에 의한 침해시도, 개인정보 유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가?

 

📌 조치 사항

  • 주요 시스템 로그 수집 및 통합 관리 (SIEM 등)
  • 실시간 모니터링 체계 구축
  • 로그 보관 기간 준수 (ex: 1년 이상)
  • 이상행위 탐지 룰 설정 및 정기 업데이트

 

「개인정보 보호법 제29조, 정보통신망법 제48조」 이상행위 탐지 및 대응을 위한 관리적 조치

침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?

 

📌 조치 사항

  • 이상행위 판단 기준 및 임계치 정의 → 문서화
  • 탐지 후 조사 및 대응 프로세스 운영 : 탐지 후 대응 시간 SLA 준수

🔎 증적 자료 수집

1) 이상행위 분석 및 모니터링 현황

2) 이상행위 발견 시 대응 증적