|
항목
|
2.10.3. 공개서버 보안
|
|
키워드
|
공개서버 보호대책, DMZ에 설치, 보안시스템을 통해 보호, 게시 저장시 절차, 노출 확인 및 차단
|
|
인증기준
|
외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호대책을 수립·이행하여야 한다.
|
|
주요 확인사항
|
공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하고 있는가?
공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안시스템을 통하여 보호하고 있는가?
공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하고 있는가?
조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?
|
|
관련 법규
|
|
|
증거자료
(예시)
|
네트워크 구성도
웹사이트 정보공개 절차 및 내역(신청·승인·게시 이력 등)
개인정보 및 중요정보 노출 여부 점검 이력
|
|
결함사례
|
사례 1 : 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우
사례 2 : 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된사례가 다수 존재한 경우
사례 3 : 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우
|
'▶ ISMS-P 인증심사원 (정보보호 및 개인정보보호 관리체계) > └ ISMS-P 인증기준' 카테고리의 다른 글
| 2.10.5. 정보전송 보안 (0) | 2023.04.03 |
|---|---|
| 2.10.4. 전자거래 및 핀테크 보안 (0) | 2023.04.03 |
| 2.10.2. 클라우드 보안 (0) | 2023.04.03 |
| 2.10.1. 보안시스템 운영 (0) | 2023.04.03 |
| 2.9.7. 정보자산의 재사용 및 폐기 (0) | 2023.04.03 |
댓글