ISMS-P 인증기준: 2. 보호대책 요구사항

‘보호대책 요구사항’ 영역은 12개 분야 64개 인증 기준으로 구성되어 있다. 보호대책 요구사항에 따라 신청기관은 관리체계 수립 및 운영 과정에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립·이행하여야 한다.

보호대책 요구사항 인증기준

분야 (12)	항목 (64)
2.1 정책, 조직, 자산 관리	2.1.1 정책의 유지관리
	2.1.2 조직의 유지관리
	2.1.3 정보자산 관리
2.2 인적 보안	2.2.1 주요 직무자 지정 및 관리
	2.2.2 직무 분리
	2.2.3 보안 서약
	2.2.4 인식제고 및 교육훈련
	2.2.5 퇴직 및 직무변경 관리
	2.2.6 보안 위반 시 조치
2.3 외부자 보안	2.3.1 외부자 현황 관리
	2.3.2 외부자 계약 시 보안
	2.3.3 외부자 보안 이행 관리
	2.3.4 외부자 계약 변경 및 만료 시 보안
2.4 물리 보안	2.4.1 보호구역 지정
	2.4.2 출입통제
	2.4.3 정보시스템 보호
	2.4.4 보호설비 운영
	2.4.5 보호구역 내 작업
	2.4.6 반출입 기기 통제
	2.4.7 업무환경 보안
2.5 인증 및 권한관리	2.5.1 사용자 계정 관리
	2.5.2 사용자 식별
	2.5.3 사용자 인증
	2.5.4 비밀번호 관리
	2.5.5 특수 계정 및 권한 관리
	2.5.6 접근권한 검토
2.6 접근통제	2.6.1 네트워크 접근
	2.6.2 정보시스템 접근
	2.6.3 응용프로그램 접근
	2.6.4 데이터베이스 접근
	2.6.5 무선 네트워크 접근
	2.6.6 원격접근 통제
	2.6.7 인터넷 접속 통제
2.7 암호화 적용	2.7.1 암호정책 적용
	2.7.2 암호키 관리
2.8 정보시스템 도입 및 개발 보안	2.8.1 보안 요구사항 정의
	2.8.2 보안 요구사항 검토 및 시험
	2.8.3 시험과 운영 환경 분리
	2.8.4 시험 데이터 보안
	2.8.5 소스 프로그램 관리
	2.8.6 운영환경 이관
2.9 시스템 및 서비스 운영관리	2.9.1 변경관리
	2.9.2 성능 및 장애관리
	2.9.3 백업 및 복구관리
	2.9.4 로그 및 접속기록 관리
	2.9.5 로그 및 접속기록 점검
	2.9.6 시간 동기화
	2.9.7 정보자산의 재사용 및 폐기
2.10 시스템 및 서비스 보안관리	2.10.1 보안시스템 운영
	2.10.2 클라우드 보안
	2.10.3 공개서버 보안
	2.10.4 전자거래 및 핀테크 보안
	2.10.5 정보전송 보안
	2.10.6 업무용 단말기기 보안
	2.10.7 보조저장매체 관리
	2.10.8 패치관리
	2.10.9 악성코드 통제
2.11 사고 예방 및 대응	2.11.1 사고 예방 및 대응체계 구축
	2.11.2 취약점 점검 및 조치
	2.11.3 이상행위 분석 및 모니터링
	2.11.4 사고 대응 훈련 및 개선
	2.11.5 사고 대응 및 복구
2.12 재해복구	2.12.1 재해·재난 대비 안전조치
	2.12.2 재해 복구 시험 및 개선