F-ISMS - 금융권에 적합한 ISMS-P 인증 점검 항목 (2022.08)

금융보안원

ISMS-P

: 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조(정보보호 관리체계 인증) 및  「개인정보 보호법」 제32조의22(개인정보 보호 인증), 「정보보호 및 개인정보보호 관리체계  인증 등에 관한 고시」 (과학기술정보통신부고시 제2021-27호, 개인정보보호위원회 고시 제2020-13호)에서 규정하고 있는 사항을 금융업권에 적합하게 설명함을 목적으로 합니다.

 

2019년 11월에 금융권에 적합한 ISMS-P 인증기준 점검항목을 개발했으며 2022년 08월에 변경한 이력을 가지고 있습니다. 수시로 개정될 수 있으며 해당 시점에서 최신 버전을 확인하여 적용하여야 하며, 전자금융거래법, 신용정보법 적용 대상이 되는 금융회사 및 신용정보회사, 전자금융업자 등을 적용 대상으로 합니다.

 

점검항목 수는 392개이며 KISA의 데이터 3법 개정에 따라 ISMS-P 인증기준을 변경하여 F-ISMS 점검항목을 반영

 

F-ISMS 항목

1. 관리체계 수립 및 운영(16개)

: ʻ관리체계 수립 및 운영ʼ 영역은 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선의 4개 분야 16개의 인증기준으로 구성되어 있다. 이러한 관리체계 수립 및 운영은 정보보호 및 개인정보보호 관리체계를 운영하는 동안 지속적이고 반복적으로 실행되어야 한다.

 

1.1 관리체계 기반 마련

1.1.1 경영진의 참여

1.1.2 최고책임자의 지정

1.1.3 조직 구성

1.1.4 범위 설정

1.1.5 정책 수립

1.1.6 자원 할당

1.2 위험 관리

1.2.1 정보자산 식별

1.2.2 현황 및 흐름분석

1.2.3 위험 평가

1.2.4 보호대책 선정

1.3 관리체계 운영

1.3.1 보호대책 구현

1.3.2 보호대책 공유

1.3.3 운영현황 관리

1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

1.4.2 관리체계 점검

1.4.3 관리체계 개선

 

2. 보호대책 요구사항(64개)

: ʻ보호대책 요구사항ʼ 영역은 12개 분야 64개 인증기준으로 구성되어 있다. 보호대책 요구사항에 따라 신청기관은 관리체계 수립 및 운영 과정에서 수행한 위험평가 결과와 조직의서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립･이행하여야 한다.

 

2.1. 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

2.1.2 조직의 유지관리

2.1.3 정보자산 관리

2.2. 인적 보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 직무 분리

2.2.3 보안 서약

2.2.4 인식제고 및 교육훈련

2.2.5 퇴직 및 직무변경 관리

2.2.6 보안 위반 시 조치

2.3. 외부자 보안

2.3.1 외부자 현황 관리

2.3.2 외부자 계약 시 보안

2.3.3 외부자 보안 이행 관리

2.3.4 외부자 계약 변경 및 만료 시 보안

2.4. 물리 보안

2.4.1 보호구역 지정

2.4.2 출입통제

2.4.3 정보시스템 보호

2.4.4 보호설비 운영

2.4.5 보호구역 내 작업

2.4.6 반출입 기기 통제

2.4.7 업무환경 보안

2.5. 인증 및 권한관리

2.5.1 사용자 계정 관리

2.5.2 사용자 식별

2.5.3 사용자 인증

2.5.4 비밀번호 관리

2.5.5 특수 계정 및 권한관리

2.5.6 접근권한 검토

2.6. 접근통제

2.6.1 네트워크 접근

2.6.2 정보시스템 접근

2.6.3 응용프로그램 접근

2.6.4 데이터베이스 접근

2.6.5 무선 네트워크 접근

2.6.6 원격접근 통제

2.6.7 인터넷 접속 통제

2.7. 암호화 적용

2.7.1 암호정책 적용

2.7.2 암호키 관리

2.8. 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

2.8.2 보안 요구사항 검토 및 시험

2.8.3 시험과 운영 환경 분리

2.8.4 시험 데이터 보안

2.8.5 소스 프로그램 관리

2.8.6 운영환경 이관

2.9. 시스템 및 서비스 운영관리

2.9.1 변경관리

2.9.2 성능 및 장애관리

2.9.3 백업 및 복구관리

2.9.4 로그 및 접속기록 관리

2.9.5 로그 및 접속기록 점검

2.9.6 시간 동기화

2.9.7 정보자산의 재사용 및 폐기

2.10 시스템 및 서비스 보안관리

2.10.1 보안시스템 운영

2.10.2 클라우드 보안

2.10.3 공개서버 보안

2.10.4 전자거래 및 핀테크 보안

2.10.5 정보전송 보안

2.10.6 업무용 단말기기 보안

2.10.7 보조저장매체 관리

2.10.8 패치관리

2.10.9 악성코드 통제

2.11. 사고 예방 및 대응

2.11.1 사고 예방 및 대응체계 구축

2.11.2 취약점 점검 및 조치

2.11.3 이상행위 분석 및 모니터링

2.11.4 사고 대응 훈련 및 개선

2.11.5 사고 대응 및 복구

2.12. 재해복구

2.12.1 재해･재난 대비 안전조치

2.12.2 재해 복구 시험 및 개선

 

3. 개인정보 처리 단계별 요구사항

: ʻ개인정보 처리 단계별 요구사항ʼ 영역은 개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 5개 분야 22개의 인증기준으로 구성되어 있다. 이 영역은 대부분 법적 요구사항과 직접적으로 관련되어 있으므로 개인정보 흐름분석을 바탕으로 조직이 적용받는 법규 및 세부 조항을 명확히 파악하여 이를 준수할 수 있도록 하여야 한다.

 

3.1. 개인정보 수집 시 보호조치

3.1.1 개인정보 수집 제한

3.1.2 개인정보의 수집 동의

3.1.3 주민등록번호 처리 제한

3.1.4 민감정보 및 고유식별정보의 처리 제한

3.1.5 간접수집 보호조치

3.1.6 영상정보처리기기 설치･운영

3.1.7 홍보 및 마케팅 목적 활용 시 조치

3.2. 개인정보 보유 및 이용 시 보호 조치

3.2.1 개인정보 현황관리

3.2.2 개인정보 품질보장

3.2.3 개인정보 표시제한 및 이용 시 보호조치

3.2.4 이용자 단말기 접근 보호

3.2.5 개인정보 목적 외 이용 및 제공

3.3. 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

3.3.2 업무 위탁에 따른 정보주체 고지

3.3.3 영업의 양수 등에 따른 개인정보의 이전

3.3.4 개인정보의 국외이전

3.4. 개인정보 파기 시 보호조치

3.4.1 개인정보의 파기

3.4.2 처리목적 달성 후 보유 시 조치

3.4.3 휴면 이용자 관리

3.5. 정보주체 권리보호

3.5.1 개인정보처리방침 공개

3.5.2 정보주체 권리보장

3.5.3 이용내역 통지

 

참고자료

https://www.fsec.or.kr/