정보보호 관리체계(ISMS) 운영지침
ICT전략실 정보보호부제정 2021. 4. 12. 지침 제330호제1장 총칙
제1조(목적) 이 지침은「정보통신망법」제47조(정보보호 관리체계 인증)에따라 건강보험심사평가원의 정보보호 관리체계 인증 업무의 효율적 운영을기하기 위하여 필요한 세부사항을 규정함을 목적으로 한다.
제2조(정의) 이 지침에서 사용하는 용어의 정의는 다음의 각 호와 같다.
1. “정보보안최고책임자(CISO)”라 함은「정보보안지침」제5조에 따른정보보안최고책임자(CISO)를 말한다.
2. “분임보안담당관”이라 함은「보안업무 운영세칙」제5조에 따른 분임보안담당관을 말한다.
3. “보안심사위원회”라 함은「보안업무 운영세칙」제2장에 따른 보안심사위원회를 말한다.
4. “정보보안조직구성원”이라 함은「직제규정」에 따라 정보보안업무를총괄하는 부서의 소속직원을 말한다.
5. “정보시스템관련부서”라 함은 심사평가원의 ICT 자산을 도입․운영․관리하는 부서를 말한다.
6. “시스템담당자”라 함은 “정보시스템관련부서” 소속의 ICT 자산을담당하여 운영․관리하는 해당 직원을 말한다.
7. “시스템관리자”라 함은 “시스템담당자” 가 소속된 부에서 해당시스템의 관리를 책임지는 상급자를 말한다.
8. “개발담당자”라 함은 심사평가원의 ICT 자산을 활용하여 업무용응용프로그램을 개발․운영하는 업무를 담당하는 직원을 말한다.
9. “네트워크담당자”라 함은 심사평가원의 ICT 자산 중 네트워크 분야에해당하는 자산을 담당하여 운영․관리하는 해당 직원을 말한다.
제3조(다른 법령과의 관계) 건강보험심사평가원(이하 “심사평가원”이라 한다)의정보보호 관리체계 인증 유지에 관하여는 다른 법령 또는 제규정에 특별히정하고 있는 경우를 제외하고는 이 지침에서 정하는 바에 따른다.
제2장 정보보호 정책 및 조직
제4조(정책의 수립 및 운영) ① 이 지침은 이해관계자의 협의 또는 심사평가원「보안업무 운영세칙」제2장에 따른 보안심사위원회의 심의를 거쳐건강보험심사평가원장(이하 "원장"이라 한다)의 최종 승인 후 시행한다.
② 이 지침의 시행을 위해 하위 가이드 등을 제·개정하는 경우에는 분임보안담당관이 작성하여 원장의 승인을 받은 후 시행하여야 한다.
③ 제2항에서 정한 바에 따라 수립되는 체계를 제외하고 이 정책의 원활한시행을 위하여 부서 또는 지원 등 별도의 가이드 등을 수립할 수 있으며, 이경우 이 지침과의 일관성 유지를 위하여 그 시행 전에「직제규정 시행세칙」에따라 정보보호업무를 담당하는 부에서 검토를 받고 시행한다.
④ 이 지침은 임직원 및 관련자가 이해하기 쉽도록 작성 및 관리되어야 한다.
제5조(정책의 검토) ① 정보보안최고책임자(CISO)는 다음 각 호의 상황을고려하여 정보보호 관리체계(ISMS) 운영지침에 대해 연 1회 이상 변경여부를 검토하고 필요시에 변경하여야 한다.
1. 정보보호 목표 및 전략의 변경
2. 정보보호 관련 조직 구조 및 인력의 중대한 변경
3. 중대한 보안사고 및 새로운 위협·취약점이 발생한 경우
4. 관련 상위법의 제·개정 확인 여부
5. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준 재검토6. 그 밖에 정보보안최고책임자(CISO)가 필요하다고 판단하는 경우② 이 지침의 이력관리를 위하여 제·개정 이력목록을 기록하여야 하며, 제·
개정 시 관련 정책 간에 일관성 여부를 검토하여야 한다.
제6조(정보보안 조직의 운영) ① 정보보안최고책임자(CISO)는 정보보호 및개인정보보호 관리체계(ISMS-P) 인증 기준 준수 여부를 총괄 한다.
② 정보보안최고책임자(CISO)는 정보보안조직구성원에게 업무를 부여하고관리감독하여야 한다.
③ 정보보안조직구성원은 정보보호 활동을 원활하게 수행할 수 있도록다음각 호의 사항을 고려하여 구성하여야 한다.
1. 정보보호 전문지식 보유 여부 (정보보호 관련 학위 또는 자격증보유여부 포함)
2. 정보보호 관련 실무경력
3. 정보보호 관련 직무교육 이수 등
제7조(주요 직무자 지정 및 감독) ① 분임보안담당관은 다음 각 호의업무를 담당하는 직원에 대하여 주요 직무자로 지정하고 그 목록을 정기적으로갱신하여 관리하여야 한다.
1. 주요 정보시스템이 집적되어 설치되어 있는 통제구역에 출입권한을부여받은 내부직원
2. 개인정보처리시스템에서 계정 생성 및 접근권한을 설정, 데이터베이스에직접 접속 및 정보시스템에 관리자권한으로 접속 등 을 할 수 있는직원② 분임보안담당관은 주요 직무자로 지정된 직원 PC에 대한 인터넷제한등의 보호조치를 적용하여야 한다.
제8조(직무분리 원칙) ① 정보자산에 대한 접근 및 열람 등의 권한은 개인의보직 및 임무에 따라 정보보안최고책임자(CISO)가 검토하여 상이한 권한을부여하며, 권한의 남용을 방지하기 위하여 직무역할을 명확히 분리·운영한다.
② 다음 각 호의 직무에 대해서는 분리·운영 할 수 있다.
1. 개발과 운영 직무 분리
2. 정보시스템(서버, DB, 네트워크 등)간 운영 직무 분리
3. 정보보호 관리와 정보시스템 운영 직무 분리
4. 정보보호 관리와 정보시스템 개발 직무 분리 등
③ 제2항의 경우에도 불구하고 인적자원 부족 등의 사유로 불가피하게직무분리가 어려운 경우 직무자간의 상호 검토, 상위 관리자의 주기적인 직무수행모니터링, 변경사항 검토 및 직무자의 책임 추적성 확보 등 보완대책을수립하여야 한다.
제3장 정보자산 분석 위험평가
제9조(인증범위 설정) ① 심사평가원 대국민 홈페이지(이하 “홈페이지”라한다) 서비스 내 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수있는핵심자산을 포함하도록 관리체계 범위를 설정하여야 한다.
② 홈페이지 서비스 내 정의된 범위 내에서 예외사항이 있을 경우 명확한사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하여야 한다.
③ 홈페이지 서비스 내 정보보호 및 개인정보보호 관리체계 범위를 명확히확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템목록및 문서목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
제10조(정보자산 식별) ① 시스템담당자는 인증범위 내 자산을 식별하여기록하여 관리하여야 한다.
② 시스템담당자는 "정보자산 분류 및 중요도 평가분석 결과서" 내 "자산분류기준"에 명시된 자산에 대해 연 1회 이상 그 현황을 최신 내용으로 유지하여야한다.
③ 심사평가원의 정보시스템관련부서는 시스템담당자의 정보자산 목록정보요청에 협조하여 정보자산의 목록이 최신으로 유지될 수 있도록 한다.
④ 정보자산 분류에 대한 세부적인 사항은 "정보자산 분류 및 중요도평가분석 결과서" 내 "자산분류기준"을 참조한다.
제11조(정보자산의 중요도 평가) 시스템담당자는 “기반시설 위험평가관리매뉴얼”의 "4. 자산의 중요도 평가" 기준을 참조하여 정보자산의 중요도(보안등급)를 평가하며, 이 경우 중요도 평가는 평가자의 주관에 따라 중요도산정에 오류가 생길 수 있으므로 취급부서의 의견 및 외부전문가의의견등을 함께 고려하여 정확한 중요도 등급 산정이 이루어지도록 한다.
제12조(현황 및 흐름분석) ① 홈페이지 서비스 내 관리체계 전 영역에 대한정보서비스 현황을 파악하고 업무 절차와 흐름을 파악하여 문서화하여야한다.
② 홈페이지 서비스 내 관리체계 범위 내에서 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화 할 수있다.
③ 홈페이지 서비스 내 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 정보서비스 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의최신성을 유지하여야 한다.
제13조(취약점 분석) ① 분임보안담당관은 취약점 점검 항목을 참조하여상세한 진단항목이 포함된 관리적, 법적 및 기술적 취약점 진단계획을 수립하고 정보보안최고책임자(CISO)의 승인을 받아야 한다. 이 경우 대상 정보자산의 취약점 진단 시 업무 연속성 등에 문제 발생 우려가 있을 때에는사전에 취급 부서에 대한 업무 협조를 요청할 수 있다.
② 분임보안담당관은 관리적, 법적 및 기술적 취약점 진단을 연 1회 이상 수행한다.
③ 발견된 취약점에 대하여 즉시 조치(Quick Fix)가 가능한 경우 취약점을제거할 수 있으며, 이 경우 제거된 취약점은 대상 정보자산에 위험을주지않으므로 위험평가 대상에서 제외하여야 한다.
④ 분임보안담당관은 제3항의 취약점 제거를 포함하여 관리적, 법적 및기술적취약점 진단결과를 도출하고 이를 별도의 위험분석 결과 보고서로 작성하여정보보안최고책임자(CISO)에게 보고하여야 한다.
⑤ 제4항의 경우 관리적, 법적 및 기술적 취약점 진단결과는 위험분석결과보고에 포함하여 보고할 수 있다.
제14조(위협분석) ① 정보자산의 취약점을 이용하여 피해를 줄 수 있는잠재적가능성인 위협을 관련 시스템담당자와 인터뷰 및 실사를 통하여 식별한다.
② 식별된 위협은 “기반시설 위험평가 관리 매뉴얼”의 "6. 위협 분석" 기준을 참고하여 위협등급을 산정하여야 한다.
제15조(위험분석) ① 분임보안담당관은 다음 각 호의 위험분석 방법을기준으로 위험을 분석하여야 한다.
1. 기준선 접근법 : 도출된 모든 위험에 대하여 점검기준에서 요구하는수준의 보호대책을 적용 (관리적 위험분석 및 법적 준거성 위험분석)
2. 상세위험분석법 : 각 위험에 대하여 위험도를 산정하고 위험도에따라서로 다른 위험대응방안을 적용. 수용 가능한 위험수준(DoA)를결정하고 DoA를 기준으로 위험대응방법 결정 (기술적 위험분석)
② 기술적 위험분석 대한 세부사항은 기반시설 위험평가 관리 매뉴얼의"8.
위험 시나리오(우려사항) 수준 평가 기준" 기준을 참조한다.
제16조(위험도 산정) ① 위험도는 정보자산(Assets) 등급 및 취약점(Vulnerability)등급, 위협(Threats) 등급을 평가요소로 하여 평가한다.
② 위험도 평가에 따라 허용 가능한 위험수준(DoA : Degree of Assurance)를산정하여 위험을 관리한다.
③ 허용 가능한 위험수준(DoA : Degree of Assurance)에 대한 산정은 유관부서와 인터뷰 등을 통하여 적절한 수준으로 결정하고 정보보안최고책임자(CISO)의승인을 받아야 한다.
④ 위험도 산정에 대한 세부사항은 “기반시설 위험평가 관리 매뉴얼”의"10. 위험도 산정" 기준을 참조한다.
제17조(보호대책의 수립 및 공유) ① 분임보안담당관은 관련 시스템 담당자와협의하여 도출된 위험 중 허용 가능한 위험수준 이상인 위험에 대해 위험회피,
위험전가 및 위험감소 등의 위험관리 전략을 수립한다.
② 허용 가능한 위험수준 이하인 위험에 대해서도 서비스 영향 정도 등을고려하여 조치가 가능한 위험에 대해서는 보호대책을 수립하여 조치할 수 있다.
③ 분임보안담당관은 제2항의 보호대책을 수립한 경우 정보보안최고책임자(CISO)의 승인을 받아야 한다.
④ 수립된 보호대책을 각 담당자에게 공유하고, 보호대책에 대한 해결방법을 알기 쉽게 교육을 하여야 하며, 향후 동일한 보호대책 재발방지를위해숙지하여야 한다.
댓글