통제목적

: 새로운 정보시스템 도입 또는 개선 시 필수 보안 요구사항을 포함한 인수기준을 수립하고 인수 전 기준 적합성을 검토 해야 합니다.

세부 항목

1. 새로운 정보시스템(서버, 네트워크 장비 상용 소프트웨어 패키지) 및 보안 시스템 도입 시 도입계획 수립

- 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석

- 성능, 안전성, 보안성 등을 포함한 시스템 자원의 기능적, 운영적 요구사항

- 기존 시스템과의 호환성, 상호운영성, 기술 표준에 따른 확장성

2. 인수 여부를 판단하기 위해 정보시스템 및 보안시스템의 기본 보안설정 등이 반영된 인수승인 기준 수립

- 기본보안 설정 : 불필요한 시스템 계정, 디폴트 계정, 임시 계정 등 삭제, 불필요한 서비스 및 포트 차단, 백신

프로그램 설치 등

추가 확인 사항

- 정보시스템 자산 변경에 대한 지침/절차가 존재하는지 IT운영팀, 책임자 등에게 확인

- 정보시스템 패치 작업 시 영향을 분석하고 테스트 후 적용

- 패치 적용 후 문제 발생시 백업본으로 복구 하는 방식 사용

정보시스템 구축과 운영

: 정보시스템을 도입하기 위해선 정보시스템을 어떤방식으로 구축하고 운영할지 분석하고 결정해야 합니다.

Security Life Cycle을 활용한 NAC 도입 사례를 통해 실제 구축이 이루어지는 사례를 확인해보겠습니다.

1. 사전 환경 조사

: NAC 장비 도입을 위해 보안담당자는 전산팀과 네트워크팀에 NAC 도입에 필요한 사전 정보를 요청할 수 있습니다.

- Security Life Cycle을 활용해 보안담당자가 각 부서별로 NAC 구축을 위한 사전 환경 조사 항목을 요청합니다.

- 요청받은 각 부서는 코멘트와 첨부파일을 활용해 요청받은 사항을 해당 이슈에 등록합니다.

- 보안담당자는 이 정보를 확인해 NAC 구축에 필요한 사전 준비를 마무리하거나 추가 사항을 요청할 수 있습니다.

2. NAC 설치

- 사전 환경 조사를 마치고 NAC 구축팀이 조직되어 설치를 준비중입니다. 원활한 구축을 위해 구축팀을 위한

신규 Logcenter 계정을 할당해 설치간 활용하도록 할 수 있습니다.

- 보안담당자는 구축팀에게 새로운 이슈를 할당해 NAC를 진행하도록 요청함과 동시에 필요한 문서를 첨부할 수 있습니다.

- 구축팀과 보안담당자는 할당된 이슈의 진행사항 및 요청사항에 대해 코멘트를 통해 지속적으로 의견을 교환할 수 있습니다.

- 작업 완료 후 작업 결과를 코멘트와 첨부문서를 통해 보안담당자에게 알릴 수 있습니다.

- NAC 도입 사업 담당자는 이슈 상태를 완료로 전환해 사업이 끝났음을 알릴 수 있습니다.