07. 준거성감사관리지침

제1장 총칙[편집]

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호정책서」에 의거 구성원의 준거성 감사관리 관리에 필요한 사항을 규정함을 목적으로 한다.

이 지침은 회사의 클라우드컴퓨팅 서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 클라우드컴퓨팅 서비스 업무를 수행하는 외부업체 직원 모두에게 적용된다.

이 지침에서 사용하는 용어의 정의는 다음과 같다.

**“보안감사”** : 보안 요구사항의 준수 여부를 보증하기 위한 독립적 활동을 의미한다.

회사는 클라우드서비스 운영 시 준수해야 할 정보보호 관련 법적 요구사항을 파악하고 최신성을 유지하여야 한다.
관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고, 필요 시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성을 유지하여야 한다.
정보보호 관련 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 점검하여야 한다.
관련 법규의 제·개정에 따라 법적 요구사항에 중대한 변경사항이 발생한 경우, 변경된 법적 요구사항을 점검 기준에 지체 없이 반영하고 점검을 수행하여야 한다.
법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선 조치를 하여야 한다.

다음 각 호의 내용을 포함한 독립적인 보안감사 계획을 수립하고 연 1회 이상 수행하여야 한다.
1. 보안감사 점검 인원
2. 보안감사 점검 인원의 자격요건 정의
3. 보안감사 일정 및 범위
보안감사 진행 후 결과 보고서를 작성하여 정보보호 최고책임자에게 보고하여야 한다.
보안감사 결과 보완이 필요한 사항이 발견된 경우에는 해당 사항에 대한 조치 계획을 수립하여 이행하여야 하며, 조치 완료 여부에 대하여 확인을 수행하여야 한다.

시스템 설계 시 다음 각 호의 사항을 반영하여 보안감사 기록 유형을 정의하여야 한다.
1. 사용자 접속 기록
2. 인증 성공/실패 로그
3. 권한 등록/변경/삭제 기록
사용자 접속 기록은 다음 각 호의 사항을 포함하여야 한다.
1. 식별자(ID 등)
2. 접속일시
3. 접속지 정보(IP 등)
4. 처리한 정보주체 정보
5. 수행 업무 등
생성된 보안감사(로그)는 관련 법률에 따라 **1년 이상 보관·관리**하여야 한다.

 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 **2년 이상 보관·관리**하여야 한다.

1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템
2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템
기록된 보안로그의 위·변조, 도난, 분실 등을 방지하기 위한 대책을 마련하여야 한다.
응용프로그램 내의 접근기록 등 보안감사 증적 외에도 OS, DB, WEB/WAS, 네트워크 장비, 보안시스템 등에 대한 로그도 생성·보관·모니터링 되어야 한다.

 특히, 클라우드 관리콘솔에 접속하여 클라우드 설정 변경 등 수행한 업무내역에 대해서도 로그를 생성·보관 및 모니터링을 수행하여야 한다.

보관되고 있는 보안감사 증적을 모니터링할 수 있는 수단을 다음 각 호의 사항을 고려하여 마련하여야 한다.
1. 이벤트별 조회, 사용자별 조회, 키워드 조회, 날짜별 조회 등 다양한 조회 기능 제공
2. 비정상적인 사건(연속된 인증 실패, 저장 및 전송 데이터 훼손, 대량 다운로드 등) 발생 시 알람 기능 적용
3. 보안관제 시스템, 통합보안관리 시스템 등을 이용한 자동화된 모니터링 적용
4. 운영환경에서 식별된 주요 로그에 대한 모니터링 수행
개인정보처리시스템의 접속기록은 월 1회 이상 점검하여야 하며,

 기타 시스템의 감사로그는 공공기관의 요구사항 또는 회사의 정책 및 지침에 따라 정기적으로 검토되어야 한다.  
 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.

일련번호	생성일자	감사대상시스템	로그유형	보관기간	담당자	비고

일련번호	점검일자	감사대상	점검결과	개선조치내용	완료일자	검토자

(끝)