주요사항

취약점 점검 절차 수립, 정기적 점검·보고, 영향분석·조치·재발방지

인증기준

정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.

확인사항

  • 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
  • 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
  • 최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가?
  • 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?

가상자산 사업자 확인사항

  • 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
    - 대외서비스: 반기 1회 이상
    - 내부시스템: 연1회 이상

결함사례

  • 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우
  • 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우