순

위

발견된 취약점(결함사항)

통제내용

결함건수

발생빈도

1

백업대상, 주기, 방법 등이 명확하게 정의되어 있지 않고 특히 시스템 로그백업이 미흡함.

- 데이터 및 장비의 무결성과 가용성을 유지하기 위해 백업 계획을 수립하여 이행하고 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.

16

0.43

2

개인정보 등 기업의 주요 정보자산 분류 누락 및 기준 부재, 자산의 보안등급 미표기 및 취급절차 미흡

- 정보자산이 신청기관에서 차지하는 가치와 신청기관에 미치는 영향을 고려하여 분류방식을 선택하고 분류하여야 한다.

- 중요도에 따라 분류된 정보자산에 보안등급을 부여하고, 물리적, 전자적 보안등급 표시를 부착, 관리하여야 한다. 또한 보안등급의 부여에 따른 취급절차도 정의하여 이행하여야 한다.

15

0.40

3

관리자 계정 공동사용, 계정등록 해지절차 미흡

- 정보시스템 및 서비스에 대한 접근을 통제하기 위한 공식적인 사용자 등록 및 해지 절차를 마련하여야 한다.

12

0.32

4

정보자산의 변경절차 부재 및 절차준수 미흡

- 정보시스템 관련 자산들을 조사하고, 모든 변경사항들을 반영할 수 있는 공식적인 관리책임 및 절차를 수립하여야 한다.

10

0.27

5

보안사고 예방 및 대응절차 미흡

- 보안사고의 정의 및 범위, 긴급연락체계 구축, 보안사고 발생 시 보고 및 대응 절차, 사고 복구조직의 구성, 교육계획 등을 포함한 보안사고 대응 계획을 수립, 이행하여야 한다.

9

0.24

6

정보보호교육 계획 부재 및 교육 미실시

- 교육 및 훈련은 정기적으로 실시하여야 하며, 정보보호정책이나 절차 및 역할의 변경이 있는 경우에는 수시로 실시하고 이에 대한 기록을 남겨야 한다. 또한 교육훈련 종료 후 검토를 통하여 차기 교육에 반영하여야 한다.

9

0.24

7

물리적 보호구역 미정의, 반출입 절차 부재

- 물리적 보호구역에 대한 출입은 적절한 출입통제절차에 의하여 통제되어야, 출입자를 식별하고 기록․관리하여야 한다.

8

0.21

8

고객정보 등에 대한 위험분석 누락 및 위험분석 및 평가방법론 부재

- 식별된 정보자산에 영향을 줄 수 있는 모든 위협, 취약성, 위험을 식별하여 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여, 잠재적 손실에 대한 영향을 식별․분석하여야 한다.

7

0.19

9

기업 내 보안활동에 대한 내부감사 규정 부재 및 주기적 감사 미흡

- 기업은 정보보호관리체계가 계획된 절차에 따라 효과적으로 실행되는 지를 점검하기 위하여 감사의 기준, 범위, 주기 및 방법을 규정하고, 계획된 주기로 내부감사를 수행하여야 한다.

7

0.19

10

기업의 주요정보 유출방지를 위한 비밀유지서약서 미징구(정규, 비정규직원, 제3자 등)

- 직원으로부터 비밀유지 서약서에 서명을 받아야 하며, 임시직원이나 제3자에게 정보에 대한 접근 권한을 부여할 경우에도 그들로부터 비밀유지 서약서에 서명을 받아야 한다.

7

0.19