ISMS 세부점검항목별 OCI보안기능

ISMS를 취득하기 위해서는 1.관리체계 수립 및 운영과 2. 보호대책요구사항의 점검항목을 통해 인증받을 수 있다.

이 중 1.관리체계 수립 및 운영은 기업내 정보보호관리체계에 대한 내용이므로 이 글에서 다루지 않는다.

2. 보호대책요구사항

==========================================

2.1 정책, 조직, 자산 관리

• 2.1.3 정보자산 관리
  1. 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
  > Billing & Cost Management > Cost Management > Cost Analysis 메뉴에서 현재 사용중인 Resource를 조회하고 다운로드 할 수 있습니다

2.2 인적 보안

• 2.3.3 외부자 보안이행관리
  1. 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
  > OCI 인증관련 참조
  https://www.oracle.com/corporate/cloud-compliance/

2.3 외부자 보안 
> 기업내 정보보호관리체계에서 처리

2.4 물리 보안 
> OCI리전 내부에 접근불가

2.5 인증 및 권한관리 

• 2.5.3 사용자 인증
  1. 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
  > Compute에 접속시에도 MFA제공
  https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/enable-multi-factor-authentication-authenticate-linux.html

2.6 접근통제

• 2.6.1 네트워크 접근
  1. 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
  > OCI IAM을 통해 인프라 접근에 대한 권한관리
  2. 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
  > OCI IAM과 Compartment를 통해 User별 접근통제가능
  3. 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
  > OCI VCN의 Public, Private Subnet 설정
  4. 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?
  > On Prem환경과 VPN과 전용선을 통한 연결지원. 
• 2.6.2 정보시스템 접근
  1. 서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에  접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
  > Security List, Network Security Groups으로 IP기반 접근통제
  > WAF를 통해 IP, 접속국가, URL, Http Header 정보기반으로 접근통제
  > Bastion Service: Private Subnet내 Instance에 접속가능한 일시적 세션생성
  2. 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
  > 기업내 정보보호관리체계
  3. 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
  > 기업내 Application기능에서 제공
  4. 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?
  > Bare Metal Instance 제공
• 2.6.3 응용프로그램 접근
  > 기업내 Application기능에서 제공
• 2.6.4 데이터베이스 접근
  1. 데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?
  > 기업내 정보보호관리체계
  2. 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
  > OCI는 IP기반 접근제어 제공
  > 접근제어기능: Oracle Database Vault(Entrprise Edition High Performance  부터가능)
  > OCI에서는 데이터보안을 위한 통합된 Cloud Service로 Data Safe를 제공
  
  ※ Data Safe: 데이터보안을 위한 통합된 Cloud Service
  -  Security Assessment: DB에 대한 보안위험평가
  -  User Assessment: DB사용자의 권한 및 작업등을 토대로한 위험정도측정
  -  Activity Auditing: 보안위험이 높은 사용자에 대한 감사
  -  Sensitive Data Discovery: DB에 민감정보가 저장되어 있을 경우 저장위치 확인
  -  Sensitive Data Masking: 민감정보 유출방지를 위한 마스킹
  
  ※ 2.6.4 데이터베이스 접근을 위해 요구사는 증적자료
  - 데이터베이스 현황(테이블, 컬럼 등)
  - 데이터베이스 접속자 계정/연한 목록
  - DB접근제어 정책(DB접근제어시스템 관리화면 등)
  - 네트워크 구성도(DB존 등)
  - 정보자산 목록
  
  
• 2.6.5 무선 네트워크 접근
  > 기업내 정보보호관리체계
• 2.6.6 원격접근 통제
  1. 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
  > On Prem환경과 VPN과 전용선을 통한 연결지원
  > Bastion Service: Private Subnet내 Instance에 접속가능한 일시적 세션생성
  > NAT Gateway: 내부에서 외부로의 접속만 허용
  > Service Gateway: OCI내 Resource에 대해 Private방식으로 접속
  2. 내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
  > Bastion Service: Private Subnet내 Instance에 접속가능한 일시적 세션생성
  3. '재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립‧이행하고 있는가?
  > 기업내 정보보호관리체계
  4. 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
  > 기업내 정보보호관리체계
• 2.6.7 인터넷 접속 통제
  1. 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립‧이행하고 있는가?
  > 기업내 정보보호관리체계
  2. 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
  > OCI의 VCN은 GW를 통해서 외부인터넷과의 접속 통제가능
  3. 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?
  > 여기서 말하는 망분리는 개인정보취급자의 컴퓨터에 대한 망분리를 위히하므로 OCI와 관련없음

2.7 암호화 적용

• 2.7.1 암호정책 적용
  1. 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
  > 확인중
  2. 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
  > OCI내 전송구간 암호화 제공
  > OCI KMS, Vault, TDE
• 2.7.2 암호키 관리
  1. 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립‧이행하고 있는가?
  > OCI KMS 제공
  2. '암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
  > OCI KMS 제공

2.8 정보시스템 도입 및 개발 보안

• 2.8.1 보안 요구사항 정의
  > 기업내 정보보호관리체계
• 2.8.2 보안 요구사항 검토 및 시험
  > 기업내 정보보호관리체계
• 2.8.3 시험과 운영 환경 분리
  1. 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
  > 정보시스템을 위한 다양한 Resource를 필요에 대한 분리가능
  2. '불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?
  > 기업내 정보보호관리체계
• 2.8.4 시험 데이터 보안
  1. 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
  > Data Safe의 Data Masking 기능 제공
  2. 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립∙이행하고 있는가?
  > 기업내 정보보호관리체계
• 2.8.5 소스 프로그램 관리
  > 기업내 정보보호관리체계
• 2.8.6 운영환경 이관
  > 기업내 정보보호관리체계

2.9 시스템 및 서비스 운영관리

2.10 시스템 및 서비스 보안관리

2.11 사고 예방 및 대응

2.12 재해복구

 

 

개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.