brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Nov 01. 2021

네이버11탄-(ISMS-P)  2.9 시스템 및 서비스

<0>  점검 항목 -  보호 대책 요구사항(클라우드 점검 포함) 

<1>  시스템 사용 현황을 모니터링을 하는지 점검

<2>  시스템 운영 결과 1년 이상 보관하는지 점검

<3>  로그를 기록하고  보존하고 있는지 점검

<4>  접속 이력, 비정상 로그에 대해 검토하고 책임자 보고, 확인받은 이력이 있는지 점검 (월 1회)

<5> 주요 전산장비 이중화 구축  또는 예비장비 확보

<6> 서버의 Root 계정 접근 불가 설정

<20> (비공인) 네이버 클라우드 ISMS-P 인증심사 통과하기



<0>  점검 항목 -  보호 대책 요구사항(클라우드 점검 포함) 





<1>  시스템 사용 현황을 모니터링을 하는지 점검


항목 :  성능 및 장애 관리 항목

사용 현황에 대해  확인과 모니터링하고 있는지 점검


증적 제출 1

Cloudinsight로  모니터링 설정 내용, 알람 온 내용

DB 모니터링 설정 내용, 알람 온 내용

별도 모니터링 시스템을 통해 모니터링 내용 


증적 제출 2

Resource Manager 확인 제출

= VPC, Server, Sub Account 등 변경사항에 기록된다.




<2>  시스템 운영 결과 1년 이상 보관하는지 점검


1

보안 정책 적용 시 등록, 변경, 삭제 내용에 대해 보관 1년 이상 필요

보안 규칙 설정 요청/삭제 등 이력에 대해 1년 이상 보관하고 있는지?


2

증적

업무 요청 시스템을 통해 신청, 삭제 요청 이력을 증적으로 제출




<3>  로그를 기록하고  보존하고 있는지 점검


항목 : 로그 및 접속 기록 관리

콘솔 접속 로그 보관하고 있는가?

이벤트 로그에 대해  보관하고 있는가?

스토리지 접속 이력을 보관하고 있는가? 

VPC Flow logs 활성화 (선택)


로그에 대해 따로 보관하고 있지 않다면  취약




<4>  접속 이력, 비정상 로그에 대해 검토하고 책임자 보고, 확인받은 이력이 있는지 점검 (월 1회)


항목 :  로그 및 접속 기록 점검


1

주요 정보 시스템에 대해 접속 이력을 검토하고 있는지?

비 인가자 등에 접속한 부분은 없는지 검토

주기적인 로그 검토 및 보고 이력 확인


2

비정상 로그에 대해 검토했는가?

업무 요청 시스템에  점검 이력이 남아 있도록 관리 필요

CSP에 해당 로그에 대해 서포트 요청 등 증적이 있으면 제출


3

접속 이력, 비정상 로그에 대해 관리자 및 책임자에 보고하고 확인받은 이력이 있는가?

시스템을 통해 접속 이력 확인과 보고가 되었는지 확인

월 1회 권고

없다면 취약


4

증적

Cloud Activity Tracer를 정기적으로 점검하고, 보고한 이력 제출

없다면 취약





<5> 주요 전산장비 이중화 구축  또는 예비장비 확보


항목: 성능 및 장애 관리


1

구성

KR-1 , KR-2로 IDC 이중화해서 구성함


2

증적

VPC , Subnet 구성 캡처 제출




<6> 서버의 Root 계정 접근 불가 설정


가상 서버가 디폴트로 Root 로그인이 가능하다.

증적 : Root 로그인 불가 화면

조치 : 일반 계정 생성, Sudo su - 로 Root 전환 하는 작업 , user Data 스크립트 사용으로 조치 




<20> (비공인) 네이버 클라우드 ISMS-P 인증심사 통과하기

https://brunch.co.kr/@topasvga/1954


감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari