7.2.5 시스템 운영 및 유지 보수 관리
7.2.5. 1 환경 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 전문 부서 또는 인력을 지정하여 기계실의 전력 분배, 에어컨, 온습도 제어 등의 시설을 정기적으로 유지 관리하고 관리해야 합니다.
B) 한 부서를 지정하여 기계실의 안전을 책임지고, 기계실 안전 관리 인력을 배치하고, 기계실 접근과 서버 시작 또는 종료를 관리해야 합니다.
C) 기계실의 물리적 출입, 물품 출입 및 기계실 환경 안전 관리를 규정하는 기계실 안전 관리 제도를 수립한다.
D) 사무실 환경의 기밀 관리를 강화하고, 직원들이 사무실을 떠날 때 즉시 사무실 열쇠를 돌려주고, 사무실 구역에서 방문객을 받지 않고, 자리를 떠날 때 단말기 컴퓨터가 로그인되지 않도록 해야 하며, 데스크탑에 민감한 정보가 들어 있는 종이 파일이 없는지 확인해야 합니다.
7.2.5.2 자산 관리 회사 (G3)
이 요구 사항은 다음과 같습니다.
A) 자산의 책임 부서, 중요성, 위치 등 정보 시스템과 관련된 자산 목록을 작성하고 보관해야 합니다.
B) 정보 시스템 자산 관리의 책임자나 부서를 명확히 하고 자산 관리 및 사용 행위를 규제하는 자산 안전 관리 제도를 수립한다.
C) 자산은 중요도에 따라 식별 관리를 수행하고 가치에 따라 적절한 관리 조치를 선택해야 합니다.
D) 정보 분류 및 인식 방법, 정보 사용, 전달 및 저장을 규정합니다.
7.2.5.3 미디어 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 미디어의 저장 환경, 사용, 유지 관리 및 폐기를 규정하는 미디어 안전 관리 시스템을 구축해야 합니다.
B) 미디어가 안전한 환경에 저장되고, 다양한 미디어를 제어 및 보호하며, 스토리지 환경을 관리하는 사람이 있는지 확인합니다.
C) 물리적 전송 중 미디어의 개인 선택, 포장 및 제공을 통제하고, 미디어 보관 및 조회를 등록 및 기록하고, 아카이브 미디어의 인벤토리 목록에 따라 정기적으로 인벤토리를 수행합니다.
GB/T 22239—2008
28
D) 스토리지 미디어 사용 프로세스, 전송 유지 보수 및 폐기를 엄격하게 관리하고 작업 환경을 제공하는 스토리지 미디어의 내용을 암호화 및 모니터링하며, 먼저 유지 관리 또는 폐기를 전송하는 미디어에서 민감한 데이터를 제거하고, 승인되지 않은 높은 기밀성의 스토리지 미디어를 제거할 수 없습니다.
E) 데이터 백업의 필요에 따라 일부 미디어는 서로 다른 곳에 보관해야 하며, 보관 장소의 환경 요구 사항 및 관리 방법은 현지와 동일해야 합니다.
F) 중요 미디어의 데이터와 소프트웨어는 스토리지를 암호화하고 데이터와 소프트웨어의 중요성에 따라 미디어를 분류하고 식별해야 합니다.
7.2.5.4 장치 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 전담 부서 또는 인력을 지정하여 정보 시스템과 관련된 다양한 장비 (백업 및 중복 장치 포함) 및 회선을 정기적으로 유지 관리하고 관리합니다.
B) 정보 시스템의 다양한 하드웨어 및 소프트웨어 장비의 선택, 구매, 발행 및 수령을 규제하는 신고, 승인 및 전담자를 기반으로 하는 장비 안전 관리 시스템 구축
C) 지원 시설, 소프트웨어 및 하드웨어 유지 관리를 위한 관리 시스템을 구축하여 유지 관리 인력의 책임을 명확히 하고 섭외 유지 관리 및 서비스를 승인하며 유지 관리 프로세스를 감독하고 통제해야 합니다.
D) 터미널 컴퓨터, 워크스테이션, 노트북, 시스템 및 네트워크의 운영 및 사용을 표준화하고 운영 절차에 따라 백업 및 중복 장치를 포함한 주요 장치의 시작/중지, 전원 켜기/끄기 등의 작업을 수행합니다.
E) 정보 처리 장비가 승인되어야 기계실이나 사무실에서 나올 수 있습니다.
7.2.5.5 모니터링 관리 및 보안 관리 센터 (G3)
이 요구 사항은 다음과 같습니다.
A) 통신 회선, 호스트, 네트워크 디바이스 및 애플리케이션 소프트웨어의 작동 상태, 네트워크 트래픽 및 사용자 동작을 모니터링하고 경고하여 기록을 형성하고 적절하게 보존합니다.
B) 관계자를 조직하여 정기적으로 모니터링 및 경보 기록을 분석 및 검토하고, 의심스러운 행동을 발견하고, 분석 보고서를 작성하며, 필요한 조치를 취한다.
C) 보안 관리 센터를 설립하여 장비 상태, 악성 코드, 패치 업그레이드, 보안 감사 등의 보안 관련 사항을 중앙에서 관리합니다.
7.2.5.6 네트워크 보안 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 네트워크 관리, 로그 및 네트워크 모니터링 기록의 일상적인 유지 관리, 경보 정보 분석 및 처리를 담당하는 전문가를 지정합니다.
B) 네트워크 보안 구성, 로그 저장 시간, 보안 정책, 업그레이드 및 패치, 비밀번호 업데이트 주기 등을 규정하는 네트워크 보안 관리 시스템을 구축해야 합니다.
C) 네트워크 디바이스는 제조업체가 제공한 소프트웨어 업그레이드 버전에 따라 업데이트해야 하며, 업데이트 전에 기존의 중요한 파일을 백업해야 합니다.
D) 정기적으로 네트워크 시스템의 취약점을 검사하여 발견된 네트워크 시스템의 보안 취약점을 적시에 복구합니다.
E) 디바이스의 최소 서비스 구성을 구현하고 정기적으로 오프라인 상태에서 구성 파일을 백업해야 합니다.
F) 외부 시스템에 대한 모든 연결이 승인 및 승인되었는지 확인합니다.
G) 휴대용 및 모바일 장치에 대한 네트워크 액세스는 보안 정책에 따라 허용 또는 거부해야 합니다.
GB/T 22239—2008
29
H) 규정 위반 전화 접속 인터넷 또는 기타 사이버 보안 정책 위반 행위를 정기적으로 점검해야 합니다.
7.2.5.7 시스템 보안 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 비즈니스 요구 사항 및 시스템 보안 분석에 따라 시스템의 액세스 제어 정책을 결정합니다.
B) 정기적으로 취약점 검사를 실시하여 발견된 시스템 보안 취약점을 적시에 복구합니다.
C) 시스템에 대한 최신 패치를 설치해야 합니다. 시스템 패치를 설치하기 전에 시스템 패치가 테스트 환경에서 테스트되고 중요한 파일이 백업되어야 설치할 수 있습니다.
D) 시스템 보안 정책, 보안 구성, 로그 관리 및 일상적인 운영 프로세스에 대한 구체적인 규정을 제공하는 시스템 보안 관리 시스템 구축
E) 전담 관리 시스템을 지정하고, 시스템 관리자의 역할을 나누고, 각 역할의 권한, 책임 및 위험을 명확히 합니다. 권한 설정은 최소 권한 부여 원칙을 따라야합니다.
F) 운영 설명서에 따라 시스템을 유지 관리하고 중요한 일일 운영, 운영 및 유지 보수 기록, 매개 변수 설정 및 수정 등 운영 로그를 상세히 기록합니다. 월권 조작을 엄금하다.
G) 실행 로그와 감사 데이터를 정기적으로 분석하여 비정상적인 동작을 적시에 발견해야 합니다.
7.2.5.8 악성 코드 예방 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 모든 사용자는 안티바이러스 인식, 바이러스 백신 소프트웨어 버전, 모바일 스토리지 장치의 데이터 읽기, 네트워크에서 파일 또는 메일 수신 전에 바이러스 검사, 외부 컴퓨터 또는 스토리지 장치를 네트워크 시스템에 액세스하기 전에 바이러스 검사를 해야 합니다.
B) 네트워크 및 호스트의 악성 코드를 탐지하고 테스트 기록을 저장할 사람을 지정합니다.
C) 안티맬웨어 사용 허가, 악성 코드 라이브러리 업그레이드, 정기 보고 등 명확하게 정의되어야 한다.
D) 정보 시스템의 다양한 제품에 대한 악성 코드 라이브러리 업그레이드를 정기적으로 점검하고 기록하며 호스트 바이러스 백신, 바이러스 백신 게이트웨이, 메일 바이러스 백신 게이트웨이가 가로채는 위험한 바이러스 또는 악성 코드를 적시에 분석하고 처리하고 서면 보고서와 요약 보고서를 작성합니다.
7.2.5.9 비밀번호 관리 (G3)
비밀번호 사용 관리 제도를 세우고 국가 비밀번호 관리 규정에 부합하는 비밀번호 기술 및 제품을 사용해야 한다.
변경 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 시스템 변경 사항을 확인하고 변경 계획을 세워야 합니다.
B) 변경 관리 시스템을 구축해야 합니다. 시스템이 변경되기 전에 주관 지도자에게 신청해야 한다. 변경 및 변경 계획은 승인을 받아야 구현할 수 있으며, 구현 후 관계자에게 통지해야 합니다.
C) 변경 관리 선언 및 승인 문서화 절차를 수립하고, 변경의 영향을 분석하고, 문서를 만들고, 변경 구현 프로세스를 기록하고, 모든 문서와 기록을 적절하게 보존해야 합니다.
D) 변경 중지 및 실패한 변경으로부터 복구하는 문서화 절차를 수립해야 하며, 프로세스 제어 방법 및 인력 책임을 규정해야 하며, 필요한 경우 복구 프로세스를 연습해야 합니다.
백업 및 복구 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 정기적으로 백업해야 하는 중요한 비즈니스 정보, 시스템 데이터 및 소프트웨어 시스템을 파악합니다.
GB/T 22239—2008
30
B) 백업 및 복구 관리와 관련된 보안 관리 시스템을 구축하여 백업 정보 백업 방법, 백업 빈도, 스토리지 미디어 및 저장 기간을 지정합니다.
C) 데이터의 중요성과 시스템 운영에 미치는 영향에 따라 백업 데이터의 위치, 파일 명명 규칙, 미디어 교체 빈도 및 오프사이트 데이터 전송 방법을 규정하는 데이터 백업 및 복구 전략을 개발합니다.
D) 데이터 백업 및 복구 프로세스를 제어하는 프로그램을 설정하고 백업 프로세스를 기록하여 모든 파일과 기록을 적절하게 보관해야 합니다.
E) 복구 절차를 정기적으로 실행하여 백업 미디어의 유효성을 검사하고 테스트하여 복구 절차에 명시된 시간 내에 백업 복구가 완료되도록 해야 합니다.
7.2.5. 12 보안 이벤트 처리 (G3)
이 요구 사항은 다음과 같습니다.
A) 발견된 보안 취약점과 의심스러운 사건을 보고해야 하지만, 어떠한 경우에도 사용자가 이러한 약점을 검증하려고 시도해서는 안 됩니다.
B) 보안 사고 보고 및 폐기 관리 제도를 수립하고, 보안 사고 유형을 명확히 하며, 보안 사고 현장 처리, 사고 보고 및 사후 복구에 대한 관리 책임을 명확히 합니다.
C) 이 시스템의 컴퓨터 보안 이벤트는 국가 관련 관리 부서의 컴퓨터 보안 이벤트 분류 방법 및 보안 이벤트가 시스템에 미치는 영향에 따라 분류해야 합니다.
D) 보안 이벤트에 대한 보고 및 대응 절차를 개발하고, 이벤트에 대한 보고 프로세스, 응답 및 처분의 범위와 범위, 처리 방법을 결정해야 합니다.
E) 보안 사고 보고 및 대응 과정에서 사건 발생 원인 분석 및 파악, 증거 수집, 처리 과정 기록, 교훈 요약, 사건 재발을 막기 위한 시정 조치 개발 그 과정에서 형성된 모든 서류와 기록은 적절하게 보존되어야 한다.
F) 시스템 중단과 정보 유출을 초래하는 보안 사고에 대해서는 다른 처리기와 보고 절차를 사용해야 한다.
7.2.5. 13 비상 계획 관리 (G3)
이 요구 사항은 다음과 같습니다.
A) 통일된 비상 계획 틀 아래 각기 다른 사건에 대한 비상 계획을 세워야 하며, 비상 계획에는 비상 계획을 시작하는 조건, 비상 처리 프로세스, 시스템 복구 프로세스, 사후 교육 및 교육 등이 포함되어야 합니다.
B) 인력, 장비, 기술, 자금 등에서 비상 계획 이행에 충분한 자원을 확보한다.
C) 시스템 관련 인원에 대한 비상 계획 교육을 실시해야 하며, 교육은 일 년에 한 번 이상 실시해야 합니다.
D) 비상 계획은 정기적으로 연습해야 하며, 훈련 주기는 서로 다른 비상 복구 내용에 따라 결정되어야 합니다.
E) 비상 계획 중 실제 상황에 따라 정기적으로 검토하고 업데이트해야 하는 내용은 규정하고 그에 따라 실시해야 한다.