제공된 정보에 따르면, 이는 고도의 보안 수준(복잡성 1에서 7까지)을 가진 정보 시스템에 대한 기술적 및 관리적 요구 사항입니다. 다음은 주요 기술 요구 사항 요약입니다:
Đối tượng áp dụng
정보 시스템은 기능에 따라 여러 개의 독립적인 네트워크 영역으로 설계되어야 합니다. 특히 국가 비밀 정보를 처리하는 고도의 보안 수준을 가진 정보 시스템.
Các điểm cốt lõi
- 시스템 설계 요구 사항:
- 기능에 따라 네트워크 영역을 설계합니다(예: 내부 네트워크, 경계, DMZ 등). - 원격 접근 관리와 네트워크 영역 간의 보안을 보장합니다. - 네트워크 장비에 대한 부하 분산 및 예비를 보장합니다. - 데이터베이스 서버를 전문 방화벽으로 보호해야 하는 경우 해당 방화벽을 사용합니다. - 네트워크 환경에서 악성 소프트웨어 필터링. - 서비스 거부 공격(DoS) 방지. - 웹 애플리케이션 보호. - 이메일 시스템 보안 관리. - 중앙 모니터링 및 보안 이벤트 분석.
- 시스템 설정 및 구성 요구 사항:
- 외부 및 내부 네트워크 접근 제어. - 시스템 로그 기록. - 침입 방지. - 악성 소프트웨어 보호. - 서버 전환 시 처리. - 애플리케이션 및 소스 코드 보안 보장.
- 관리 요구 사항:
- 정보 시스템 보안 설계. - 위탁 소프트웨어 개발. - 시스템 테스트 및 인증. - 시스템 운영 관리(네트워크, 서버, 데이터, 단말기 포함). - 정보 보안 리스크 관리.
- 방안:
- 정보 보안 리스크 관리. - 운영 종료, 시스템 폐쇄, 청산, 폐기.
🌐 Tác động xã hội từ văn bản này
- 이러한 요구 사항 준수는 정보 시스템을 사이버 보안 위협으로부터 보호하고 데이터의 무결성을 보장합니다.
- 리스크 관리 및 운영 종료 방안은 사고 발생 시 부정적인 영향을 최소화하는 데 중요한 역할을 합니다.
❓ Câu hỏi thường gặp
왜 독립적인 네트워크 영역을 설계해야 합니까?
이러한 설계는 시스템을 더 작은 부분으로 분할하여 관리하고 보호하기 쉽습니다.
지리적 대체 방안은 무엇인가요?
이것은 특정 위치에서 사고가 발생했을 때 시스템의 가용성을 보장하기 위해 다른 지리적 위치에 시스템을 배치하는 것입니다.
Toàn văn
|
통신 및 방송부 |
사회주의 공화국 베트남 독립 - 자유 - 행복 |
| 번호: 12/2022/TT-BTTTT | 하노이, 2022년 8월 12일 |
세부 규정 및 지침을 제정하고
2016년 7월 1일 국무총리령 제85호에 따른 등급별 정보 시스템 안전 보장을 위한 세부 규정 및 지침을 제정함에 있어
등급별 정보 시스템 안전 보장에 관한
2015년 11월 19일 정보통신망 이용 촉진 및 정보보호 등에 관한 법률;
정부가 2016년 7월 1일 제정한 제85/2016/NĐ-CP 호치민 시 정부에 대한 정보 시스템의 보안 수준에 따른 보안 확보에 관한 법률 시행령;
정부가 2022년 7월 26일 제정된 '통신 및 방송부의 기능, 임무, 권한 및 조직 구조에 관한 규정' 제48/2022/NĐ-CP 호를 근거로 함;
정보안전국장의 요청에 따라
정보통신부 장관은 국무총리령 제85호에 따른 등급별 정보 시스템 안전 보장을 위한 세부 규정 및 지침을 제정함에 있어 통합규칙을 발포한다.
장 1
일반규정
조 1. 적용범위
본 통합규칙은 등급별 정보 시스템 안전 보장을 위한 세부 규정 및 지침을 제정하고, 이를 포함하며: 정보 시스템의 식별 및 등급별 정보 시스템 안전 수준 설명; 등급별 정보 시스템 안전 보장 요구 사항; 정보 보안 검사 및 평가; 보고 체계.
조 2. 적용대상
본 통합규칙의 적용 대상은 2016년 7월 1일 국무총리령 제85호에 따른 등급별 정보 시스템 안전 보장에 관한 규정(이하 "국무총리령 제85호"라고 함) 제2조에서 정한 바에 따라 적용된다.
조 3. 용어 해석
본 통지에서 사용되는 용어는 다음과 같이 해석됨.
1. 예비운영능력 설비가 고장으로 인해 기능을 대체할 수 있는 능력을 의미하며, 이는 시스템 운영을 중단시키지 않는다.
2. 주요 네트워크 장비 또는 중요한 네트워크 장비 시스템 내에서 미리 계획되지 않은 중단으로 전체 정보 시스템 운영이 중단되는 장비를 말한다. 주요 네트워크 장비 구성은 시스템의 등급에 따라 최소한 중앙 스위치 또는 동등 장비, 중앙 방화벽, 웹 애플리케이션 방화벽, 중앙 저장 시스템, 데이터베이스 방화벽을 포함한다.
조 4. 정보 시스템 관리자
1. 각 부처, 정부 직속 기관, 지방자치단체, 정보 시스템 관리자는 다음 중 하나로 결정된다:
가) 각 부처, 정부 직속 기관, 지방자치단체;
나) 지방자치단체;
다) 정보 시스템 구축, 설치, 업그레이드, 확장 투자 결정 권한을 가진 기관. 각 부처, 정부 직속 기관, 지방자치단체는 본 조항의 규정에 따라 정보 시스템 관리자를 결정하며, 정보 시스템 관리자에게 국무총리령 제85호 제20조의 규정을 완전히 준수할 수 있는 능력을 보장해야 한다.
2. 기업 및 기타 조직(각 부처, 정부 직속 기관, 지방자치단체가 아닌 경우), 정보 시스템 관리자는 정보 시스템 구축, 설치, 업그레이드, 확장 투자 결정 권한을 가진 기관이다.
3. 필요하다면 정보 시스템 관리자는 해당 조직이 국무총리령 제85호 제20조에 따른 정보 시스템 관리자의 책임을 수행할 수 있는 충분한 능력을 갖춘 조직에 위임할 수 있다.
정보 시스템 관리자의 책임 위임은 문서로 이루어져야 하며, 위임 범위, 위임 받는 조직의 책임, 위임 기간을 명시해야 한다.
조 5. 정보 시스템 운영 단위
1. 정보 시스템 운영 단위는 정보 시스템 관리자가 정보 시스템 운영 임무를 위탁받은 기관 또는 조직이다.
2. 정보 시스템이 여러 구성 요소 또는 분산되어 있으며 여러 정보 시스템 운영 단위가 있을 경우, 정보 시스템 관리자는 법령에 따라 정보 시스템 운영 단위의 권한과 의무를 수행하는 주도 운영 단위를 지정해야 한다.
3. IT 서비스를 계약할 경우, 정보 시스템 운영 단위는 다음과 같이 결정된다:
가) 법률에 따라 서비스 제공자를 아직 결정하지 못한 경우, 서비스 계약 주도 기관이 정보 시스템 운영 단위 역할을 수행한다.
나) 법률에 따라 서비스 제공자를 이미 결정한 경우, 정보 시스템 운영 단위는 서비스 제공자이다.
다) 서비스 제공 기간이 만료된 후에도 계약 형태로 설정된 정보 시스템이 계속 운영될 경우, 정보 시스템 운영 단위는 서비스 계약 주도 기관으로 결정된다.
조 6. 안전정보 전담부서가 시스템 정보 관리 및 운영을 맡는 경우의 등급 제출 서류 검토
안전정보 전담부서가 시스템 정보 관리 및 운영을 동시에 맡는 경우, 등급 제출 서류 검토는 다음 중 하나의 방안으로 이루어진다.
1. 안전정보 전담부서는 시스템 정보 관리자에게 해당 부서 내에서 능력을 갖춘 부서를 주도적으로 검토하도록 제출한다.
2. 안전정보 전담부서는 시스템 정보 관리자에게 독립적인 검토위원회를 설립하여 등급 제출 서류 검토를 수행하도록 제출한다.
장 II
정보 시스템 식별 및 보안 등급 설명
정보 시스템 보안 등급
조 7. 정보 시스템 식별
1. 정보 시스템을 식별하기 위한 등급 결정은 85/2016/NĐ-CP 호 정부 명령 제5조 제1항에 규정된 원칙에 따라 이루어진다.
2. 내부 활동을 지원하는 정보 시스템은 기관 또는 조직의 내부 관리와 운영을 위해만 사용되는 시스템이다.
3. 시민과 기업을 지원하는 정보 시스템은 직접 또는 간접적으로 온라인 서비스를 제공하는 시스템으로, 행정 서비스 온라인과 다른 온라인 서비스를 포함하며 통신, 정보기술, 상거래, 금융, 은행, 의료, 교육 및 기타 전문 분야에서 제공된다.
4. 정보 인프라 시스템은 여러 기관 및 조직의 공용 활동을 지원하기 위해 연결된 장비와 통신망의 집합으로, 광역망, 데이터베이스, 데이터센터, 클라우드 컴퓨팅, 전자 확인, 전자 증명, 디지털 서명, 정보 시스템 간 연계 등을 포함한다.
5. 산업 제어 정보 시스템은 건설 프로젝트의 정상 운영을 위해 중요한 항목을 감독하고 데이터를 수집하며 관리 및 제어하는 시스템이다.
6. 기타 정보 시스템은 특정 전문 분야의 기관 또는 조직의 업무, 생산, 경영 활동을 직접 지원하거나 지원하는 목적으로 사용되며, 이 조 제2항부터 제5항까지에 명시된 형태를 제외한 시스템이다.
7. 각 분기 첫날(분기 시작일), 정보 보안국(통신 및 매체부 소속)은 이 조 제2항부터 제6항까지에 따른 정보 시스템 목록을 업데이트하고 통신 및 매체부 웹사이트에 공개해야 한다.
조 8. 정보 시스템 보안 등급 설명
1. 새로운 정보 시스템을 구축하거나 확장 또는 개선하는 경우, 투자 형태와 경제-기술 보고서(투자가 단계적 설계를 적용하는 경우), 타당성 연구 보고서의 기본 설계(투자가 두 단계 설계를 적용하는 경우), IT 서비스 임대 계획(서비스 임대의 경우) 또는 IT 응용 프로그램 투자의 세부 계획(프로젝트 없이 IT 응용 프로그램 투자를 하는 경우)은 제출된 등급에 따른 보안 보장 방안 요구 사항을 충족해야 한다.
2. 등급 제출 서류 설명은 다음과 같은 구성 요소를 포함한다.
가) 정보 시스템에 대한 일반 설명;
나) 등급 제안에 대한 설명;
다) 정보 보안 보장 방안 설명.
3. 정보 시스템에 대한 일반 설명은 다음과 같은 내용을 포함한다.
가) 정보 시스템 관리자의 정보, 즉: 정보 시스템 관리자 이름; 역할, 책임 및 권한 규정; 대표자 이름 및 직위; 주소; 연락처 정보(전화번호, 이메일 포함);
나) 정보 시스템 운영자의 정보, 즉: 운영자 이름; 역할, 책임 및 권한 규정; 대표자 이름 및 직위; 주소; 연락처 정보(전화번호, 이메일 포함);
다) 정보 시스템 범위 및 규모 설명, 여기에는 시스템 범위, 규모 및 대상 사용자에 대한 설명이 포함되어야 함;
라) 현재 시스템 구조 설명(운영 중인 시스템에 대해) 또는 새로운 시스템 또는 확장, 개선된 시스템에 대한 시스템 구조 설명(시스템 로직 모델, 물리 모델, 주요 장비 및 네트워크 장비 목록(장비 이름/유형, 배치 위치, 목적), 시스템이 제공하는 애플리케이션/서비스 목록(서비스 이름, 서버 배치 위치/서버 운영 체제, 서비스 목적), 네트워크 영역 및 IP 주소 계획(네트워크 영역, 내부 IP 주소(IP Private), 공용 IP 주소(IP Public)) 포함);
4. 등급 제안에 대한 설명은 다음과 같은 내용을 포함한다.
가) 정보 시스템 목록 및 해당 등급, 즉: 정보 시스템 이름, 제안 등급, 각 정보 시스템에 대한 제안 근거;
나) 정보 시스템에 대한 세부 설명, 여기에는 처리되는 정보 유형, 시스템 유형, 각 정보 시스템에 대한 등급 제안 근거가 포함되어야 함;
5. 제안된 등급이 4 또는 5인 정보 시스템에 대한 등급 제안 설명은 이 조 제3항에 규정된 내용 외에도 다음 내용을 추가로 명확히 해야 한다.
가) 제안된 등급의 정보 시스템의 정상 운영에 중요한 영향을 미치거나 연결된 다른 정보 시스템 식별;
나) 제안된 등급의 정보 시스템에 대한 사이버 공격 위험 및 영향 설명;
다) 제안된 등급의 정보 시스템이 사이버 공격으로 인해 정보 보안이 손상되거나 운영이 중단될 때 공공 이익, 사회 질서 또는 국가 안보에 미치는 영향 범위 및 정도 평가;
d) 설명서에서 24시간 연속 운영이 필요하며 계획되지 않은 중단을 수용하지 않는 시스템 정보에 대한 요구 사항을 제시하고, 이는 2016년 제85호 정부령 제10조 제2항 및 제3항에 따른 규정에 따라 적용된다.
6. 안전 보장 방안 설명은 다음 내용을 포함해야 한다.
a) 제안된 등급에 해당하는 관리 요구 사항을 충족시키는 방안 설명
b) 제안된 등급에 해당하는 기술 요구 사항을 충족시키는 방안 설명
장 III
안전 보장 요구 사항
시스템 정보 등급별
조 9. 일반적 요구 사항
1. 시스템 정보의 등급별 안전 보장은 본 고시에서 규정된 기본 요구 사항과 국가 기술 표준 TCVN 11930:2017 "정보기술 - 안전 기술 - 시스템 정보 등급별 기본 안전 요구 사항"에 따라 이루어진다.
2. 본 고시에서 각 등급별로 규정된 기본 요구 사항은 시스템 정보의 안전 보장을 위한 최소한의 요구 사항으로, 관리 기본 요구 사항, 기술 기본 요구 사항을 포함하며 물리적 안전 보장 요구 사항은 포함하지 않는다.
3. 관리 기본 요구 사항은 다음과 같다.
a) 정보 보안 정책 설정
b) 정보 보안 보장 조직 구성
c) 인력 보장
d) 시스템 설계 및 구축 관리
đ) 시스템 운영 관리
e) 정보 보안 리스크 관리 방안
g) 시스템 종료, 운용, 폐기, 삭제 방안
4. 기술 기본 요구 사항은 다음과 같다.
a) 네트워크 보안 보장
b) 서버 보안 보장
c) 애플리케이션 보안 보장
d) 데이터 보안 보장
5. 각 등급별 기본 요구 사항을 충족시키는 정보 보안 보장 방안 작성은 2016년 제85호 정부령 제4조 제2항에서 규정된 원칙에 따라 수행되며, 구체적으로 다음과 같다.
a) 등급 1, 2, 3 시스템 정보에 대해, 정보 보안 보장 방안은 보호 솔루션 및 자원 공유를 통한 효율성 최적화, 중복 투자 및 낭비 방지를 위해 시스템 정보 간의 공동 사용 가능성을 고려해야 한다.
b) 등급 4, 5 시스템 정보에 대해, 정보 보안 보장 방안은 전체 시스템에 미치는 영향을 최소화하기 위해 시스템 또는 시스템과 관련된 부분의 정보 보안 손실 시 시스템의 가용성과 분리성을 보장하도록 설계되어야 한다.
6. 새로운 건설 또는 확장, 업그레이드를 위해 투자된 시스템 정보는 운용 및 활용 전에 승인된 등급 제출서에 명시된 정보 보안 보장 방안을 완전히 구현하고, 본 고시 제9조와 제10조의 안전 요구 사항을 충족해야 한다.
7. 시스템을 위한 정보 보안 보장 규칙은 각 시스템 정보 등급에 따른 관리 안전 요구 사항을 충족시키고, 등급 제출서 승인 전에 권한 있는 당국의 승인 및 발행을 받아야 한다.
8. 내부 소프트웨어의 정보 보안 보장 요구 사항은 새로운 건설 또는 확장, 업그레이드 시 다음과 같이 적용된다.
a) 새로운 건설 또는 확장, 업그레이드된 내부 소프트웨어는 안전 소프트웨어 개발 프레임워크를 준수해야 한다.
b) 내부 소프트웨어에 대한 기본적인 안전 요구 사항을 충족시켜야 한다.
9. 등급 3 시스템 정보가 데이터 센터 또는 클라우드 컴퓨팅에서 서비스 제공 형태로 구현되는 경우, 시스템 설계는 다음 요구 사항을 충족해야 한다.
a) 다른 시스템과 논리적으로 분리되고 독립적이며 시스템 간 접근 관리를 위한 조치가 있어야 한다.
b) 시스템 내의 네트워크 영역은 논리적으로 분리되고 독립적이며 네트워크 영역 간 접근 관리를 위한 조치가 있어야 한다.
c) 논리적으로 분리된 저장 영역 분할이 있어야 한다.
10. 등급 4 또는 등급 5 시스템 정보가 데이터 센터 또는 클라우드 컴퓨팅에서 서비스 제공 형태로 구현되는 경우, 시스템 설계는 다음 요구 사항을 충족해야 한다.
a) 다른 시스템과 물리적으로 분리되고 독립적이며 시스템 간 접근 관리를 위한 조치가 있어야 한다.
b) 시스템 내의 네트워크 영역은 논리적으로 분리되고 독립적이며 네트워크 영역 간 접근 관리를 위한 조치가 있어야 한다.
c) 물리적으로 분리된 저장 영역 분할이 있어야 한다.
d) 주 네트워크 장치는 물리적으로 분리되어야 한다.
조 10. 각 등급별 정보 보안 보장 방안
1. 등급 1 정보 시스템 보안 보장 방안은 이 통지에 첨부된 부록 I에서 세부적으로 규정한 요구 사항을 충족해야 한다.
2. 등급 2 정보 시스템 보안 보장 방안은 이 통지에 첨부된 부록 II에서 세부적으로 규정한 요구 사항을 충족해야 한다.
3. 등급 3 정보 시스템 보안 보장 방안은 이 통지에 첨부된 부록 III에서 세부적으로 규정한 요구 사항을 충족해야 한다.
4. 등급 4 정보 시스템 보안 보장 방안은 이 통지에 첨부된 부록 IV에서 세부적으로 규정한 요구 사항을 충족해야 한다.
5. 등급 5 정보 시스템 보안 보장 방안은 이 통지에 첨부된 부록 V에서 세부적으로 규정한 요구 사항을 충족해야 한다.
장 IV
정보 보안 검사 및 평가
조 11. 정보 보안 검사 및 평가에 대한 일반 규정
1. 검사 및 평가 내용:
가) 각 등급별 정보 시스템 보안 보장 법률 규정 준수 검사 및 평가
나) 정보 보안 보장 방안 승인 후의 보안 보장 조치 효과 검사 및 평가
다) 정보 시스템 내 악성코드, 취약점, 결함 발견 및 침입 시험 검사 및 평가
2. 검사 및 평가 주기:
가) 정기적인 검사 및 평가는 85/2016/NĐ-CP 처분 제20조 제2항 제c호에서 규정한 바에 따른다.
나) 긴급한 검사 및 평가는 관할 기관의 요청에 따라 이루어진다.
3. 정보 시스템 내 악성코드, 취약점, 결함 발견 및 침입 시험 검사 및 평가 방법은 다음의 세 가지 방법을 포함한다:
가) 검은 상자 검사 및 평가(Black box)
나) 회색 상자 검사 및 평가(Gray box)
다) 흰 상자 검사 및 평가(White box)
조 12. 정보 보안 검사 및 평가 내용
1. 각 등급별 정보 시스템 보안 보장 법률 규정 준수 검사 및 평가 내용은 다음과 같다:
가) 정보 시스템 관리주체에 대한 준수 검사 및 평가는 85/2016/NĐ-CP 처분 제20조에 따라 이루어지며, 다음 사항을 포함한다: 정보 시스템 관리주체의 정보 보안 전담부서 또는 정보 보안 전담부서 지정에 관한 규정 준수; 정보 시스템 관리 범위 내의 시스템에 대한 등급 제출서 작성, 심사 및 승인에 관한 규정 준수; 승인된 등급 제출서에 명시된 정보 보안 보장 방안의 실행; 정보 보안 및 정보 보안 위험 관리에 관한 규정 준수; 정보 보안 교육, 홍보, 인식 향상 및 연습에 관한 규정 준수.
나) 정보 시스템 관리주체의 정보 보안 전담부서에 대한 준수 검사 및 평가는 85/2016/NĐ-CP 처분 제21조에 따라 이루어지며, 다음 사항을 포함한다: 정보 보안 관련 업무 지원, 실행, 촉진, 검사 및 감독; 등급 제출서에 대한 심사 및 승인 또는 전문적 의견 제공.
다) 정보 시스템 운영주체에 대한 준수 검사 및 평가는 85/2016/NĐ-CP 처분 제22조에 따라 이루어진다.
라) 승인된 정보 보안 보장 방안에 따른 보안 보장 조치 실행 조직화 검사 및 평가.
2. 승인된 정보 보안 보장 방안에 따른 보안 보장 조치 효과 검사 및 평가 내용은 다음과 같다:
가) 승인된 정보 보안 보장 방안에 따른 정보 보안 관리 규정의 완전성 및 적합성 검사
나) 정보 보안 관리 규정 준수 검사 및 평가는 정보 시스템의 운영, 활용, 종료 또는 폐기 과정에서 이루어진다.
다) 승인된 정보 보안 보장 방안에 따른 시스템 설계 검사 및 평가
라) 승인된 정보 보안 보장 방안에 따른 시스템 설정 및 구성 검사 및 평가
마) 정보 시스템 장비, 운영 체제, 응용 프로그램, 데이터베이스 및 기타 관련 요소에 대한 보안 강화 설정 검사
3. 정보 시스템 내 악성코드, 취약점, 결함 발견 및 침입 시험 검사 및 평가 내용은 다음과 같다:
가) 정보 시스템 내 악성코드, 취약점, 결함 발견 및 침입 시험 스캔
나) 내부 소프트웨어의 코드 보안 검사
다) 검사 및 평가 결과 미흡으로 판명된 취약점 및 결함에 대한 처리 방안 및 보안 강화 설정 방안 제시
장 V
보고 제도
조 13. 보고 제도에 관한 일반 규정
1. 보고의 전송 및 수령 방법:
가) 문서 관리 시스템을 통해 전송
나) 정보통신부가 구현한 보고 프로그램을 통해 전송
다) 이메일을 통해 전송
다) 법률이 정한 다른 방법
2. 보고의 주기:
가) 연간 정기 보고
나) 관련 기관의 요청에 따라 비상 보고
3. 연간 정기 보고의 데이터 마감 기간:
보고 기간의 직전 연도 12월 15일부터 해당 보고 기간의 12월 14일까지
4. 연간 정기 보고의 제출 기한:
가) 정보보호 전담 부서와 정보 시스템 운영 부서는 매년 12월 20일 이전에 정보 시스템 관리자에게 보고를 제출해야 함
나) 정보 시스템 관리자는 매년 12월 25일 이전에 정보통신부에 보고를 제출해야 함
조 14. 보고 내용
1. 정보 시스템 관리자, 정보보호 전담 부서, 운영 부서에 대한 일반 정보: 정보 시스템 관리자, 정보보호 전담 부서, 운영 부서의 이름; 기능, 임무, 권한 규정; 대표자, 직위; 주소; 연락처(전화번호, 이메일 포함)
2. 관리 범위 내의 정보 시스템 목록: 시스템 이름, 운영 부서, 등급 제안 수준
3. 등급 제안서 승인된 정보 시스템 목록
4. 등급 승인된 보안 방안에 따른 보안 조치를 완전히 구현한 시스템, 일부 구현한 시스템 또는 아직 구현하지 않은 시스템 목록
5. 정보보호 규칙이 적용된 시스템 목록
6. 운영 과정에서 정보보호 규칙과 절차를 준수한 시스템 목록
7. 규정에 따라 검사 및 평가를 받은 시스템 목록
8. 등급 제안서 승인된 보안 방안에 따른 보안 조치의 구현 평가(각 기준 및 요구 사항별로)
9. 등급 제안서 승인 결정, 보안 방안 승인 결정 정보(기준 및 요구 사항 충족 여부; 미충족 시 완료 계획 또는 일정)
10. 정보보호 규칙 발령 및 정보보호 규칙 정보
11. 관련 기관의 요구에 따른 기타 정보
장 6
조직 및 실행
조 15. 새로운 시스템 또는 확장, 업그레이드 시스템의 등급 제안서 승인 시점
정보보호 등급 제안서는 경제기술보고서 또는 설계기초보고서 승인 전에 권한 있는 기관에 의해 승인되어야 함(타당성 연구 보고서 또는 IT 서비스 구매 계획 또는 세부 예산안 포함)
조 16. 이행 조항
1. 현재 운영 중인 시스템으로, 본 고시 시행 이전에 등급이 승인된 경우: 정보 시스템 관리자는 이미 승인된 등급 제안서와 보안 방안을 검토하고, 필요하다면 등급 제안서와 보안 방안을 수정하고 재승인해야 함(2023년 6월 이전에 완료)
2. 현재 운영 중이지만 등급 제안서가 승인되지 않은 시스템: 등급 제안서 작성, 검토, 승인 및 승인된 보안 방안에 따라 정보보호 조치를 구현해야 함(정보통신부 고시 제03/2017/TT-BTTTT 2017년 4월 24일에 따른 정보보호 등급 제안서 작성 및 승인 지침에 따라, 본 고시와 일치하도록 하여, 본 고시 시행 시 다시 등급 제안서 작성 및 승인 과정을 거치지 않도록 함)
조 17. 효력 및 시행 책임
1. 본 고시는 2022년 10월 1일부터 효력 발생하며, 정보통신부 고시 제03/2017/TT-BTTTT 2017년 4월 24일에 따른 정보통신부 고시를 대체함(정부 고시 제85/2016/NĐ-CP 2016년 7월 1일에 따른 정보보호 등급에 따른 정보시스템 보안 지침에 대한 세부 지침 및 안내)
2. 본 고시 시행 중 문제 발생 시, 관련 기관은 정보통신부(정보보호국)와 협력하여 해결해야 함./
|
수신처: - 총리 및 부총리 (참고); - 중앙당 사무국 및 각 당 부서; - 총비서실; - 의회 사무실; - 국가주석실; - 각 부처, 부처급 기관, 정부 소속 기관; - 최고인민법원; - 최고검찰청;   - 국가회계감사원 - 중앙 단체 기관; - 중앙정부 직속 성/도 인민위원회; - 법제처 검토국 - 지방 통신청 - 공보, 정부 정보전자 홈페이지; - 정보통신부: 장관 및 차관; 정보통신부 소속 기관 및 단체; 전자정부 포털; - 보관: VT, CATTT (230). |
장관 (서명) Nguyễn Mạnh Hùng
|
부록 I
정보시스템 보안 보장 기본 요건
등급 1 정보시스템에 대한 요구사항
(정보통신부 고시 제 /2022/TT-BTTTT
2022년 월 일 공포)
I. 관리 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
정보보호 정책 설정 |
절 5.1.1 |
|
1.1.1 |
정보 보안 정책 |
절 5.1.1.1 |
|
1.1.2 |
제정 및 공표 |
절 5.1.1.2 |
|
1.1.3 |
검토 및 수정 |
절 5.1.1.3 |
|
1.2 |
정보 보안을 담당하는 조직 |
목 5.1.2 |
|
1.2.1 |
전담 부서 |
절 5.1.2.1 |
|
1.2.2 |
관련 권한 기관/단체와 협력 |
절 5.1.2.2 |
|
1.3 |
인적 자원 확보 |
절 5.1.3 |
|
1.3.1 |
채용 |
절 5.1.3.1 |
|
1.3.2 |
업무 중 |
절 5.1.3.2 |
|
1.3.3 |
업무 종료 또는 변경 |
절 5.1.3.3 |
|
1.4 |
시스템 설계 및 구축 관리 |
절 5.1.4 |
|
1.4.1 |
정보 시스템 안전 설계 |
절 5.1.4.1 |
|
1.4.2 |
시스템 테스트 및 인수 |
절 5.1.4.2 |
|
1.5 |
시스템 운영 관리 |
절 5.1.5 |
|
1.5.1 |
네트워크 보안 관리 |
절 5.1.5.1 |
|
1.5.2 |
서버 및 애플리케이션 보안 관리 |
절 5.1.5.2 |
|
1.5.3 |
데이터 보안 관리 |
절 5.1.5.3 |
|
1.6 |
정보 보안 리스크 관리 방안 |
|
|
1.7 |
운영 종료, 폐기, 소각 방안 |
|
2. 기술 요구사항
1. 시스템 설계 요구사항
a) 시스템 내부의 네트워크 영역을 기능별로 설계하며, 최소한 다음 네트워크 영역을 포함해야 한다.
i. 내부 네트워크 영역;
ii. 边界网络区域;
iii. DMZ区域。
b) 다음 요구 사항을 충족하기 위한 설계 방안을 마련해야 한다.
i. 가상 전용망(VPN) 또는 동등한 방법을 사용하여 원격 시스템 접근 및 관리 방안을 마련해야 한다;
ii. 방화벽 제품을 사용하거나 동등한 방법을 사용하여 네트워크 영역 간 접근 및 침입 방지를 위한 방안을 마련해야 한다;
iii. 악성코드 방지 제품을 사용하거나 동등한 방법을 사용하여 서버 및 클라이언트 장치에 대한 악성코드 방지를 위한 방안을 마련해야 한다.
2. 시스템 설정 및 구성 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
네트워크 보안 보장 |
절 5.2.1 |
|
1.1.1 |
외부 네트워크로부터의 접근 제어 |
절 5.2.1.2 |
|
1.1.2 |
시스템 로그 |
절 5.2.1.3 |
|
1.1.3 |
침입 방지 |
절 5.2.1.4 |
|
1.1.4 |
시스템 장비 보호 |
절 5.2.1.5 |
|
1.2 |
서버 보안 보장 |
절 5.2.2 |
|
1.2.1 |
인증 |
절 5.2.2.1 |
|
1.2.2 |
접근 제어 |
절 5.2.2.2 |
|
1.2.3 |
||| 시스템 로그 |
절 5.2.2.3 |
|
1.2.4 |
침입 방지 |
절 5.2.2.4 |
|
1.2.5 |
악성 프로그램 방지 |
절 5.2.2.5 |
|
1.3 |
애플리케이션 보안 보장 |
절 5.2.3 |
|
1.3.1 |
인증 |
절 5.2.3.1 |
|
1.3.2 |
접근 제어 |
절 5.2.3.2 |
|
1.3.3 |
시스템 로그 |
절 5.2.3.3 |
|
1.4 |
데이터 보안 보장 |
절 5.2.4 |
|
1.4.1 |
백업 |
절 5.2.4.1 |
일부 부록 대체
정보시스템 보안 보장 기본 요건
정보 시스템 등급 2에 대한
(통합문서 번호 /2022/TT-BTTTT
2022년 월 일 공포)
I. 관리 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
정보보호 정책 설정 |
절 6.1.1 |
|
1.1.1 |
정보 보안 정책 |
절 6.1.1.1 |
|
1.1.2 |
제정 및 공표 |
절 6.1.1.2 |
|
1.1.3 |
검토 및 수정 |
절 6.1.1.3 |
|
1.2 |
정보 보안을 담당하는 조직 |
절 6.1.2 |
|
1.2.1 |
전담 부서 |
절 6.1.2.1 |
|
1.2.2 |
관련 권한 기관/단체와 협력 |
절 6.1.2.2 |
|
1.3 |
인적 자원 확보 |
절 6.1.3 |
|
1.3.1 |
채용 |
절 6.1.3.1 |
|
1.3.2 |
업무 중 |
절 6.1.3.2 |
|
1.3.3 |
업무 종료 또는 변경 |
절 6.1.3.3 |
|
1.4 |
시스템 설계 및 구축 관리 |
절 6.1.4 |
|
1.4.1 |
정보 시스템 안전 설계 |
절 6.1.4.1 |
|
1.4.2 |
수주 개발 소프트웨어 |
절 6.1.4.2 |
|
1.4.3 |
시스템 테스트 및 인수 |
절 6.1.4.3 |
|
1.5 |
시스템 운영 관리 |
절 6.1.5 |
|
1.5.1 |
네트워크 보안 관리 |
절 6.1.5.1 |
|
1.5.2 |
서버 및 애플리케이션 보안 관리 |
절 6.1.5.2 |
|
1.5.3 |
데이터 보안 관리 |
절 6.1.5.3 |
|
1.5.4 |
정보 보안 사고 관리 |
절 6.1.5.4 |
|
1.5.5 |
사용자 단말 보안 관리 |
절 6.1.5.5 |
|
1.6 |
정보 보안 리스크 관리 방안 |
|
|
1.7 |
운영 종료, 폐기, 소각 방안 |
|
2. 기술 요구사항
1. 시스템 설계 요구사항
a) 시스템 내부의 네트워크 영역을 기능별로 설계하며, 최소한 다음 네트워크 영역을 포함해야 한다.
i. 내부 네트워크 영역;
ii. 边界网络区域;
iii. DMZ 영역;
iv. 내부 서버 영역;
v. 분리된 무선 네트워크 영역(있을 경우)는 다른 네트워크 영역과 독립적으로 설치되어야 한다.
b) 다음 요구 사항을 충족하기 위한 설계 방안을 마련해야 한다.
i. 가상 전용망(VPN) 또는 동등한 방법을 사용하여 원격 시스템 접근 및 관리 방안을 마련해야 한다;
ii. 방화벽 제품을 사용하거나 동등한 방법을 사용하여 네트워크 영역 간 접근 및 침입 방지를 위한 방안을 마련해야 한다;
iii. 악성코드 방지 제품을 사용하거나 동등한 방법을 사용하여 서버 및 클라이언트 장치에 대한 악성코드 방지를 위한 방안을 마련해야 한다;
iv. 웹 애플리케이션 공격 방지를 위한 방안을 마련하고, 웹 애플리케이션 방화벽 제품을 사용하여 정보 시스템에 대한 웹 애플리케이션 방화벽을 설정해야 한다(국가정보화진흥법 시행령 제8조 제2항에 따른 정보 시스템에 한함);
v. 이메일 시스템에 대한 정보 보안을 보장하기 위한 방안을 마련해야 한다;
vi. 주요 네트워크 장비에 대한 예비 장비를 마련해야 한다. 이는 중심 스위치 또는 동등한 장비, 중심 방화벽 장비를 포함한다.
2. 시스템 설정 및 구성 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
네트워크 보안 보장 |
절 6.2.1 |
|
1.1.1 |
외부 네트워크로부터의 접근 제어 |
절 6.2.1.2 |
|
1.1.2 |
내부 네트워크로부터의 접근 제어 |
절 6.2.1.3 |
|
1.1.3 |
시스템 로그 |
절 6.2.1.4 |
|
1.1.4 |
침입 방지 |
절 6.2.1.5 |
|
1.1.5 |
시스템 장비 보호 |
절 6.2.1.6 |
|
1.2 |
서버 보안 보장 |
절 6.2.2 |
|
1.2.1 |
인증 |
절 6.2.2.1 |
|
1.2.2 |
접근 제어 |
절 6.2.2.2 |
|
1.2.3 |
||| 시스템 로그 |
절 6.2.2.3 |
|
1.2.4 |
침입 방지 |
절 6.2.2.4 |
|
1.2.5 |
악성 프로그램 방지 |
절 6.2.2.5 |
|
1.2.6 |
주체 이관 시 서버 처리 |
절 6.2.2.6 |
|
1.3 |
애플리케이션 보안 보장 |
절 6.2.3 |
|
1.3.1 |
인증 |
절 6.2.3.1 |
|
1.3.2 |
접근 제어 |
절 6.2.3.2 |
|
1.3.3 |
시스템 로그 |
절 6.2.3.3 |
|
1.3.4 |
응용 프로그램 및 소스 코드 보안 |
절 6.2.3.4 |
|
1.4 |
데이터 보안 보장 |
절 6.2.4 |
|
1.4.1 |
데이터 보호 |
절 6.2.4.1 |
|
1.4.2 |
백업 |
절 6.2.4.2 |
부록 III
정보시스템 보안 보장 기본 요건
정보 시스템 등급 3에 대한
(통합문서 번호 /2022/TT-BTTTT
2022년 월 일 공포)
I. 관리 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
정보보호 정책 설정 |
절 7.1.1 |
|
1.1.1 |
정보 보안 정책 |
절 7.1.1.1 |
|
1.1.2 |
제정 및 공표 |
절 7.1.1.2 |
|
1.1.3 |
검토 및 수정 |
절 7.1.1.3 |
|
1.2 |
정보 보안을 담당하는 조직 |
절 7.1.2 |
|
1.2.1 |
전담 부서 |
절 7.1.2.1 |
|
1.2.2 |
관련 권한 기관/단체와 협력 |
절 7.1.2.2 |
|
1.3 |
인적 자원 확보 |
절 7.1.3 |
|
1.3.1 |
채용 |
절 7.1.3.1 |
|
1.3.2 |
업무 중 |
절 7.1.3.2 |
|
1.3.3 |
업무 종료 또는 변경 |
절 7.1.3.3 |
|
1.4 |
시스템 설계 및 구축 관리 |
절 7.1.4 |
|
1.4.1 |
정보 시스템 안전 설계 |
절 7.1.4.1 |
|
1.4.2 |
수주 개발 소프트웨어 |
절 7.1.4.2 |
|
1.4.3 |
시스템 테스트 및 인수 |
절 7.1.4.3 |
|
1.5 |
시스템 운영 관리 |
절 7.1.5 |
|
1.5.1 |
네트워크 보안 관리 |
절 7.1.5.1 |
|
1.5.2 |
서버 및 애플리케이션 보안 관리 |
절 7.1.5.2 |
|
1.5.3 |
데이터 보안 관리 |
절 7.1.5.3 |
|
1.5.4 |
단말기 보안 관리 |
절 7.1.5.4 |
|
1.5.5 |
악성코드 방지 관리 |
절 7.1.5.5 |
|
1.5.6 |
정보 시스템 안전 감시 관리 |
절 7.1.5.6 |
|
1.5.7 |
정보 보안 취약점 관리 |
절 7.1.5.7 |
|
1.5.8 |
정보 보안 사고 관리 |
절 7.1.5.8 |
|
1.5.9 |
사용자 단말 보안 관리 |
절 7.1.5.9 |
|
1.6 |
정보 보안 리스크 관리 방안 |
|
|
1.7 |
운영 종료, 폐기, 소각 방안 |
|
2. 기술 요구사항
1. 시스템 설계 요구사항
a) 시스템 내부의 네트워크 영역을 기능별로 설계하며, 최소한 다음 네트워크 영역을 포함해야 한다.
i. 내부 네트워크 영역;
ii. 边界网络区域;
iii. DMZ 영역;
iv. 내부 서버 영역;
v. 무선 네트워크 영역(있을 경우)는 다른 네트워크 영역과 분리되어 독립적으로 운영되도록 함;
vi. 데이터베이스 서버 네트워크 영역;
vii. 관리 영역.
b) 다음 요구 사항을 충족하기 위한 설계 방안을 마련해야 한다.
i. 원격 시스템 관리 및 제어를 위한 가상 전용망(VPN) 또는 동등한 방법을 사용하는 접근 관리 계획을 수립하고, 국가 비밀 정보 처리 시스템 또는 법령 제85/2016/NĐ-CP 제9조 제2항 c 점에 따른 시스템은 가상 전용망 제품을 사용함;
ii. 네트워크 영역 간 접근 및 침입 방지를 위해 방화벽 제품을 사용하거나 방화벽 제품을 통합하여 네트워크 침입 방지 기능을 제공함;
iii. 핵심 네트워크 장비에 대한 로드 밸런싱 및 즉시 대체를 위한 계획을 수립하며, 최소한 중앙 스위치 또는 동등한 장비, 중앙 방화벽, 웹 애플리케이션 방화벽, 중앙 저장 시스템, 데이터베이스 방화벽(있을 경우)을 포함함;
iv. 데이터베이스 서버에 대한 보안을 보장하기 위한 계획을 수립하며, 법령 제85/2016/NĐ-CP 제9조 제3항에 따른 집중형 데이터베이스 시스템은 데이터베이스 방화벽 제품을 사용함;
v. 네트워크 환경에서 악성코드 필터링을 위해 네트워크 환경 악성코드 방지 기능을 통합한 방화벽 제품 또는 동등한 방법을 사용함;
vi. 서비스 공격 방지를 위한 계획을 수립하며, 데이터 센터, 클라우드 컴퓨팅 시스템, 전자 신원 확인 및 인증 시스템, 전자 서명 시스템, 데이터 연결 및 공유 시스템은 법령 제85/2016/NĐ-CP 제9조 제3항에 따른 서비스 공격 방지 제품을 사용함;
vii. 웹 애플리케이션에 대한 네트워크 공격 방지를 위해 계획을 수립하며, 법령 제85/2016/NĐ-CP 제9조 제2항에 따른 시스템은 웹 애플리케이션 방화벽 제품을 사용함;
viii. 이메일 시스템에 대한 정보 보안을 보장하기 위한 계획을 수립하며, 법령 제85/2016/NĐ-CP 제9조 제2항에 따른 이메일 시스템은 이메일 시스템 보안 제품을 사용함;
ix. 네트워크 레이어 접근을 관리하기 위한 계획을 수립하며, 내부 네트워크 시스템, 정보 보안 모니터링 센터는 법령 제85/2016/NĐ-CP 제9조 제3항에 따른 제품을 사용함;
x. 정보 시스템 모니터링을 위한 계획을 수립함;
xi. 정보 시스템 모니터링을 위해 정보 보안 이벤트 관리 및 분석 제품 또는 동등한 제품을 사용하는 계획을 수립함;
xii. 중앙 집중식 백업 및 복구를 위해 중앙 저장 시스템과 중앙 저장 관리 제품을 사용하는 계획을 수립함;
xiii. 사용자 컴퓨터 및 서버에 설치된 악성코드 방지 소프트웨어를 관리하기 위한 계획을 수립하며, 종단 장치에서 악성코드 방지 및 정보 보안 사고 탐지 및 대응 제품을 사용하며, 중앙 관리 기능을 포함함;
xiv. 정보 유출 방지를 위한 계획을 수립하며, 국가 비밀 정보 처리 시스템 또는 법령 제85/2016/NĐ-CP 제9조 제2항 c 점에 따른 시스템은 정보 유출 방지 제품을 사용함;
xv. 인터넷 연결을 위한 서비스 서버 대체 계획을 수립함;
xvi. 무선 네트워크(있을 경우)에 대한 보안을 보장하기 위한 계획을 수립함.
2. 시스템 설정 및 구성 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
네트워크 보안 보장 |
절 7.2.1 |
|
1.1.1 |
외부 네트워크로부터의 접근 제어 |
절 7.2.1.2 |
|
1.1.2 |
내부 네트워크로부터의 접근 제어 |
절 7.2.1.3 |
|
1.1.3 |
시스템 로그 |
절 7.2.1.4 |
|
1.1.4 |
침입 방지 |
절 7.2.1.5 |
|
1.1.5 |
악성 소프트웨어 방지 |
절 7.2.1.6 |
|
1.1.6 |
시스템 장비 보호 |
절 7.2.1.7 |
|
1.2 |
서버 보안 보장 |
절 7.2.2 |
|
1.2.1 |
인증 |
절 7.2.2.1 |
|
1.2.2 |
접근 제어 |
절 7.2.2.2 |
|
1.2.3 |
||| 시스템 로그 |
절 7.2.2.3 |
|
1.2.4 |
침입 방지 |
절 7.2.2.4 |
|
1.2.5 |
악성 프로그램 방지 |
절 7.2.2.5 |
|
1.2.6 |
주체 이관 시 서버 처리 |
절 7.2.2.6 |
|
1.3 |
애플리케이션 보안 보장 |
절 7.2.3 |
|
1.3.1 |
인증 |
절 7.2.3.1 |
|
1.3.2 |
접근 제어 |
절 7.2.3.2 |
|
1.3.3 |
시스템 로그 |
절 7.2.3.3 |
|
1.3.4 |
통신 정보 보안 |
절 7.2.3.4 |
|
1.3.5 |
부인 방지 |
절 7.2.3.5 |
|
1.3.6 |
응용 프로그램 및 소스 코드 보안 |
절 7.2.3.6 |
|
1.4 |
데이터 보안 보장 |
절 7.2.4 |
|
1.4.1 |
데이터 무결성 |
절 7.2.4.1 |
|
1.4.2 |
데이터 보호 |
절 7.2.4.2 |
|
1.4.3 |
백업 |
절 7.2.4.3 |
별표 4
정보시스템 보안 보장 기본 요건
제4등급 시스템에 대한
(통합문서 번호 /2022/TT-BTTTT
2022년 월 일 공포)
I. 관리 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
정보보호 정책 설정 |
절 8.1.1 |
|
1.1.1 |
정보 보안 정책 |
절 8.1.1.1 |
|
1.1.2 |
제정 및 공표 |
절 8.1.1.2 |
|
1.1.3 |
검토 및 수정 |
절 8.1.1.3 |
|
1.2 |
정보 보안을 담당하는 조직 |
절 8.1.2 |
|
1.2.1 |
전담 부서 |
절 8.1.2.1 |
|
1.2.2 |
관련 권한 기관/단체와 협력 |
절 8.1.2.2 |
|
1.3 |
인적 자원 확보 |
절 8.1.3 |
|
1.3.1 |
채용 |
절 8.1.3.1 |
|
1.3.2 |
업무 중 |
절 8.1.3.2 |
|
1.3.3 |
업무 종료 또는 변경 |
절 8.1.3.3 |
|
1.4 |
시스템 설계 및 구축 관리 |
절 8.1.4 |
|
1.4.1 |
정보 시스템 안전 설계 |
절 8.1.4.1 |
|
1.4.2 |
수주 개발 소프트웨어 |
절 8.1.4.2 |
|
1.4.3 |
시스템 테스트 및 인수 |
절 8.1.4.3 |
|
1.5 |
시스템 운영 관리 |
절 8.1.5 |
|
1.5.1 |
네트워크 보안 관리 |
절 8.1.5.1 |
|
1.5.2 |
서버 및 애플리케이션 보안 관리 |
절 8.1.5.2 |
|
1.5.3 |
데이터 보안 관리 |
절 8.1.5.3 |
|
1.5.4 |
단말기 보안 관리 |
절 8.1.5.4 |
|
1.5.5 |
악성코드 방지 관리 |
절 8.1.5.5 |
|
1.5.6 |
정보 시스템 안전 감시 관리 |
절 8.1.5.6 |
|
1.5.7 |
정보 보안 취약점 관리 |
절 8.1.5.7 |
|
1.5.8 |
정보 보안 사고 관리 |
절 8.1.5.8 |
|
1.5.9 |
사용자 단말 보안 관리 |
절 8.1.5.9 |
|
1.6 |
정보 보안 리스크 관리 방안 |
|
|
1.7 |
운영 종료, 폐기, 소각 방안 |
|
2. 기술 요구사항
1. 시스템 설계 요구사항
a) 시스템 내부의 네트워크 영역을 기능별로 설계하며, 최소한 다음 네트워크 영역을 포함해야 한다.
i. 내부 네트워크 영역;
ii. 边界网络区域;
iii. DMZ 영역;
iv. 내부 서버 영역;
v. 무선 네트워크 영역(있을 경우)는 다른 네트워크 영역과 분리되어 독립적으로 운영되도록 함;
vi. 데이터베이스 서버 네트워크 영역;
ⅵ. 관리 영역;
ⅶ. 장비 관리 영역;
b) 다음 요구 사항을 충족하기 위한 설계 방안을 마련해야 한다.
ⅰ. 안전한 원격 관리 및 관제를 위한 가상 사설망(VPN) 또는 동등한 방법을 사용하는 계획이 있어야 하며, 국가기밀 정보 처리 시스템은 가상 사설망 제품을 사용해야 함;
ii. 네트워크 영역 간 접근 및 침입 방지를 위해 방화벽 제품을 사용하거나 방화벽 제품을 통합하여 네트워크 침입 방지 기능을 제공함;
iii. 핵심 네트워크 장비에 대한 로드 밸런싱 및 즉시 대체를 위한 계획을 수립하며, 최소한 중앙 스위치 또는 동등한 장비, 중앙 방화벽, 웹 애플리케이션 방화벽, 중앙 저장 시스템, 데이터베이스 방화벽(있을 경우)을 포함함;
ⅳ. 데이터베이스 서버의 안전을 보장하기 위한 계획이 있어야 하며, 공동 데이터베이스 시스템은 85/2016/NĐ-CP 시행령 제10조 제3항에서 정한 기준을 충족하는 경우 데이터베이스 방화벽 제품을 사용해야 함;
ⅴ. 네트워크 환경에서 악성 소프트웨어를 차단하고 방지하기 위한 방화벽 제품 또는 동등한 방법을 사용하는 계획이 있어야 함;
ⅵ. 서비스 거부 공격(DDoS)을 방지하기 위한 계획이 있어야 하며, 85/2016/NĐ-CP 시행령 제10조 제2항에서 정한 시스템 또는 데이터센터, 클라우드 컴퓨팅, 전자 인증, 전자 서명, 전자 증명, 전자 결제 시스템 등은 해당 기준을 충족하는 경우 DDoS 방어 서비스나 제품을 사용해야 함;
ⅶ. 웹 애플리케이션 공격을 방지하기 위한 계획이 있어야 하며, 85/2016/NĐ-CP 시행령 제10조 제2항에서 정한 시스템 또는 데이터센터, 클라우드 컴퓨팅, 전자 인증, 전자 서명, 전자 증명, 전자 결제 시스템 등은 해당 기준을 충족하는 경우 웹 애플리케이션 방화벽 제품을 사용해야 함;
ⅷ. 이메일 시스템의 정보 보안을 보장하기 위한 계획이 있어야 하며, 이메일 시스템 보안 제품을 사용해야 함;
ⅸ. 네트워크 레이어 접근을 관리하기 위한 계획이 있어야 하며, 내부 네트워크, 네트워크 보안 관제 센터는 85/2016/NĐ-CP 시행령 제10조 제3항에서 정한 기준을 충족하는 경우 네트워크 레이어 접근 관리 제품을 사용해야 함;
ⅹ. 정보 시스템 모니터링을 위해 정보 시스템 모니터링 제품을 사용하는 계획이 있어야 함;
xi. 정보 시스템 모니터링을 위해 정보 보안 이벤트 관리 및 분석 제품 또는 동등한 제품을 사용하는 계획을 수립함;
xii. 중앙 집중식 백업 및 복구를 위해 중앙 저장 시스템과 중앙 저장 관리 제품을 사용하는 계획을 수립함;
xiii. 사용자 컴퓨터 및 서버에 설치된 악성코드 방지 소프트웨어를 관리하기 위한 계획을 수립하며, 종단 장치에서 악성코드 방지 및 정보 보안 사고 탐지 및 대응 제품을 사용하며, 중앙 관리 기능을 포함함;
ⅹⅳ. 데이터 유출을 방지하기 위한 계획이 있어야 하며, 국가기밀 정보 처리 시스템 또는 공동 데이터베이스 시스템은 해당 기준을 충족하는 경우 데이터 유출 방지 제품을 사용해야 함;
xv. 인터넷 연결을 위한 서비스 서버 대체 계획을 수립함;
ⅹⅵ. 무선 네트워크 보안을 위한 계획이 있어야 함(있을 경우);
ⅹⅶ. 특권 계정 관리를 위한 계획이 있어야 하며, 특권 계정 관리 제품을 사용해야 함;
2. 시스템 설정 및 구성 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
네트워크 보안 보장 |
절 8.2.1 |
|
1.1.1 |
외부 네트워크로부터의 접근 제어 |
절 8.2.1.2 |
|
1.1.2 |
내부 네트워크로부터의 접근 제어 |
절 8.2.1.3 |
|
1.1.3 |
시스템 로그 |
절 8.2.1.4 |
|
1.1.4 |
침입 방지 |
절 8.2.1.5 |
|
1.1.5 |
악성 소프트웨어 방지 |
절 8.2.1.6 |
|
1.1.6 |
시스템 장비 보호 |
절 8.2.1.7 |
|
1.2 |
서버 보안 보장 |
절 8.2.2 |
|
1.2.1 |
인증 |
절 8.2.2.1 |
|
1.2.2 |
접근 제어 |
절 8.2.2.2 |
|
1.2.3 |
||| 시스템 로그 |
절 8.2.2.3 |
|
1.2.4 |
침입 방지 |
절 8.2.2.4 |
|
1.2.5 |
악성 프로그램 방지 |
절 8.2.2.5 |
|
1.2.6 |
주체 이관 시 서버 처리 |
절 8.2.2.6 |
|
1.3 |
애플리케이션 보안 보장 |
절 8.2.3 |
|
1.3.1 |
인증 |
절 8.2.3.1 |
|
1.3.2 |
접근 제어 |
절 8.2.3.2 |
|
1.3.3 |
시스템 로그 |
절 8.2.3.3 |
|
1.3.4 |
통신 정보 보안 |
절 8.2.3.4 |
|
1.3.5 |
부인 방지 |
절 8.2.3.5 |
|
1.3.6 |
응용 프로그램 및 소스 코드 보안 |
절 8.2.3.6 |
|
1.4 |
데이터 보안 보장 |
절 8.2.4 |
|
1.4.1 |
데이터 무결성 |
절 8.2.4.1 |
|
1.4.2 |
데이터 보호 |
절 8.2.4.2 |
|
1.4.3 |
백업 |
절 8.2.4.3 |
부록 V
정보시스템 보안 보장 기본 요건
제5등급 시스템 정보에 대해서는
(통합문서 번호 /2022/TT-BTTTT
2022년 월 일 공포)
I. 관리 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
정보보호 정책 설정 |
절 9.1.1 |
|
1.1.1 |
정보 보안 정책 |
절 9.1.1.1 |
|
1.1.2 |
제정 및 공표 |
절 9.1.1.2 |
|
1.1.3 |
검토 및 수정 |
절 9.1.1.3 |
|
1.2 |
정보 보안을 담당하는 조직 |
절 9.1.2 |
|
1.2.1 |
전담 부서 |
절 9.1.2.1 |
|
1.2.2 |
관련 권한 기관/단체와 협력 |
절 9.1.2.2 |
|
1.3 |
인적 자원 확보 |
절 9.1.3 |
|
1.3.1 |
채용 |
절 9.1.3.1 |
|
1.3.2 |
업무 중 |
절 9.1.3.2 |
|
1.3.3 |
업무 종료 또는 변경 |
절 9.1.3.3 |
|
1.4 |
시스템 설계 및 구축 관리 |
절 9.1.4 |
|
1.4.1 |
정보 시스템 안전 설계 |
절 9.1.4.1 |
|
1.4.2 |
수주 개발 소프트웨어 |
절 9.1.4.2 |
|
1.4.3 |
시스템 테스트 및 인수 |
절 9.1.4.3 |
|
1.5 |
시스템 운영 관리 |
절 9.1.5 |
|
1.5.1 |
네트워크 보안 관리 |
절 9.1.5.1 |
|
1.5.2 |
서버 및 애플리케이션 보안 관리 |
절 9.1.5.2 |
|
1.5.3 |
데이터 보안 관리 |
절 9.1.5.3 |
|
1.5.4 |
단말기 보안 관리 |
절 9.1.5.4 |
|
1.5.5 |
악성코드 방지 관리 |
절 9.1.5.5 |
|
1.5.6 |
정보 시스템 안전 감시 관리 |
절 9.1.5.6 |
|
1.5.7 |
정보 보안 취약점 관리 |
절 9.1.5.7 |
|
1.5.8 |
정보 보안 사고 관리 |
절 9.1.5.8 |
|
1.5.9 |
사용자 단말 보안 관리 |
절 9.1.5.9 |
|
1.6 |
정보 보안 리스크 관리 방안 |
|
|
1.7 |
운영 종료, 폐기, 소각 방안 |
|
2. 기술 요구사항
1. 시스템 설계 요구사항
a) 시스템 내부의 네트워크 영역을 기능별로 설계하며, 최소한 다음 네트워크 영역을 포함해야 한다.
i. 내부 네트워크 영역;
ii. 边界网络区域;
iii. DMZ 영역;
iv. 내부 서버 영역;
v. 무선 네트워크 영역(있을 경우)는 다른 네트워크 영역과 분리되어 독립적으로 운영되도록 함;
vi. 데이터베이스 서버 네트워크 영역;
ⅵ. 관리 영역;
ⅶ. 장비 관리 영역;
b) 다음 요구 사항을 충족하기 위한 설계 방안을 마련해야 한다.
ⅰ. 네트워크 가상 사설망(VPN) 제품을 사용하여 원격 관리 및 시스템 관리 접근 방안이 있어야 한다.
ⅱ. 네트워크 레이어 보안 제품을 사용하여 네트워크 영역 간 접근 관리 및 침입 방지 방안이 있어야 한다.
ⅲ. 네트워크 장비에 대한 로드 밸런싱 및 핫 스탠바이 방안이 있어야 한다.
ⅳ. 데이터베이스 서버의 보안을 보장하기 위한 방안이 있어야 하며, 국가기밀 정보를 처리하는 시스템 정보 또는 85/2016/NĐ-CP 호 정부결정 제11조 제2항에 규정된 시스템 정보에 대해 데이터베이스 방화벽 제품을 사용해야 한다.
ⅴ. 네트워크 환경에서 악성코드를 차단하기 위한 통합 방화벽 제품 또는 동등한 방안이 있어야 한다.
ⅵ. 서비스 거부 공격(DDoS) 방지를 위한 방안이 있어야 하며, 85/2016/NĐ-CP 호 정부결정 제11조 제2항 및 제3항에 규정된 시스템 정보에 대해 DDoS 방어 서비스 또는 제품을 사용해야 한다.
ⅶ. 웹 애플리케이션 공격을 방지하기 위한 방안이 있어야 하며, 85/2016/NĐ-CP 호 정부결정 제11조 제2항에 규정된 시스템 정보에 대해 웹 애플리케이션 방화벽 제품을 사용해야 한다.
ⅷ. 이메일 시스템의 정보 보안을 보장하기 위한 방안이 있어야 하며, 이메일 시스템 보안 제품을 사용해야 한다.
ⅸ. 네트워크 레이어 접근 관리를 위한 방안이 있어야 하며, 네트워크 레이어 접근 관리 제품을 사용해야 한다.
ⅹ. 정보 시스템 모니터링을 위해 정보 시스템 모니터링 제품을 사용하는 계획이 있어야 함;
xi. 정보 시스템 모니터링을 위해 정보 보안 이벤트 관리 및 분석 제품 또는 동등한 제품을 사용하는 계획을 수립함;
xii. 중앙 집중식 백업 및 복구를 위해 중앙 저장 시스템과 중앙 저장 관리 제품을 사용하는 계획을 수립함;
xiii. 사용자 컴퓨터 및 서버에 설치된 악성코드 방지 소프트웨어를 관리하기 위한 계획을 수립하며, 종단 장치에서 악성코드 방지 및 정보 보안 사고 탐지 및 대응 제품을 사용하며, 중앙 관리 기능을 포함함;
xiv. 국가기밀 정보를 처리하거나 85/2016/NĐ-CP 호 정부결정 제11조 제2항에 규정된 시스템 정보에 대해 데이터 손실을 방지하기 위한 방안이 있어야 하며, 데이터 손실 방지 제품을 사용해야 한다.
xv. 인터넷 연결을 위한 서비스 서버 대체 계획을 수립함;
ⅹⅵ. 무선 네트워크 보안을 위한 계획이 있어야 함(있을 경우);
xvii. 특권 계정 관리를 위한 방안이 있어야 하며, 특권 계정 관리 제품을 사용해야 한다.
xviii. 서로 다른 위치에 설치된 시스템의 재해 복구를 위한 방안이 있어야 하며, 각 위치는 최소 30km 이상 떨어져 있어야 한다.
xix. 주 시스템과 재해 복구 시스템 사이의 네트워크 연결을 위한 재해 복구 방안이 있어야 한다.
2. 시스템 설정 및 구성 요구사항
|
순번 |
요구사항 |
TCVN 11930:2017 |
|
1.1 |
네트워크 보안 보장 |
절 9.2.1 |
|
1.1.1 |
외부 네트워크로부터의 접근 제어 |
절 9.2.1.2 |
|
1.1.2 |
내부 네트워크로부터의 접근 제어 |
절 9.2.1.3 |
|
1.1.3 |
시스템 로그 |
절 9.2.1.4 |
|
1.1.4 |
침입 방지 |
절 9.2.1.5 |
|
1.1.5 |
악성 소프트웨어 방지 |
절 9.2.1.6 |
|
1.1.6 |
시스템 장비 보호 |
절 9.2.1.7 |
|
1.2 |
서버 보안 보장 |
절 9.2.2 |
|
1.2.1 |
인증 |
절 9.2.2.1 |
|
1.2.2 |
접근 제어 |
절 9.2.2.2 |
|
1.2.3 |
||| 시스템 로그 |
절 9.2.2.3 |
|
1.2.4 |
침입 방지 |
절 9.2.2.4 |
|
1.2.5 |
악성 프로그램 방지 |
절 9.2.2.5 |
|
1.2.6 |
주체 이관 시 서버 처리 |
절 9.2.2.6 |
|
1.3 |
애플리케이션 보안 보장 |
절 9.2.3 |
|
1.3.1 |
인증 |
절 9.2.3.1 |
|
1.3.2 |
접근 제어 |
절 9.2.3.2 |
|
1.3.3 |
시스템 로그 |
절 9.2.3.3 |
|
1.3.4 |
통신 정보 보안 |
절 9.2.3.4 |
|
1.3.5 |
부인 방지 |
절 9.2.3.5 |
|
1.3.6 |
응용 프로그램 및 소스 코드 보안 |
절 9.2.3.6 |
|
1.4 |
데이터 보안 보장 |
절 9.2.4 |
|
1.4.1 |
데이터 무결성 |
절 9.2.4.1 |
|
1.4.2 |
데이터 보호 |
절 9.2.4.2 |
|
1.4.3 |
백업 |
절 9.2.4.3 |
Văn bản gốc (PDF)
Bản đồ quan hệ
Bấm vào một văn bản để mở. Viền đỏ = quan hệ làm thay đổi hiệu lực.
Bản dịch
Văn bản này có sẵn ở các ngôn ngữ sau: