2020년 8월 17일 퀴즈(난이도 2)

※ 다음 시나리오를 참고하여 물음에 답하시오.

 

인증 범위서

1.4 운영상의 조직적, 기술적 특성   o 조직적, 서비스 업무 관리적 특성 - 최고보안책임관, 정보보호담당관, 정보보안관리자 등의 업무분장이 이루어져 있고 정보보안의 실무 업무 부서는시스템운영팀, 개발팀임 - 안정적인 인터넷 민원 시스템과 서비스의 관리를 통하여 민원상담팀 직원이 FAQ 관리 및 직접 민원인에 대한 온라인 Q&A를 관리함. 민원에 대한 답변이 어려운 경우는 고객 담당자를 통하여 답변 내용을 받아 민원인의 휴대폰에 SMS 및 민원인 소유 Email로 개별 답변 서비스까지 함께 제공함 - 인터넷 민원서비스는 개인정보 수집을 최소화(이름, 연락처, Email)하고 휴대폰 실명인증 방식을 택하고 있으며 회원가입 없이 전문 민원정보(FAQ, Q&A)를 제공함 - 인터넷 민원사이트는서비스관리자계정(마케팅팀), 민원상담직원계정(민원상담팀), 고객담당자 계정 등으로 구분되어 있고 이에 대한 어플리케이션 권한 관리는 개발팀에서 담당하고 있음. 다만, 정보보호관리체계 범위가 “인터넷 민원 서비스 운영”이므로 개발파트가 제외된 서비스 운영파트만을 대상으로 하고 있어, 시스템개발 부문은 인증대상에서 제외함   o 기술적 특성 - 신속한 시스템 관리를 위하여 회사에서 IDC 방화벽(할당된 IP만 허용)을 통하여 직원 컴퓨터로 직접 원격접속하여유지보수 및 서비스 프로그램 업데이트를 하고 있음 - 외부 계약 없이 시스템운영팀과 개발팀에서 직접 유지보수, 개발 등을 담당하므로 외부자 보안관리 이슈는 없음 단, 회사 차원에서 관리팀이 회사 모든 IT에 대한 H/W 유지보수(IDC 인프라의 부품 교체 중심) 계약을 HW유지보수(주)와 체결하였음 - 업무상 회사 노트북을 휴대할 수 있으나, 기본적이 PC보안원칙(백신프로그램 설치 포함)을 준수하여 사용토록 하고 있음 - 각 서버의 로그 및 모니터링을 주기적으로 하고 있고 모든 로그는 백업스토리지에 매일 주기로 보관되고 있음 - 개인정보 중 중요한 정보(주민번호, 금융정보)가 없기 때문에 법률상 암호화 대상은 없음   o 환경적 특성 - 정보통신망법상개인정보취급방침을 정하여 동의를 구하고 고지하고 있음 - 회사 차원의 CCTV가 사무실 출입구(밖)에 일반 복도와 문을 바라보도록 설치되어 있고, 전산부서에는 출입카드 시스템을 통하여 전산부서 직원만 출입할 수 있도록 통제하고 있음. 별도의 촬영 안내는 없음. CCTV 관리는 관리팀 소관이고 정보보호관리체계 범위에 해당하지 않음 - IDC는 전문기업이 운영하고 있어 환경적인 특성은 IDC와의 계약을 통하여 관리를 일괄 위탁하였으므로 IDC 환경자체는 회사 소유가 아니므로 정보보호관리체계의관리업무 대상에서 제외하였음 - 회사 업무네트워크는 KI통신사의 전용선을 임차해서 사용하고 있어 LAN을 제외한 영역은 회사의 자산이 아니고 관리 대상에서 제외함   (생략)

 

인적보안지침

2. 인원관리 2.1 직무의 분리 정보시스템 및 정보자산의 비인가 된 수정 및 오용을 줄이기 위해 정보보안업무를 수행하는 직원은 정보시스템 관리 및 응용프로그램개발 업무를 수행하지 않음을 원칙으로 한다. 다만, 부득이하게 정보시스템 관리 및 응용프로그램 개발 업무를 겸임해야할 경우 상호 업무감시 또는 감사조직에 의한 통제와 같은 보완통제를 실해야 한다.   2.2 적격심사 ①적격심사는 신규 채용 전에 실시하여야 하며, 그 결과 회보사항을 신중히 고려하여 채용을 하여야 한다. ②인원보안담당자는 회사에 대한 인적 위해요소 차단을 위해 다음 각 호의 인원에 대하여 적격심사를 실시하여야 한다. 1. 직원 채용 예정자(계약직 포함) 2. 직원 외 상시근무자 3. 기타 정보보안담당관이적격심사가 필요하다고 인정하는 자 ③신규 채용자는 “본인신용정보조회서비스(http://www.credit4u.or.kr/)” 를 통해서 발급된 서류와 “건강검진서”를 제출하여야 한다.   2.3 적격심사 관리 ①신규 채용자의 이력서와 적격심사 서류는 개인별 인사기록첨부서류와 함께 관리하고 퇴직자분은 퇴직자 인사기록첨부서류와 함께 관리한다. ②적격심사의 원본은 인사 관련부서(팀)에서 일괄 관리하여 필요시의뢰부서(팀)에 사본을 생산․송부할 수 있다.   2.4 내부직원보안서약 ①모든 직원은 “보안서약서(직원용)(별지 1)”를 작성하며, 정보보안 관련 규정 및 지침을 숙지하도록 한다. ②모든 직원은 정보시스템 및 출입통제 접근을 위하여 “사용자계정 신청서”, “출입증 발급 신청서”를 작성하여 해당 부서(팀)장 확인을 경유하여, 정보보안담당관에게 제출한다.   2.5 퇴직 시 보안 ①전출자 또는 퇴직직원은 물리적으로 쉽게 접근할 수 없도록 모든 접근용 열쇠, ID카드 및 배치를 인원보안담당자에게 반납하여야 한다. ③전출자 또는 퇴직직원은 “보안서약서(퇴사 시)(별지 2)”에 서명하여 제출하여야 한다. ④인원보안담당자는 정보보안관리자에게 퇴직 직원에 대해 정보시스템 접근을 막기 위하여 기 할당되었던 사용자계정과비밀번호 삭제를 하도록 알려주어야 한다. ⑤정보보안담당관은 전체 직원들에게 전출 또는 퇴직 사실을 공지하여 전체직원이 인지하여야 한다.   2.6 제3자 보안 ①제3자 또는 외부자의 보안에 대하여 “보안서약서(외부자용)(별지 3)”를 작성 후, 보안사항에 대하여 주지시켜준다. ②외부업체와 용역 및 프로젝트 계약을 체결한 부서(팀)장은 “외주용역보안가이드(참고 1)”에 따라 “보안서약서(외부자용)”와 “보안관련요구사항”을 징구하여 1부는 자체적으로 보관하여 관리한다. (생략)

 

심사원 : 시스템 유지보수는 어떻게 진행되나요?

담당자 : 연간 유지보수 계약을 통해 유지보수 업체를 선정해서 상주하도록 하고 있습니다.

심사원 : 전산실이 통제구역인데 전산실 출입 시 별도 기록을 남기고 있나요?

담당자 : 전산실 출입대장을 통해 전산실의 출입 기록을 확인할 수 있습니다.

심사원 : 전산실 출입 인원에 대한 보안서약서를 징구하고 있나요? 있다면 요청 드립니다.

담당자 : 여기 출입 대장과 보안 서약서가 있습니다.

삼사원 : 정기적으로 방문하는 유지보수 업체의 서약서는 보이지 않네요.

담당자 : 내부에서 상주하는 용역 직원에게는 보안서약서를 징구하지만 정기적으로 방문하는 용역직원에서는 보안서약서를 징구하고 있지 않습니다.

 

적용 가능한 인증 심사 기준은 무엇인지 가장 적절한 것을 선택하시오.

 

① 1.2.1 정보자산 식별

② 1.1.5 정책 수립

③ 2.2.3 보안서약

④ 2.1.1 정책의 유지관리

⑤ 2.10.7 보조저장매체 관리

 

정답 : 3번