분류 전체보기 98

ECMS Express 직구 배송 문제 조치(Additional Information is required)

eBay를 통해 미국에서 판매하는 물건을 직구해야 한 적이 있었다.배송은 eBay International Shipping을 이용했고 판매자한테서 미국 내의 허브까지 배송되는데 일주일이 걸렸다.이후에 허브에서 국제 배송 업체를 통해 한국으로 배송이 오게 되는데, 이번에는 ECMS Express라는 업체를 통해 배송이 진행되었다.ECMS Express로 물건이 넘어간 후 ECMS Express에서 배송조회를 시작하게 됐는데, 아래 캡처와 같은 메시지와 함께 배송 시작 단계에서 멈춰있었다. 'Additional information is required to process through customs. Please contact carrier to en-sure timely delivery.' 세관 처리를 ..

생활 2026.07.11

A-39 담당업무에 따라 시스템에 접근할 수 있는 사용자 계정 및 접근권한 부여 방법과 범위 등을 정의 및 이행

A-39 담당업무에 따라 시스템에 접근할 수 있는 사용자 계정 및 접근권한 부여 방법과 범위 등을 정의 및 이행 관리적 분야 > 9. 인증 및 권한관리A-39p.83-85 관련 조직정보보호 부서세부 설명기반시설에 접근할 수 있는 사용자의 직무 및 담당업무에 따라 계정 및 접근권한 부여를 달리하고 접근권한의 범위를 결정할 수 있는 방법 등을 정의하여 지침 또는 절차 형태로 문서화하여야 한다.사용자 계정 및 접근권한의 관리 범위는 기반시설 관련 모든 내부 시스템(예: 서버, 네트워크 장비, 보안 장비 등), 서비스(예: 업무시스템(Application), 홈페이지 등), 모바일기기(예: 스마트폰, 태블릿PC 등), PC(노트북 포함)와 내부망에 대한 유·무선 네트워크 접근통제를 포함하여야 ..

A-38 유관기관에서 공유한 보안공지·권고문 등에 대한 내용을 임직원 및 외부자에게 공유하고 조치요령을 안내

A-38 유관기관에서 공유한 보안공지·권고문 등에 대한 내용을 임직원 및 외부자에게 공유하고 조치요령을 안내 관리적 분야 > 8. 교육 및 훈련A-38p.81-83관련 조직정보보호 부서세부 설명정보보호 환경 변화에 따라 심각한 또는 주의가 요구되는 보안권고, 보안패치, 취약점조치 등이 관계 기관 및 보안기관을 통해 전파되면 해당 내용을 관계자에게 관련 보안공지를 전달하여야 한다.한국인터넷진흥원 및 관리기관 등을 통해 보안공지가 전달된 경우, 지체없이 관계 직원에게 해당 내용을 전달하여 심각한 보안패치, 취약점 등이 신속히 조치될 수 있도록 한다.고려 사항관계 기관, 보안기관에서 직접 보안권고 사항을 보내주지 않더라도 한국인터넷진흥원이 운영하는 KISA 보호나라&KrCERT/CC(https://www..

A-37 교육 및 훈련의 효과가 측정, 분석되어 차기 교육 및 훈련에 반영

A-37 교육 및 훈련의 효과가 측정, 분석되어 차기 교육 및 훈련에 반영 관리적 분야 > 8. 교육 및 훈련A-37p.79-81 관련 조직정보보호 부서 세부 사항교육 수행 후 그 효과 여부에 대한 측정(예: 설문, 시험 등)을 실시하여 발견된 문제점이 차기 교육에서 재발하지 않도록 하여야 한다.이를 위해, 정보보호 인식교육은 교육 후 설문평가 등을 통해 교육효과를 측정하고 그 결과를 분석해서 차기 교육계획을 수립하는데 활용하여야 한다.고려 사항교육시행 후 교육 공지, 교육자료, 교육 참석자 목록 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통해 교육 내용 및 방법이 각 직무별 보안기준 준수 역량 제고에 적합하고 효과적이었는지 평가하여야 한다.교육평가 ..

A-36 교육 및 훈련은 대상자의 직위 및 업무 특성에 따라 차등화하여 실시

A-36 교육 및 훈련은 대상자의 직위 및 업무 특성에 따라 차등화하여 실시 관리적 분야 > 8. 교육 및 훈련A-36p.77-79 관련 조직정보보호 부서세부 설명조직 내 전체 임직원 및 관련 직무자들의 직위 및 업무특성을 파악하여 교육내용, 교육 유형, 교육 방법 등을 차등화하여 교육 및 훈련을 시행하여야 한다.고려 사항기반시설 업무와 관련하여 정보보호책임자, 정보보호업무 담당자, 정보보호 실무자, 개발자, 일반직원 등 직무 및 업무 특성을 고려하여 차등화된 교육을 시행할 필요가 있다. ※ 직위 및 업무 특성별 교육 계획·시행 (예시) 대상자 교육과정(예시) ..

A-35 전체 임직원 및 외부자에 대하여 정보보호 교육 및 훈련 수행

A-35 전체 임직원 및 외부자에 대하여 정보보호 교육 및 훈련 수행 관리적 분야 > 8. 교육 및 훈련A-35p.75-77 관련 조직정보보호 부서세부 설명정보보호 교육에 대한 연간 교육 계획 수립, 교육 대상과 이수 시간 등은 관계 법규에 따르며 정보보호 교육 대상에 대하여 연 1회 이상 교육훈련을 수행하여야 한다.정보보호 교육내용은 정보보호 중요성, 보안사고사례 및 대응방안, 관련 법률, 내부 보안규정 및 절차에 따른 역할과 책임, 법적 책임 등 필요한 내용을 모두 포함하여야 한다.정보보호 교육방법은 집합식, 서면, 온라인 등의 방법 중 적절한 방법을 정하여 교육 참여여부를 확인할 수 있는 증적(예: 참석자 서명, 온라인교육 로그, 수료증 등)을 교육시행 근거로 확보하여야 한다.고려..

A-34 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시

A-34 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시 관리적 분야 > 8. 교육 및 훈련A-34p.73-75 관련 조직정보보호 부서세부 설명정보보호 교육 대상(예: 임직원 및 외주용역인원 포함)에 대하여 연 1회 이상 교육훈련을 위한 연간 계획을 수립하여야 한다. 이 경우 개인정보 보호교육과 같은 법정 교육 또한 해당 연간 계획에 포함한다.연간 정보보호 교육 계획은 교육의 시기, 기간, 대상, 내용, 방법 등의 내용을 구체적으로 포함하여 교육 계획을 수립하고 경영진의 승인을 받아야 한다.고려 사항정보보호 인식제고를 위한 연간 정보보호 교육 계획서의 내용에는 다음 사항을 고려할 수 있다.※ 연간 정보보호 교육 계획서 고려사항 (예시) - 근거 법규 :..

A-33 외부자의 계약만료, 업무 종료, 담당자 변경 시 자산 반납, 접근권한 삭제 및 비밀유지 확약서 작성 등이 이루어질 수 있도록 보안대책을 수립·이행

A-33 외부자의 계약만료, 업무 종료, 담당자 변경 시 자산 반납, 접근권한 삭제 및 비밀유지 확약서 작성 등이 이루어질 수 있도록 보안대책을 수립·이행 관리적 분야 > 7. 외부자보안A-33p.71-73 관련 조직정보보호 부서, 인사 부서세부 설명외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 자산 반납, 정보시스템 접근권한 삭제, 중요정보 파기, 비밀유지 확약서 징구 등이 적시에 이루어질 수 있도록 보안대책을 수립·이행하여야 한다.고려 사항담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보공유 방안 마련 방안을 마련하여야 한다.외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는..

A-32 외부자의 보안 관련 사항 위반이나 침해사고 발생 시, 이에 따른 조치 수행

A-32 외부자의 보안 관련 사항 위반이나 침해사고 발생 시, 이에 따른 조치 수행 관리적 분야 > 7. 외부자보안A-32p.69-71 관련 조직정보보호 부서, 인사 부서세부 설명외부자가 법령과 규제 및 내부정책에 따른 정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하여야 한다.정보보호에 관한 책임사항, 책임범위, 보안대책, 위반 시 손해배상 책임, 누출금지 대상정보 등을 계약서에 기록하고, 보안 위반 사항 적발 또는 침해사고 발생 시, 경위 확인 후 위규처리 기준에 따라 조치한 뒤 재발방지 대책을 요구하여야 한다.고려 사항외부자에 대한 점검 또는 감사 결과를 공유하고 발견된 문제점에 대하여 개선계획 및 재발방지 대책을 수립·이행하고 개선 조치 완료 여부에 대한 이행점검을 ..

A-31 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 요구사항을 준수하고 있는지 주기적으로 점검

A-31 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 요구사항을 준수하고 있는지 주기적으로 점검 관리적 분야 > 7. 외부자보안A-31p.67-69 관련 조직정보보호 부서, 인사 부서세부 설명기반시설에 접근하는 외주용역 등의 외부자에 대해 계약서, 협정서, 내부정책에 명시된 정보보호 요구사항에 따라 보안관리가 이루어지는지 주기적으로 점검 및 감사를 수행하고 그 결과를 보고하여야 한다.외주용역은 정보화 사업 이외에도 기반시설에 대한 공사, 유지보수 등의 사업도 포함되어야 한다.외주용역 보안관리 기준은 관계 법규에서 정하는 기준을 따르되 만약 해당 기준이 정의되어 있지 않다면 참고 자료 등을 활용하여 자체적인 외주용역 보안관리 기준을 수립하고 이를 바탕으로 점검을 수행할 수 있다...