첫째, 기술적 요구 사항
1, 개인 안전
1..1물리적 위치 선택
기계실과 사무실은 지진, 방풍, 방비 능력을 갖춘 건물 내에서 선택해야 합니다.
1.2 물리적 액세스 제어
(1) 기계실 출입구는 사람을 감시하고 출입자를 식별하고 등록해야 합니다.
(2) 기계실에 들어가는 방문객은 승인을 받아야 하며, 그 활동은 제한과 감시를 받아야 한다.
1.3 도난 방지 및 손상 방지
(1) 주요 장비는 물리적으로 제한된 범위 내에 배치해야 합니다.
(2) 장비 또는 주요 부품은 고정해야 하며, 지울 수 없는 명백한 플래그가 설정되어 있어야 합니다.
(3) 통신 케이블은 지하나 파이프와 같은 은밀한 장소에 설치해야 한다.
(4) 미디어는 미디어 라이브러리 또는 아카이브에 분류 및 보관해야합니다.
(5) 도난 및 손상을 방지하기 위해 필요한 도난 경보 시설을 설치합니다.
1.4 번개 보호
(1) 기계실 건물에는 번개 보호 장치가 설치되어 있어야 합니다.
(2) AC 전원 접지선을 설치해야 한다.
1.5 소방
소방 설비와 화재 자동 경보 시스템을 설치하고 온전하게 유지해야 한다.
1.6 방수 방습
(1) 수도관은 지붕과 활성 바닥 아래에 설치할 수 없습니다.
(2) 벽을 관통하고 바닥을 관통하는 수도관은 전선관 설정과 같은 필요한 보호 조치를 더해야 한다.
(3) 빗물이 지붕과 벽을 통과하지 못하도록 조치를 취해야 한다.
(4) 실내 수증기 응결과 지하수 이전 침투를 막기 위한 조치를 취해야 한다.
1.7 정전기 방지
접지와 같은 필요한 정전기 방지 조치를 취해야 한다.
1.8 온도 및 습도 조절
온도 및 습도 자동 조절 시설을 설치하여 기계실 안의 온도 및 습도 변화가 설비 운행 허용 범위 내에 있도록 해야 합니다.
1.9 전원 공급 장치
(1) 컴퓨터 시스템의 전원은 다른 전원과 분리되어야 합니다.
(2) 전압 조절기 및 과전압 보호 장비가 제공되어야한다.
(3) 단기 대기 전원 공급 장치 (예: UPS 장비) 를 제공해야 합니다.
1..10 전자기 보호
(1) 접지, 외부 전자기 간섭 및 장비 기생 결합 간섭 방지
(2) 전원 코드와 통신 케이블은 서로 간섭하지 않도록 격리해야 한다.
2. 네트워크 보안
2. 1 fabric 보안 및 네트워크 세그먼트 분할
(1) 네트워크 장치의 업무 처리 능력은 업무최고봉의 요구를 충족하기 위해 중복 공간이 있어야 합니다.
(2) 현재 운영과 일치하는 네트워크 토폴로지를 설계하고 그립니다.
(3) 네트워크 대역폭은 조직의 비즈니스 특성에 따라 업무량이 가장 많은 기간 동안의 요구를 충족하기 위해 합리적으로 설계해야 합니다.
(4) 서버측과 비즈니스 서버 간에 라우팅 제어를 수행하여 안전한 액세스 경로를 설정합니다.
(5) 업무 기능, 각 부서의 중요성 및 관련 정보의 중요성에 따라 서로 다른 서브넷 또는 네트워크 세그먼트를 나누고 관리 및 제어가 용이한 원칙에 따라 각 서브넷 및 네트워크 세그먼트에 주소 세그먼트를 할당해야 합니다.
(6) 중요한 네트워크 세그먼트의 경우 네트워크 계층 주소를 데이터 링크 계층 주소에 바인딩하여 주소 사기를 방지하기 위한 조치를 취해야 합니다.
2.2 액세스 제어
(1) 소스 주소, 대상 주소, 소스 포트 번호, 대상 포트 번호, 프로토콜, 액세스 인터페이스, 세션 일련 번호, 아웃바운드 정보의 호스트 이름 등 세션 상태 정보를 기준으로 데이터 스트림에 대한 명시적 액세스 권한/거부 기능을 제공해야 합니다. );
(2) 보안 속성에 따라 원격 사용자가 시스템에 액세스할 수 있도록 허용하는 규칙에 따라 시스템의 모든 리소스에 대한 사용자 액세스를 허용하거나 거부하며, 제어 세분성은 개별 사용자여야 합니다.
(3) 전화 접속 액세스 권한을 가진 사용자 수를 제한해야 합니다.
2.3 보안 감사
(1) 네트워크 시스템의 네트워크 장치 작동, 네트워크 트래픽, 사용자 동작 등의 이벤트를 기록합니다.
(2) 각 이벤트에 대해 감사 레코드에는 이벤트 날짜와 시간, 사용자, 이벤트 유형, 이벤트 성공 여부 및 기타 감사 관련 정보가 포함되어야 합니다.
2.4 경계 무결성 검사
내부 사용자가 외부 네트워크에 무단으로 연결하는 행위 (즉, "불법 외부 활동" 행위) 를 감지할 수 있어야 합니다.
2.5 침입 방지
네트워크 경계에서 포트 스캔, 폭력 공격, 트로이 뒷문 공격, 서비스 거부 공격, 버퍼 오버플로 공격, IP 분할 공격, 사이버 웜 공격 및 기타 침입 이벤트를 모니터링해야 합니다.
2.6 악성 코드 예방
(1) 네트워크 경계 및 핵심 비즈니스 세그먼트에서 악성 코드를 감지하고 제거해야 합니다.
(2) 악성 코드 라이브러리를 업그레이드하고 탐지 시스템을 업데이트합니다.
(3) 악성 코드 예방의 통합 관리를 지원해야 한다.
2.7 네트워크 장비 보호
(1) 네트워크 디바이스에 로그인하는 사용자는 인증을 받아야 합니다.
(2) 네트워크 장치 관리자의 로그인 주소를 제한하십시오.
(3) 네트워크 장비 사용자의 id 는 고유해야 합니다.
(4) 인증 정보에는 암호 길이, 복잡성, 정기 업데이트 등 쉽게 사용할 수 없는 특성이 있어야 합니다.
(5) 세션 종료, 불법 로그인 수 제한, 네트워크 로그인 연결 시간 초과 자동 종료 등 로그인 실패 처리 기능이 있어야 합니다.
3. 호스트 보안
3. 1 인증
(1) 운영 체제와 데이터베이스 관리 시스템 사용자의 신분은 고유해야 합니다.
(2) 운영 체제 및 데이터베이스 관리 시스템에 로그인한 사용자를 식별하고 식별합니다.
(3) 운영 체제 및 데이터베이스 관리 시스템의 인증 정보에는 암호 길이, 복잡성, 정기 업데이트 등 사용하기 어려운 특징이 있어야 합니다.
(4) 세션 종료, 불법 로그인 수 제한, 로그인 연결 시간 초과 자동 종료 등 로그인 실패 처리 기능이 있어야 합니다.
3.2 액세스 제어
(1) 주체의 객체에 대한 액세스는 보안 정책에 따라 통제되어야 합니다.
(2) 자체 액세스 제어의 적용 범위에는 정보 보안 및 운영과 직접 관련된 주체와 객체가 포함되어야 합니다.
(3) 자율 액세스 제어의 세분성은 사용자 수준 주체에 도달해야 하며, 파일 및 데이터베이스 테이블 수준은 객체여야 합니다.
(4) 권한있는 주체는 객체에 대한 액세스와 운영권을 설정해야한다.
(5) 기본 사용자의 액세스를 엄격하게 제한해야 합니다.
3.3 보안 감사
(1) 보안 감사는 서버의 모든 운영 체제 사용자와 데이터베이스 사용자를 덮어써야 합니다.
(2) 보안 감사는 중요한 사용자 행동 및 중요한 시스템 명령의 사용을 포함하여 시스템의 중요한 보안 관련 이벤트를 기록해야 합니다.
(3) 보안 관련 이벤트 기록에는 날짜 및 시간, 유형, 주체 id, 객체 id, 이벤트 결과 등이 포함되어야 합니다.
(4) 감사 기록은 실수로 삭제, 수정 또는 덮어쓰지 않도록 보호되어야 합니다.
3.4 나머지 정보 보호
(1) 운영 체제 및 데이터베이스 관리 시스템 사용자의 인증 정보가 하드 드라이브에 저장되어 있는지 메모리에 저장되어 있는지 여부에 관계없이 다른 사용자에게 해제되거나 재할당되기 전에 스토리지 공간이 완전히 비워졌는지 확인합니다.
(2) 시스템의 파일, 디렉토리, 데이터베이스 레코드 등의 리소스에 대한 스토리지 공간이 다른 사용자에게 해제되거나 재할당되기 전에 완전히 비워졌는지 확인합니다.
3.5 시스템 보호
시스템은 관리 및 유지 보수 상태에서 실행할 수 있는 기능을 제공해야 하며 시스템 관리자만 사용할 수 있습니다.
3.6 악성 코드 방지
(1) 서버 및 주요 터미널 장치 (모바일 장치 포함) 는 악성 코드를 실시간으로 감지하고 죽이는 소프트웨어 제품을 설치해야 합니다.
(2) 호스트 시스템의 반악성 코드 제품에는 네트워크 반악성 코드 제품과 다른 악성 코드 라이브러리가 있어야 합니다.
3.7 자원 관리
(1) 개별 사용자의 세션 수를 제한해야 합니다.
(2) 터미널 로그인은 터미널 액세스 방법, 네트워크 주소 범위 등을 설정하여 제한해야 합니다.
4. 응용 프로그램 보안
4. 1 인증
(1) 애플리케이션 시스템 사용자의 신분은 고유해야 합니다.
(2) 로그인 사용자를 식별하고 식별합니다.
(3) 시스템의 사용자 인증 정보에는 암호 길이, 복잡성, 정기 업데이트 등 사용하기 쉬운 특성이 있어야 합니다.
4.2 액세스 제어
(1) 보안 정책에 따라 객체에 대한 사용자 액세스를 제어해야 합니다.
(4) 권한 있는 주체는 사용자 운영 체제 기능 및 데이터 액세스 권한을 설정해야 합니다.
(5) 응용 시스템 권한 사용자의 권한은 분리되어야 합니다. 예를 들어 관리 및 감사 권한은 응용 시스템의 다른 사용자에게 할당되어야 합니다.
(6) 권한 분리는 최소 권한 부여 원칙을 채택해야 하며, 서로 다른 사용자에게 각자의 임무를 완수하는 데 필요한 최소 권한을 부여하고 서로 제약적인 관계를 형성해야 합니다.
(7) 기본 사용자의 액세스를 엄격하게 제한해야 합니다.
4.3 보안 감사
(1) 보안 감사는 애플리케이션 시스템의 모든 사용자를 포괄합니다.
(2) 보안 감사는 중요한 사용자 행동 및 중요한 시스템 기능의 실행을 포함하여 애플리케이션 시스템의 중요한 보안 관련 이벤트를 기록해야 합니다.
(4) 감사 기록은 실수로 삭제, 수정 또는 덮어쓰지 않도록 보호되어야 합니다.
4.4 나머지 정보 보호
사용자의 인증 정보가 있는 저장 공간이 하드 드라이브에 저장되어 있는지 메모리에 저장되어 있는지 여부에 관계없이 다른 사용자에게 해제되거나 재할당되기 전에 완전히 비워졌는지 확인합니다.
4.5 통신 무결성
통신 쌍방은 통신 데이터 메시지의 검사 코드를 계산하는 단방향 검사 코드 알고리즘에 동의해야 하며, 통신 쌍방은 검사 코드에 따라 상대방의 신문의 유효성을 판단해야 합니다.
4.6 통신 기밀 유지
(1) 통신 당사자 중 한 명이 일정 기간 동안 응답하지 않을 경우 상대방은 자동으로 대화를 종료할 수 있어야 합니다.
(2) 통신 당사자가 연결을 설정하기 전에 암호 기술을 사용하여 세션 초기화 인증을 수행합니다.
(3) 통신 중 민감한 정보 필드는 암호화해야 합니다.
4.7 소프트웨어 내결함성
(1) 인간-기계 인터페이스 또는 통신 인터페이스를 통해 입력된 데이터의 유효성을 검사합니다.
(2) 인간-기계 인터페이스를 통한 작업의 경우 "롤백" 기능을 제공해야 합니다. 즉, 작업의 우선 순위에 따라 롤백할 수 있습니다.
(3) 장애 발생 시 필요한 조치가 수행될 수 있도록 지속적으로 몇 가지 기능을 제공해야 합니다.
4.8 자원 관리
(1) 단일 사용자의 여러 동시 세션을 제한해야 합니다.
(2) 애플리케이션 시스템의 최대 동시 세션 접속 수를 제한해야 합니다.
(3) 일정 기간 동안 가능한 동시 세션 연결 수를 제한해야 합니다.
4.9 코드 보안
(1) 어플리케이션 코드에 대한 악성 정적 코드 분석이 이루어져야 합니다.
(2) 응용 프로그램 코드의 보안 취약점을 분석합니다.
5, 데이터 보안 및 백업 복구
5. 1 데이터 무결성
(1) 시스템 관리 데이터, 인증 정보 및 사용자 데이터의 무결성이 전송 중 손상되는 것을 감지할 수 있어야 합니다.
(2) 시스템 관리 데이터, 인증 정보 및 사용자 데이터의 무결성이 저장 중 손상되는 것을 감지할 수 있어야 합니다.
5.2 데이터 기밀성
(1) 네트워크 장치, 운영 체제, 데이터베이스 관리 시스템 및 애플리케이션 시스템에 대한 인증 정보, 민감한 시스템 관리 데이터 및 민감한 사용자 데이터는 암호화되거나 전송 기밀성을 위해 다른 효과적인 조치를 취해야 합니다.
(2) 휴대용 및 모바일 장치를 사용할 때 중요한 정보를 암호화하거나 이동식 디스크에 저장해야 합니다.
5.3 백업 및 복구
(1) 중요한 정보의 선택적 데이터 백업을 위한 로봇이 제공되어야 합니다.
(2) 중요한 정보를 복구하는 기능을 제공해야 한다.
(3) 중요한 네트워크 장치, 통신 회선 및 서버의 하드웨어 중복성을 제공해야 합니다.
둘째, 관리 요구 사항
1, 안전 규제 기관
1..1직무 설정
(1) 정보 보안 관리 기능 부서를 설립하고, 보안 책임자와 보안 관리의 모든 측면을 담당하는 인력을 설치하여 각 책임자의 책임을 명확히 해야 합니다.
(2) 시스템 관리자, 네트워크 관리자, 보안 관리자 직책을 설정하여 각 직무의 책임을 명확히 한다.
(3) 안전관리기관의 각 부서, 각 직위의 직책, 분업 및 기능 요구 사항을 명확히 하는 서류를 작성해야 한다.
1.2 직원 배치
(1) 일정 수의 시스템 관리자, 네트워크 관리자 및 보안 관리자가 장착되어 있습니다.
(2) 보안 관리자는 네트워크 관리자, 시스템 관리자, 데이터베이스 관리자 등이 될 수 없습니다.
1.3 승인 및 승인
(1) 승인 부서 및 승인자가 주요 활동을 승인할 수 있도록 권한을 부여합니다.
(2) 승인 문제, 승인 부서 및 승인자를 나열해야합니다.
1.4 의사 소통 및 협력
(1) 모든 종류의 경영진과 내부 조직 간의 협력과 의사 소통을 강화하고, 정기적으로 또는 수시로 조정회를 열어 정보 보안 문제를 처리해야 합니다.
(2) 정보 보안 기능 부서는 관련 부서와 인원을 정기적으로 또는 수시로 소집하여 보안 업무 회의를 열어 보안 업무의 이행을 조율해야 합니다.
(3) 형제단위, 공안기관, 통신회사와의 협력과 소통을 강화하여 안전사건이 발생했을 때 제때에 지원을 받을 수 있도록 한다.
1.5 감사 및 검사
보안 관리자는 정기적으로 사용자 계정, 시스템 취약성, 시스템 감사 등을 포함한 보안 검사를 실시해야 합니다.
2. 안전 관리 시스템
2. 1 관리 시스템
(1) 조직 보안 작업의 전반적인 목표, 범위, 방침, 원칙 및 책임을 설명하는 정보 보안 작업에 대한 일반적인 방침, 정책 문서 및 보안 정책을 개발해야 합니다.
(2) 안전 관리 활동에서 중요한 관리 내용에 대해 안전 관리 제도를 수립하여 안전 관리 활동을 규제하고 인력 행동을 제한한다.
(3) 관리 또는 운영자가 수행해야 하는 중요한 관리 작업에 대한 운영 규칙을 설정하여 운영 동작을 표준화하고 운영 실수를 방지합니다.
2.2 개발 및 발표
(1) 정보 보안 기능 부서의 총책임, 조직 관계자가 제정합니다.
(2) 안전 관리 시스템이 일관된 형식과 스타일을 가지고 버전 관리를 수행하도록 합니다.
(3) 조직 관계자들이 제정된 안전관리에 대해 논증하고 심사한다.
(4) 안전관리제도는 경영진이 발표하고 일정한 절차에 따라 문서로 발표해야 한다.
2.3 검토 및 개정
안전 관리 체계는 정기적으로 검토 및 개정해야 하며, 부족하거나 개선이 필요한 안전 관리 체계를 개정해야 한다.
3, 인력 안전 관리
3. 1 인력 채용
(1) 채용 인원이 기본적인 전문 기술 수준과 안전 관리 지식을 갖추도록 보장합니다.
(2) 고용인의 신분, 배경, 전문 자격 및 재직 자격을 검토합니다.
(3) 고용 된 직원의 기술 기술을 평가한다.
(4) 고용인의 역할과 책임을 설명한다.
(5) 기밀 유지 계약서에 서명하십시오.
3.2 퇴직자
(1) 여러 가지 이유로 이직을 앞둔 직원에 대한 모든 액세스 권한은 즉시 종료되어야 합니다.
(2) 각종 신분증, 열쇠, 배지 등. , 그리고 조직에서 제공하는 소프트웨어 및 하드웨어 장비를 검색해야합니다.
(3) 사업 단위 인사부는 이직하기 전에 엄격한 전근 수속을 밟아야 하며, 전근 후 비밀 유지 의무를 약속해야 한다.
3.3 인력 평가
(1) 각 직원의 안전 기술 및 안전 의식을 정기적으로 평가합니다.
(2) 핵심 직무 인원에 대한 포괄적이고 엄격한 안전 심사를 실시한다.
(3) 안전 정책 및 규정을 위반하는 사람들을 처벌하십시오.
3.4 안전 의식 교육 및 훈련
(1) 모든 종류의 인원에 대한 안전의식 교육
(2) 직원에게 관련 안전 책임 및 징계 조치를 통보한다.
(3) 안전 교육 훈련 프로그램, 교육 정보 안전 기본 사항 및 직무 운영 절차를 마련해야 합니다.
(4) 안전교육과 훈련의 상황과 결과는 기록하고 보관해야 한다.
3.5 제 3 자 직원의 방문 관리
(1) 제 3 자 인원은 참관하기 전에 기관과 안전책임계약이나 비밀계약을 체결해야 합니다.
(2) 중요한 지역을 방문하려면 관련 책임자의 승인을 받아야 하며, 전담자가 동행하거나 감독하고 기록을 기록해야 합니다.
4, 시스템 구축 관리
4. 1 시스템 분류
(1) 정보 시스템 분할 방법은 명확해야 한다.
(2) 정보 시스템의 보안 수준을 결정한다.
(3) 보안 수준이 정의된 정보 시스템의 속성은 작업, 비즈니스, 네트워크, 하드웨어, 소프트웨어, 데이터, 경계, 인력 등을 포함하여 서면으로 정의해야 합니다.
(4) 정보 시스템의 등급 결과가 관련 부서의 승인을 받도록 합니다.
4.2 보안 프로그램 설계
(1) 시스템의 보안 수준에 따라 기본 보안 조치를 선택하고 위험 분석 결과에 따라 보안 조치를 보완하고 조정해야 합니다.
(2) 시스템의 보안 요구 사항, 정책 및 보안 조치를 서면으로 기술하여 시스템의 보안 방안을 형성해야 합니다.
(3) 안전 방안을 구체화하여 상세한 설계 방안을 형성하고, 안전 체계 건설과 안전 제품 구매를 지도한다.
(4) 관련 부서 및 관련 안전 기술 전문가를 조직하여 안전 설계 방안의 합리성과 정확성을 논증하고 검토합니다.
(5) 안전 설계 방안을 반드시 비준해야 정식으로 시행할 수 있다.
4.3 제품 조달
(1) 안전 제품의 사용이 국가 관련 규정을 준수하는지 확인합니다.
(2) 암호 제품의 사용이 국가 암호 주관 부서의 요구 사항을 충족하는지 확인합니다.
(3) 제품 조달을 담당하는 전문 부서를 지정하거나 허가해야 합니다.
4.4 자체 개발 소프트웨어
(1) 개발 환경이 실제 운영 환경과 물리적으로 분리되어 있는지 확인합니다.
(2) 소프트웨어 설계에 대한 관련 문서 및 지침이 제공되는지 확인합니다.
(3) 시스템 개발 문서를 전담자가 보관하고 시스템 개발 문서의 사용이 통제되도록 합니다.
4.5 아웃소싱 소프트웨어 개발
(1) 지적 재산권 소유 및 보안 요구 사항을 명확히 하기 위해 소프트웨어 개발 단위와 계약을 체결해야 합니다.
(2) 소프트웨어 품질은 프로토콜 요구 사항에 따라 테스트해야 합니다.
(3) 소프트웨어 설치 전에 패키지에 있을 수 있는 악성 코드를 감지해야 합니다.
(4) 소프트웨어 설계에 대한 관련 문서 및 지침이 제공되는지 확인합니다.
4.6 프로젝트 구현
(1) 프로젝트 구현 단위와 보안 관련 계약을 체결하여 프로젝트 구현 단위의 동작을 제한합니다.
(2) 프로젝트 구현 프로세스 관리를 담당하는 전문가 또는 부서를 지정하거나 승인합니다.
(3) 구현 프로세스를 제어하기 위해 상세한 프로젝트 구현 계획을 세워야 합니다.
4.7 테스트 수락
(1) 시스템에 대한 안전 테스트 및 수용
(2) 시험 검수 전에, 설계 방안이나 계약 요구에 따라 시험 검수 방안을 제정하고, 시험 검수 과정에서 시험 검수 결과를 상세히 기록하여 시험 검수 보고서를 형성해야 한다.
(3) 관련 부서와 인원을 조직하여 시스템 테스트 검수 보고서를 승인하고, 쌍방이 틀림없다는 것을 확인한 후 서명한다.
4.8 시스템 제공
(1) 시스템의 인수인계절차를 명확히 하고 인수인계절차에 따라 인수인계작업을 완료해야 합니다.
(2) 시스템 구축자는 개발자가 의뢰한 운영 및 유지 보수 기술자의 교육을 완료합니다.
(3) 시스템 구축자는 시스템 구축 과정에서 파일을 제출하고 사용자에게 시스템 운영 및 유지 관리를 지시하는 파일을 제출해야 합니다.
(4) 시스템 구축자는 서비스 약속을 하고 시스템 운영 및 유지 보수에 대한 지원을 보장하기 위해 서비스 약정서를 제출해야 합니다.
4.9 보안 서비스 제공업체 선택
보안 서비스 제공자의 선택이 국가 관련 규정을 준수하는지 확인해야 한다.
5. 시스템 운영 및 유지 보수 관리
5. 1 환경 관리
(1) 기계실의 전력 분배, 에어컨, 온습도 조절 등의 시설은 지정인이나 전문 부서에서 정기적으로 관리해야 합니다.
(2) 기계실 안전 관리 직원을 배치하여 기계실 액세스, 서버 시작 또는 종료 등을 관리해야 합니다. 을 눌러 섹션을 인쇄할 수도 있습니다
(3) 기계실의 물리적 출입, 물품 출입, 기계실의 환경 안전 관리를 규제하는 기계실 안전 관리 제도를 세워야 한다.
(4) 방실 방문객에 대한 등록 파일 관리를 실시하여 방문객 활동을 제한한다.
(5) 직원이 사무실을 떠나는 것을 포함하여 사무실 환경의 기밀 관리를 강화하는 것은 즉시 사무실 열쇠를 반환해야 하며, 사무실 지역은 방문객을 접대해서는 안 된다.
5.2 자산 관리
(1) 정보 시스템 자산 관리의 책임자나 부서를 명확히 하는 자산 안전 관리 제도를 수립합니다.
(2) 자산 소유권, 보안 수준 및 위치와 같은 정보 시스템 관련 정보가 포함된 자산 목록을 준비하고 보관해야 합니다.
(3) 자산의 중요성에 따라 질적으로 분배하고 관리하며, 그 가치에 따라 적절한 관리 조치를 선택합니다.
5.3 미디어 관리
(1) 안전한 환경에 미디어를 저장하고 다양한 미디어를 제어 및 보호하여 정보의 도난, 파괴, 무단 수정 및 불법 유출을 방지합니다.
(2) 미디어의 보관, 보관, 등록 및 조회 기록을 보유하고 백업 및 보관 미디어의 카탈로그 목록에 따라 정기적으로 인벤토리를 실시해야 합니다.
(3) 수리나 폐기가 필요한 미디어의 경우 먼저 미디어의 민감한 데이터를 제거하여 불법 정보 유출을 방지해야 합니다.
(4) 미디어는 데이터 및 소프트웨어의 중요성에 따라 분류 및 식별되어야 하며, 스토리지 환경은 전문가가 관리해야 합니다.
5.4 장치 관리
(1) 개인 또는 전문 부서를 지정하여 정보 시스템과 관련된 다양한 시설, 장비 및 회선을 정기적으로 유지 관리하고 관리합니다.
(2) 정보 시스템의 다양한 하드웨어 및 소프트웨어 장비의 선택, 구매, 분배 또는 징용을 담당하는 신고, 승인 기반 관리 제도를 수립합니다.
(3) 터미널 컴퓨터, 워크스테이션, 노트북, 시스템 및 네트워크의 운영 및 사용을 규제합니다.
(4) 기계실이나 사무실에서 가져온 정보 처리 설비를 통제한다.
(5) 시작/중지, 전원 켜기/전원 끄기 등. 운영 절차에 따라 서버의 로그 파일 관리를 수행하고 서버 운영에 대한 모니터링 관리를 강화해야 합니다. 네트워크 및 장치는 보안 정책 요구 사항에 따라 구성하고 정기적으로 점검해야 합니다.
5.5 모니터링 및 관리
서버의 CPU, 메모리, 프로세스 및 디스크 사용량을 알아야 합니다.
5.6 네트워크 보안 관리
(1) 네트워크 관리, 로그 및 네트워크 모니터링 기록의 일상적인 유지 관리, 경보 정보 분석 및 처리를 담당하는 사람을 지정합니다.
(2) 네트워크 보안 관리 시스템 구축, 네트워크 보안 구성 및 로그 규정
(3) 네트워크 장치는 공급업체가 제공한 소프트웨어 업그레이드 버전에 따라 업데이트해야 하며, 업데이트 전에 기존의 중요한 파일을 백업해야 합니다.
(4) 네트워크 시스템 취약점을 스캔하여 발견된 네트워크 시스템 보안 취약점을 적시에 복구해야 합니다.
(5) 외부 시스템에 대한 모든 연결이 승인 및 승인되었는지 확인합니다.
(6) 네트워크 장비의 보안 정책, 권한 있는 액세스, 최소 서비스, 업그레이드 및 패치, 유지 관리 기록 및 로그에 대한 구체적인 요구 사항을 충족해야 합니다.
(7) 발생할 수 있는 보안 이벤트에 대한 조사를 지원하기 위해 네트워크 감사 로그의 저장 시간을 규정해야 합니다.
5.7 시스템 보안 관리
(1) 시스템을 관리할 사람을 지정하고 사용하지 않는 시스템 기본 계정을 삭제하거나 비활성화합니다.
(2) 시스템 보안 구성, 시스템 계정 및 감사 로그를 규정하는 시스템 보안 관리 시스템을 구축해야 합니다.
(3) 시스템 최신 패치를 정기적으로 설치하고, 공급업체가 컴퓨터를 해칠 수 있는 취약점을 적시에 복구하며, 시스템 패치를 설치하기 전에 기존의 중요한 파일을 백업해야 합니다.
(4) 비즈니스 요구 사항 및 시스템 보안 분석에 따라 분산 정보 시스템, 파일 및 서비스에 대한 액세스를 제어하는 시스템 액세스 제어 정책을 결정해야 합니다.
(5) 시스템 계정은 분류 관리해야 하며 권한 설정은 최소 권한 요구 사항을 따라야 합니다.
(6) 시스템의 보안 정책, 권한 있는 액세스, 최소 서비스, 업그레이드 및 패치, 유지 관리 기록 및 로그 등에 대한 구체적인 요구 사항을 충족해야 합니다.
(7) 발생할 수 있는 보안 이벤트에 대한 조사를 지원하기 위해 시스템 감사 로그의 저장 시간을 규정해야 합니다.
(8) 시스템 취약점을 검사하여 발견된 시스템 보안 취약점을 적시에 복구합니다.
5.8 악성 코드 예방 관리
(1) 사용자의 바이러스 백신 의식을 높이고 바이러스 백신 업그레이드를 제때에 알려야 한다.
(2) 이동식 스토리지 장치 (예: 플로피 디스크, 이동식 하드 드라이브, CD) 의 데이터를 읽고 네트워크에서 파일 또는 메일을 수신하기 전에 바이러스 검사를 수행하고 외부 컴퓨터 또는 스토리지 장치가 네트워크 시스템에 액세스하기 전에 바이러스 검사를 수행해야 합니다.
(3) 네트워크 및 호스트의 악성 코드를 탐지하고 검사 기록을 보관할 사람을 지정합니다.
(4) 안티맬웨어 소프트웨어의 허가된 사용, 악성 코드 라이브러리 업그레이드 및 정기 보고를 명시합니다.
5.9 비밀번호 관리
암호 알고리즘과 키의 사용은 국가 암호 관리 규정을 준수해야 한다.
5. 10 변경 관리
(1) 시스템에 필요한 변경 사항을 확인하고 변경 계획을 수립합니다.
(2) 변화 관리 시스템을 수립한다. 중대 시스템이 변경되기 전에 주관 지도자에게 신청을 해야 하며, 비준을 거쳐야 실시할 수 있다.
(3) 시스템 변경은 모든 관련자에게 통보해야합니다.
5. 1 1 백업 및 복구 관리
(1) 정기적으로 백업해야 하는 중요한 비즈니스 정보, 시스템 데이터 및 소프트웨어 시스템을 식별합니다.
(2) 백업 방법 (예: 증분 백업 또는 전체 백업 등). ), 백업 빈도 (예: 매일 또는 매주 등). ), 저장 매체, 저장 기간 등 백업 정보의 양을 지정해야 합니다.
(3) 데이터의 중요성과 시스템 운영에 미치는 영향에 따라 백업 데이터의 위치, 파일 명명 규칙, 미디어 교체 빈도 및 오프사이트 데이터 전송 방법을 명시하는 데이터 백업 및 복구 전략을 개발해야 합니다.
(4) 시스템에 액세스해야 할 때 제대로 작동하도록 백업 및 중복 디바이스의 상태를 정기적으로 유지 관리하고 점검하는 담당자를 지정해야 합니다.
(5) 백업 방법에 따라 해당 디바이스의 설치, 구성 및 시작 프로세스를 지정합니다.
5. 12 보안 이벤트 처리
(1) 모든 사용자는 자신이 발견한 보안 취약점과 의심스러운 사건을 보고할 책임이 있지만 어떠한 경우에도 사용자가 취약점을 확인하려고 시도해서는 안 됩니다.
(2) 보안 사고 보고 및 폐기 관리 제도를 개발하여 보안 사고 현장 처리, 사고 보고 및 사후 복구에 대한 관리 책임을 명확히 합니다.
(3) 정보 시스템의 유형, 네트워크 연결의 특성 및 정보 시스템 사용자의 특성을 분석하고, 시스템 및 유사한 시스템에서 발생한 보안 이벤트를 이해하고, 공격, 오류, 오류, 사고 또는 재해로부터 발생할 수 있는 보안 이벤트를 식별해야 합니다.
(4) 이 시스템의 컴퓨터 보안 이벤트는 국가 관련 관리 부서의 컴퓨터 보안 이벤트 분류 방법 및 보안 이벤트가 시스템에 미치는 영향에 따라 분류되어야 합니다.
(5) 보고된 모든 보안 약점과 의심스러운 사건을 기록 및 보존하고, 사건의 원인을 분석하고, 사태의 발전을 감시하고, 보안 사건의 발생을 피하기 위한 조치를 취해야 한다.
5. 13 비상 계획 관리
(1) 각기 다른 사건에 대한 응급계획은 통일된 응급계획 틀 아래 마련해야 하며, 응급계획 개시 조건, 응급처리 절차, 시스템 복구 절차, 사후교육 훈련 등을 포함해야 한다.
(2) 시스템 관계자에 대한 교육을 통해 비상 계획의 통제 수단 및 복구 전략을 어떻게 언제 사용할 수 있는지, 그리고 비상 계획 교육은 1 년에 한 번 이상 실시됩니다.
보험 평가 서비스가 필요하면, 무대 뒤에서 사적인 편지를 쓸 수 있다. 육륙정보기술은 클라우드안전제품의 기술적 장점을 통합하고, 양질의 등안컨설팅, 등안평가협력자원과 결합해 등안프로젝트에 원스톱 서비스를 제공하고, 등안등급, 기록, 시공정류, 평가 단계, 효율적 등안평가를 통해 네트워크 안전등급 보호 작업을 실시한다.