원격근무 보안대책 + ISMS의 원격접근 통제

목차



1. 서비스 제공자

1. 인프라 보안

  1. 해킹대응기술
    • 악의적인 공격을 사전에 탐지 및 차단
    • 위험분석을 통한 악성코드 보안대책 마련
    • 사용자와 관리자를 위한 대응절차 및 지침 마련
    • 인프라 환경 및 이용자 이용환경에 대한 모니터링 - 장애 발생 시 신속한 대응 및 복구
    • 장애 및 재해복구 대책 마련
    • 백업 정책과 계획의 수립 및 이행
    • 사업연속성계획 수립 및 관리


  1. 유, 무선 네트워크 보안
    • 서비스 제공자의 네트워크 인프라 보안
    • 내부 네트워크 인프라의 위험관리
    • 네트워크 인프라 보안대책 및 접근 통제 - 이용자 단말기의 네트워크 접속 보안
    • 이용자 단말기의 유무선 네트워크 접속에 따른 위험관리
    • 이용자의 보안 준수사항 공지


2. 공용 PC 보안

  1. 공용 PC를 통한 이용자 정보의 유출 방지
    • 공용 PC상 저장되는 이용자 정보는 지정된 폴더와 파일 형태로 임시 저장되도록 함
    • 이동매체 또는 인터넷을 통한 외부 파일 공유, 특정 소프트웨어 설치 등은 관리자의 승인 필요


  1. 공용 PC 보안 관리
    • 기본 운영체제와 보안성 검토된 소프트웨어 설치로 이용환경 제공
    • 공용 PC 사용 후, 컴퓨터 종료 후 자동으로 PC를 초기화 하도록 운영
    • USB포트나 이동식 저장매체 사용 제한
    • 지정된 통신수단에 의한 유, 무선 네트워크 환경을 제공


2. 관리자

1. 단말기 보안

  1. 단말기 보안 플랫폼
    • 단말기의 잠금 및 암호 기능 설치
    • 펌웨어의 주기적 업데이트
    • 바이러스 백신 설치와 보안 패치 적용


  1. 단말기 원격제어
    • 원격지에서 단말기에 대한 보안정책 설정 및 변경이 이루어질 수 있도록 원격제어 기능을 제공해야함.(단발기 분실, 도난을 대비)


  1. 단말기 분실, 도난 대비
    • 단말기 분실시 절차 프로세스화
    • 분실 및 도난 단말기에 대한 관리자의 보안조치
    • 단말기 원격제어 기능 활성화(원격 백업, 삭제, 복원 등)


  1. 휴대 단말기 정보관리
    • 휴대단말기에 저장된 중요 업무 정보 암호화
    • 휴대단말기의 이동식 저장매체 비활성화
    • 휴대단말기의 메모리슬롯, PAN(블루투스) 이용 비활성화
    • 지정된 통신수단에 의한 네트워크 접속(VPN)
    • 허가된 소프트웨어의 설치
    • 휴대단말기의 업무수행 영역 제한


2. 서비스 보안

  1. 모바일 오피스 보안
    • 이용자와 단말기에 대한 복합인증 제공
    • 중요정보는 VPN, 데이터 암호화 등의 통신보호 기능을 제공
    • 중요정보 송, 수신시 암호화 저장


  1. 클라우드 서비스 보안
    • 이용자의 식별 및 인증방식 통합관리
    • 이용자에게 가상화된 업무환경 제공
    • 분산된 중요 정보에 대한 보호대책


  1. 영상회의 서비스 보안
    • 영상회의 장비의 보호
    • 영상 정보에 대한 보호 대책


  1. 보안성 검증
    • 어플리케이션 아키텍처 보안성 검증
    • 어플리케이션 구현에 대한 보안성 검증


3. 콘텐츠 보안

  1. 암호화 및 콘텐츠 보호 조치방법
    • DRM
    • 데이터 암호화


4. 인적자산의 관리

  1. 이용자에 대한 교육, 훈련
    • 장비 및 소프트웨어 사용법 교육
    • 정기적인 스마트워크 정보보호 교육 실시


  1. 정보유출 모니터링
    • 스마트워크 이용자들의 내부규정 준수 및 사용현황 모니터링
    • 관리자의 업무현황 모니터링에 관한 공지 및 동의
    • 스마트워크 업무 환경에 대한 정보보호 대책의 준수여부 모니터링
    • 이용자의 정보 및 시스템 접근통제 방안


5. 침해사고 대응절차 마련

  1. 정보유출 및 위, 변조에 대한 대응
    • 정보유출 및 위변조 사고 발생시 대응 절차 마련
    • 정보유출 및 위변조 사고 발생 이후 대응
    • 사고대응 기록의 유지


3. 이용자

1. 정보자산의 취급 및 관리


2. 인식제고


3. 침해사고 대응


ISMS-P 원격접근 통제 항목

2.6.6 원격접근 통제

인증기준

보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무・장애대응・원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 보호대책을 수립・이행하여야 한다.


주요 확인사항

증적자료 등 준비사항


참고자료