다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-24763 결재일자 2019.11.15. 공개여부 대시민공개 방침번호 시 민 실무사무관 개인정보보호팀장 정보통신보안담당관 서재호 도찬구 11/15 김완집 협조 주무관 오지성 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 추진에 따른 - 정보보호관리체계 점검 계획 추진근거 대내(외) 협력 현황 사 업 비 부서(단체)명 협의내용 협의결과 자체방침 복지정책과 뉴미디어담당관 ISMS-P 인증추진에 따른 시스템 점검 점검추진 - 정보통신보안담당관 (개인정보보호팀) 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 추진에 따른 - 정보보호 관리체계 점검계획 「정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 추진과 관련 인증대상 시스템의 정보보호 활동 및 보안관리 사항에 대하여 점검을 실시하고자 함 ？？ 추진근거 ○ 국가정보보안 기본지침 제8조(정보보안감사 등) ○ 개인정보보호법 제29조(안전조치의무) 및 제63조(자료제출 및 검사) ○ 정보보호 및 개인정보보호 관리체계 인증기준 1.4.2(관리체계 점검) ？？ 점검개요 ○ 점검기간 : 2019.11. 22(금)~11.25(월) ○ 점검인력 : 2명(정보통신보안담당관 1, 외부전문가 1) ○ 점검대상 : 3개 시스템(대표홈페이지, 생활복지통합정보시스템, 법인시설관리시스템) ○ 점검방법 : 현장점검(시스템 및 관련문서) 및 인터뷰 ○ 점검내용 : 서버 및 DB에 대한 정보보호 및 개인정보보호 내부통제 사항 ？？ 점검절차 구분 절차 내 용 점검계획 점검초점 선정 · 목표 설정 및 이에 따른 범위, 대상 선정 점검계획 수립 · 점검 일정 수립 및 점검자별 업무 할당 점검실시 점검자료 수집 · 운영현황을 파악하기 위한 점검자료 요청 문서검토 및 현장실사 · 절차 및 통제의 적절성, 규정준수 여부 등 · 운영 증적의 객관성, 구체성, 명확성 개선안 도출 · 도출된 문제점에 대한 현실적인 개선안 도출 시정조치 요구 · 합의된 개선안에 대한 이행조치 요구 · 위반사항에 대한 시정 요구 결과보고 조치사항 확인 및 보고 · 점검결과 나타난 문제점에 대해 서면 보고 · 지적사항, 노출된 위험, 시정 권고안 등 포함 ？？ 점검기준 구분 ISMS-P 인증기준 항목 1.관리체계 수립 및 운영(16) 1.1.1 경영진의 참여, 1.1.2 최고책임자의 지정, 1.1.3 조직 구성, 1.1.4 범위 설정, 1.1.5 정책 수립, 1.1.6 자원 할당, 1.2.1 정보자산 식별, 1.2.2 현황 및 흐름분석, 1.2.3 위험평가, 1.2.4 보호대책 선정 1.3.1 보호대책 구현, 1.3.2 보호대책 공유, 1.3.3 운영현황 관리, 1.4.1 법적 요구사항 준수 검토, 1.4.2 관리체계 점검, 1.4.3 관리체계 개선 2. 보호대책 요구사항 (64) 2.1.1 정책의 유지관리, 2.1.2 조직의 유지관리, 2.1.3 정보자산 관리, 2.2.1 주요 직무자 지정 및 관리, 2.2.2 직무 분리, 2.2.3 보안 서약, 2.2.4 인식제고 및 교육훈련, 2.2.5 퇴직 및 직무변경 관리, 2.2.6 보안 위반 시 조치, 2.3.1 외부자 현황 관리, 2.3.2 외부자 계약 시 보안, 2.3.3 외부자 보안 이행 관리, 2.3.4 외부자 계약 변경 및 만료 시 보안, 2.4.1 보호구역 지정, 2.4.2 출입통제, 2.4.3 정보시스템 보호, 2.4.4 보호설비 운영, 2.4.5 보호구역 내 작업, 2.4.6 반출입 기기 통제, 2.4.7 업무환경 보안, 2.5.1 사용자 계정 관리, 2.5.2 사용자 식별, 2.5.3 사용자 인증, 2.5.4 비밀번호 관리, 2.5.5 특수 계정 및 권한 관리, 2.5.6 접근권한 검토, 2.6.1 네트워크 접근, 2.6.2 정보시스템 접근, 2.6.3 응용프로그램 접근, 2.6.4 데이터베이스 접근, 2.6.5 무선 네트워크 접근, 2.6.6 원격접근 통제, 2.6.7 인터넷 접속 통제, 2.7.1 암호정책 적용, 2.7.2 암호키 관리, 2.8.1 보안 요구사항 정의, 2.8.2 보안 요구사항 검토 및 시험, 2.8.3 시험과 운영환경 분리, 2.8.4 시험 데이터 보안, 2.8.5 소스 프로그램 관리, 2.8.6 운영환경 이관, 2.9.1 변경관리, 2.9.2 성능 및 장애관리, 2.9.3 백업 및 복구관리, 2.9.4 로그 및 접속기록 관리, 2.9.5 로그 및 접속기록 점검, 2.9.6 시간 동기화, 2.9.7 정보자산의 재사용 및 폐기, 2.10.1 보안 시스템 운영, 2.10.2 클라우드 보안, 2.10.3 공개 서버 보안, 2.10.4 전자거래 및 핀테크 보안, 2.10.5 정보전송 보안, 2.10.6 업무용 단말기기 보안, 2.10.7 보조저장매체 관리, 2.10.8 패치관리, 2.10.9 악성코드 통제, 2.11.1 사고 예방 및 대응 체계 구축, 2.11.2 취약점 점검 및 조치, 2.11.3 이상행위 분석 및 모니터링, 2.11.4 사고 대응훈련 및 개선, 2.11.5 사고대응 및 복구, 2.12.1 재해, 재난 대비 안전조치, 2.12.2 재해 복구 시험 및 개선 3. 개인정보 처리단계별 요구사항 (22) 3.1.1 개인정보 수집 제한, 3.1.2 개인정보의 수집 동의, 3.1.3 주민등록번호 처리 제한, 3.1.4 민감정보 및 고유식별정보의 처리 제한, 3.1.5 간접수집 보호조치, 3.1.6 영상정보처리기기 설치·운영, 3.1.7 홍보 및 마케팅 목적 활용 시 조치, 3.2.1 현황관리, 3.2.2 품질보장, 3.2.3 개인정보 표시제한 및 이용 시 보호조치, 3.2.4 이용자 단말기 접근 보호, 3.2.5 개인정보 목적 외 이용 및 제공, 3.3.1 개인정보 제3자 제공, 3.3.2 업무 위탁에 따른 정보주체 고지, 3.3.3 영업의 양수 등에 따른 개인정보의 이전, 3.3.4 개인정보의 국외이전, 3.4.1 개인정보의 파기, 3.4.2 처리목적 달성 후 보유 시 조치, 3.4.3 휴면 이용자 관리, 3.5.1 개인정보처리방침 공개, 3.5.2 정보주체 권리보장, 3.5.3 이용내역 통지 ？？ 점검일정 날짜 시 간 내용 비 고 11.22(금) 10:00~10:30 - 부서 방문 및 인터뷰 10:30~11:30 - ISMS 이행증적 - 문서점검 12:00~13:00 - 점심 시간 13:20~14:20 - 생활복지통합정보시스템(wis.eseoul.go.kr) 업무시연 및 인터뷰 · 참석 : 업무 담당자,？용역사 직원 14:30~15:30 - 생활복지통합정보시스템 DBMS？점검 · 참석 : 업무 담당자,？용역사 직원 16:00~17:00 - 법인시설관리시스템(swfms.eseoul.go.kr) 업무시연 및 인터뷰 · 참석 : 업무 담당자,？용역사 직원 17:00~18:00 법인시설관리시스템 DBMS 점검 · 참석 : 업무 담당자,？용역사 직원 11.25(월) 10:00~11:30 - ISMS 이행증적 - 문서점검 12:00~13:00 - 점심 시간 13:20~14:20 - 대표홈페이지(www.seoul.go.kr) 업무시연 및 인터뷰 · 참석 : 업무 담당자,？용역사 직원 14:30~15:30 - 대표홈페이지 통합회원DB？점검 · 참석 : 업무 담당자,？용역사 직원 16:00~17:30 - 보고서 작성 ？？ 향후계획 ○ ‘19. 11월 : 점검결과 조치 및 보완 ○ ‘19. 12월 : ISMS-P 인증심사 추진

19124842

20210929040418

본청

정보통신보안담당관-24763

D0000038623736