ISMS-P 보안관리 결함보고서 예시 (2.1.1 ~ 2.12.2)

 

 

---

2.1.1 자산 식별

• 결함유형: 자산목록 누락
• 관련조항: ISMS-P 2.1.1 (자산 식별)
• 관련근거: 「자산관리지침」 제2조(자산 목록 관리)
• 운영현황 및 결함내역:
  • 운영현황: HW, SW 자산은 관리되나, 클라우드 SaaS 계정은 목록에 포함되지 않음
  • 결함내역: 전체 자산 파악 미흡으로 위험관리 사각지대 발생
  • 조치사항: SaaS 포함 자산 전수 조사 및 목록 갱신
• 근거목록: 자산목록, SaaS 계약현황, 점검보고서

---

2.1.2 자산 등록

• 결함유형: 신규자산 등록 누락
• 관련조항: ISMS-P 2.1.2 (자산 등록)
• 관련근거: 「자산관리지침」 제3조(신규자산 등록)
• 운영현황 및 결함내역:
  • 운영현황: 신규 서버 3대가 도입되었으나 자산관리시스템에 미등록
  • 결함내역: 자산이 등록되지 않아 취약점 점검 및 보안패치 대상에서 제외됨
  • 조치사항: 신규자산 등록 절차 강화, 자산관리시스템 자동 연계 도입 검토
• 근거목록: 구매계약서, 자산DB, 점검로그

---

2.1.3 자산 분류

• 결함유형: 중요도 분류 미흡
• 관련조항: ISMS-P 2.1.3 (자산 분류)
• 관련근거: 「자산관리지침」 제4조(자산 분류 기준)
• 운영현황 및 결함내역:
  • 운영현황: 모든 서버를 동일 등급으로 관리
  • 결함내역: 개인정보 처리 서버와 테스트 서버 구분이 불명확
  • 조치사항: 자산 등급 기준 재정의, 개인정보 처리 서버 ‘중요’ 등급 부여
• 근거목록: 자산 분류표, 개인정보처리시스템 목록

---

2.1.4 자산 관리

• 결함유형: 주기적 점검 미흡
• 관련조항: ISMS-P 2.1.4 (자산 관리)
• 관련근거: 「자산관리지침」 제5조(자산 현황 점검)
• 운영현황 및 결함내역:
  • 운영현황: 연간 점검 미수행, 일부 자산 현황 불일치
  • 결함내역: 실제 장비와 목록 상 차이가 존재
  • 조치사항: 반기별 자산 현황 점검 프로세스 도입
• 근거목록: 자산DB, 점검보고서, 현장점검 사진

---

2.2.1 인적 보안

• 결함유형: 보안서약서 미제출
• 관련조항: ISMS-P 2.2.1 (인적 보안)
• 관련근거: 「인사규정」 제10조(보안서약서 제출 의무)
• 운영현황 및 결함내역:
  • 운영현황: 일부 계약직 직원 보안서약서 미징구
  • 결함내역: 신규 인력에 대한 보안서약 절차 누락
  • 조치사항: 모든 인력 보안서약서 확보, 계약 시 필수화
• 근거목록: 보안서약서 원본, 인사DB

---

2.2.2 보안 인식제고

• 결함유형: 정기 교육 미실시
• 관련조항: ISMS-P 2.2.2 (보안 인식제고)
• 관련근거: 「교육훈련지침」 제2조(연 1회 이상 보안교육)
• 운영현황 및 결함내역:
  • 운영현황: 2024년 보안교육 미수행
  • 결함내역: 인증기준상 연 1회 이상 보안교육 불이행
  • 조치사항: 즉시 교육 실시, 참석 기록 보관
• 근거목록: 교육 계획서, 출석부, 교육자료

---

2.3.1 외부자 관리

• 결함유형: 외부자 접근 통제 미흡
• 관련조항: ISMS-P 2.3.1 (외부자 관리)
• 관련근거: 「외부자 관리지침」 제3조(출입 및 접근 통제)
• 운영현황 및 결함내역:
  • 운영현황: 협력업체 직원이 별도 승인 없이 서버실 출입
  • 결함내역: 출입기록 미보관, 통제 절차 부재
  • 조치사항: 외부자 출입 승인제 도입, 출입기록 보관 의무화
• 근거목록: 출입통제 로그, 외부자 계약서

---

2.3.2 외부자 보안서약

• 결함유형: 보안서약서 미확보
• 관련조항: ISMS-P 2.3.2 (외부자 보안서약)
• 관련근거: 「외부자 관리지침」 제4조(보안서약서)
• 운영현황 및 결함내역:
  • 운영현황: 외주 개발업체 보안서약서 미징구
  • 결함내역: 개인정보 접근 권한자에 대한 보안서약 미비
  • 조치사항: 외부계약 시 보안서약 필수화, 미징구 시 계약 불가 규정 강화
• 근거목록: 계약서, 서약서 원본

---

2.4.1 물리적 보호구역

• 결함유형: 출입통제 미비
• 관련조항: ISMS-P 2.4.1 (물리적 보호구역 설정)
• 관련근거: 「물리보안지침」 제2조(보호구역 설정)
• 운영현황 및 결함내역:
  • 운영현황: 서버실 출입구에 CCTV는 있으나 출입인증 미설치
  • 결함내역: 비인가자 출입 가능성 존재
  • 조치사항: 출입카드 인증 시스템 도입
• 근거목록: 출입구 사진, 보안시스템 도입계약서

---

2.4.2 출입통제

• 결함유형: 출입기록 관리 미흡
• 관련조항: ISMS-P 2.4.2 (출입통제)
• 관련근거: 「물리보안지침」 제3조(출입기록 보관)
• 운영현황 및 결함내역:
  • 운영현황: 출입기록이 1개월만 보관됨
  • 결함내역: 인증기준상 최소 6개월 보관 의무 미준수
  • 조치사항: 출입통제시스템 로그 보관기간 확대(1년)
• 근거목록: 출입통제 로그, 시스템 설정 캡처

---

2.5.1 운영환경 보안

• 결함유형: 보안패치 미적용
• 관련조항: ISMS-P 2.5.1 (운영환경 보안)
• 관련근거: 「시스템운영지침」 제4조(보안패치 적용)
• 운영현황 및 결함내역:
  • 운영현황: 일부 서버 OS 패치 6개월 이상 지연
  • 결함내역: 취약점 노출 가능성 존재
  • 조치사항: 보안패치 관리 프로세스 강화, 적용현황 대장 관리
• 근거목록: 패치관리대장, 서버 점검보고서

---

2.5.2 백업 및 복구

• 결함유형: 백업검증 미수행
• 관련조항: ISMS-P 2.5.2 (백업 및 복구)
• 관련근거: 「백업관리지침」 제3조(백업 주기 및 검증)
• 운영현황 및 결함내역:
  • 운영현황: 데이터 백업은 수행되나 복구테스트 미실시
  • 결함내역: 재해 발생 시 복구 가능성 검증 불가
  • 조치사항: 정기 복구테스트 수행, 결과 기록 관리
• 근거목록: 백업로그, 복구테스트 기록

---

2.6.1 사용자 등록

• 결함유형: 계정 등록 관리 미흡
• 관련조항: ISMS-P 2.6.1 (사용자 등록)
• 관련근거: 「접근통제지침」 제2조(계정 발급 절차)
• 운영현황 및 결함내역:
  • 운영현황: 신규 입사자 계정 발급 시 승인 절차 생략
  • 결함내역: 무분별한 계정 생성 위험
  • 조치사항: 계정발급 승인 절차 준수, 승인대장 기록
• 근거목록: 계정발급 신청서, 시스템 계정 목록

---

2.6.2 사용자 권한부여

• 결함유형: 과도한 권한 부여
• 관련조항: ISMS-P 2.6.2 (사용자 권한부여)
• 관련근거: 「접근통제지침」 제3조(최소권한 원칙)
• 운영현황 및 결함내역:
  • 운영현황: 일반 사용자가 관리자 권한 보유
  • 결함내역: 최소권한 원칙 위반
  • 조치사항: 권한 재검토, 불필요 권한 회수
• 근거목록: 권한부여대장, 시스템 계정리스트

---

2.6.3 사용자 검증

• 결함유형: 2FA 미적용
• 관련조항: ISMS-P 2.6.3 (사용자 검증)
• 관련근거: 「접근통제지침」 제4조(사용자 인증)
• 운영현황 및 결함내역:
  • 운영현황: 관리자 계정 로그인 시 비밀번호만 사용
  • 결함내역: 다중인증 미적용으로 계정 탈취 위험
  • 조치사항: OTP 기반 2FA 도입
• 근거목록: 로그인 정책 문서, 시스템 인증 설정

---

2.6.4 사용자 권한변경

• 결함유형: 권한변경 기록 미비
• 관련조항: ISMS-P 2.6.4 (사용자 권한변경)
• 관련근거: 「접근통제지침」 제5조(권한변경 관리)
• 운영현황 및 결함내역:
  • 운영현황: 권한 변경 시 승인 문서 미보관
  • 결함내역: 변경 이력 추적 불가
  • 조치사항: 권한변경 승인대장 작성, 로그 기록 보관
• 근거목록: 변경요청서, 로그파일

---

2.6.5 사용자 권한삭제

• 결함유형: 퇴직자 계정 미삭제
• 관련조항: ISMS-P 2.6.5 (사용자 권한삭제)
• 관련근거: 「접근통제지침」 제6조(계정 회수)
• 운영현황 및 결함내역:
  • 운영현황: 퇴직자 2명의 계정 미삭제 상태 유지
  • 결함내역: 무단 접근 가능성 존재
  • 조치사항: 퇴직 즉시 계정 삭제 프로세스 강화
• 근거목록: 인사발령서, 계정리스트

---

2.6.6 사용자 권한점검

• 결함유형: 정기 권한점검 미실시
• 관련조항: ISMS-P 2.6.6 (사용자 권한점검)
• 관련근거: 「접근통제지침」 제7조(권한점검 주기)
• 운영현황 및 결함내역:
  • 운영현황: 최근 1년간 권한점검 미실시
  • 결함내역: 불필요 권한 방치 위험
  • 조치사항: 분기별 권한점검 계획 수립 및 결과 보고
• 근거목록: 권한점검표, 회의록

---

2.6.7 사용자 인증정보 관리

• 결함유형: 비밀번호 정책 미준수
• 관련조항: ISMS-P 2.6.7 (사용자 인증정보 관리)
• 관련근거: 「접근통제지침」 제8조(비밀번호 관리)
• 운영현황 및 결함내역:
  • 운영현황: 일부 계정은 1년 이상 동일 비밀번호 사용
  • 결함내역: 비밀번호 변경주기(90일) 미준수
  • 조치사항: 비밀번호 변경 강제 정책 적용
• 근거목록: 비밀번호 정책 문서, 시스템 감사로그

 

---

2.7.1 암호키 관리

• 결함유형: 암호키 수명 관리 미흡
• 관련조항: ISMS-P 2.7.1 (암호키 관리)
• 관련근거: 「암호키 관리지침」 제2조(암호키 발급·폐기)
• 운영현황 및 결함내역:
  • 운영현황: DB 암호화 키를 3년 이상 동일하게 사용
  • 결함내역: 암호키 변경 주기(1년) 미준수, 키 수명 관리 문서화 미흡
  • 조치사항: 키 교체 및 키 수명 관리대장 작성
• 근거목록: 암호키 관리대장, DBMS 키 관리 로그

---

2.8.1 접근통제 정책

• 결함유형: 접근통제 정책 최신화 미흡
• 관련조항: ISMS-P 2.8.1 (접근통제 정책)
• 관련근거: 「접근통제지침」 제1조(접근통제 정책)
• 운영현황 및 결함내역:
  • 운영현황: 접근통제 정책이 2022년 이후 개정되지 않음
  • 결함내역: 원격근무 확산 등 새로운 환경 반영 미비
  • 조치사항: 원격근무·클라우드 환경 반영 정책 개정
• 근거목록: 접근통제 정책문서, 개정 이력대장

---

2.9.1 운영보안 절차

• 결함유형: 운영절차 문서화 미흡
• 관련조항: ISMS-P 2.9.1 (운영보안 절차)
• 관련근거: 「운영보안지침」 제2조(운영 절차 수립)
• 운영현황 및 결함내역:
  • 운영현황: 일부 운영절차는 구두 전파로만 수행
  • 결함내역: 절차 미문서화 → 이행 증적 부재
  • 조치사항: 운영절차 매뉴얼 작성 및 배포
• 근거목록: 운영절차서, 작업지시서

---

2.9.2 로그 기록 및 관리

• 결함유형: 로그 보관 기간 미준수
• 관련조항: ISMS-P 2.9.2 (로그 기록 및 관리)
• 관련근거: 「로그관리지침」 제3조(로그 보관)
• 운영현황 및 결함내역:
  • 운영현황: 시스템 로그를 2개월만 보관
  • 결함내역: 인증기준상 6개월 이상 보관 의무 위반
  • 조치사항: 로그 보관 기간을 1년 이상으로 확대
• 근거목록: 로그 설정 캡처, 로그 보관서버 용량계획

---

2.9.3 로그 점검

• 결함유형: 로그 점검 미수행
• 관련조항: ISMS-P 2.9.3 (로그 점검)
• 관련근거: 「로그관리지침」 제4조(로그 점검 주기)
• 운영현황 및 결함내역:
  • 운영현황: 로그 수집은 되나 정기 점검 없음
  • 결함내역: 이상 행위 탐지 불가
  • 조치사항: 주간 로그 점검 체계 구축 및 결과 보고
• 근거목록: 로그 점검 보고서, 보안관제 이력

---

2.10.1 네트워크 보안관리

• 결함유형: 방화벽 정책 관리 미흡
• 관련조항: ISMS-P 2.10.1 (네트워크 보안관리)
• 관련근거: 「네트워크보안지침」 제2조(방화벽 정책 관리)
• 운영현황 및 결함내역:
  • 운영현황: 허용 정책 다수, 주기적 검토 미실시
  • 결함내역: 불필요한 포트/서비스 허용 방치
  • 조치사항: 방화벽 정책 재검토, 미사용 정책 삭제
• 근거목록: 방화벽 정책대장, 점검보고서

---

2.10.2 네트워크 접근통제

• 결함유형: 네트워크 구간 분리 미비
• 관련조항: ISMS-P 2.10.2 (네트워크 접근통제)
• 관련근거: 「네트워크보안지침」 제3조(망 분리)
• 운영현황 및 결함내역:
  • 운영현황: 개인정보 처리망과 업무망 혼재
  • 결함내역: 개인정보 유출 가능성 증가
  • 조치사항: 개인정보처리망과 사무망 논리적 분리 적용
• 근거목록: 네트워크 구조도, 보안정책 문서

---

2.11.1 암호통제 적용

• 결함유형: 암호화 미적용
• 관련조항: ISMS-P 2.11.1 (암호통제 적용)
• 관련근거: 「암호통제지침」 제2조(개인정보 암호화)
• 운영현황 및 결함내역:
  • 운영현황: 일부 개인정보 필드(주민등록번호) 평문 저장
  • 결함내역: 개인정보보호법 제29조 암호화 의무 위반 가능성
  • 조치사항: 개인정보 전송·저장 시 암호화 적용
• 근거목록: DB 덤프, 암호화 정책 문서

---

2.11.2 암호통제 운영

• 결함유형: 암호 알고리즘 사용 부적정
• 관련조항: ISMS-P 2.11.2 (암호통제 운영)
• 관련근거: 「암호통제지침」 제3조(안전한 암호 알고리즘 사용)
• 운영현황 및 결함내역:
  • 운영현황: 일부 시스템에서 MD5 해시 사용
  • 결함내역: 안전하지 않은 알고리즘 사용으로 무결성 위협
  • 조치사항: SHA-256 이상 안전한 알고리즘으로 전환
• 근거목록: 시스템 보안설정 문서, 소스코드 분석자료

---

2.12.1 보안시스템 운영

• 결함유형: 보안시스템 정책 관리 미흡
• 관련조항: ISMS-P 2.12.1 (보안시스템 운영)
• 관련근거: 「보안시스템 운영지침」 제2조(정책 관리)
• 운영현황 및 결함내역:
  • 운영현황: IPS, WAF 정책 변경 이력 미관리
  • 결함내역: 정책 변경 사유 및 승인 절차 부재
  • 조치사항: 정책 변경 승인대장 작성, 이력관리 강화
• 근거목록: 정책 변경내역서, 운영자 로그

---

2.12.2 보안시스템 점검

• 결함유형: 보안시스템 점검 미실시
• 관련조항: ISMS-P 2.12.2 (보안시스템 점검)
• 관련근거: 「보안시스템 운영지침」 제3조(정기 점검)
• 운영현황 및 결함내역:
  • 운영현황: 최근 1년간 IPS/WAF 점검 미수행
  • 결함내역: 시스템 정책 적정성 확인 불가
  • 조치사항: 반기별 점검 계획 수립 및 결과 보고
• 근거목록: 점검결과보고서, 시스템 점검 체크리스트

---