정검 내용 설명
안전한 네트워크
구성과 관리
데이터 보호를 위한 방화벽 설치와 관리를 하고 있다. 네트워크 단계에서 데이터를 보호하기 위한 방안을 갖고 있다.
제품이 설치될 때 기본 값을 사용하고 있지 않다. 데이터베이스 서버에 활성화된 서비스에 대해 모두 인지하고 있으며 최소한의 서비스만을 운영 중에 있다.
데이터 보호 저장된 데이터를 암호화 하여 보호 하고 있다. 데이터, 데이터베이스 그리고 백업에 대한 암호화를 적용하고 있으며, 암호화 키에 대한 관리를 하고 있다.
데이터 송수신시 데이터를 암호화하여 통신하고 있다. SSL 암호화를 사용하여 네트워크를 통해 오가는 정보의 기밀성을 유지한다.
취약점 관리 방화벽 업데이트를 주기 적으로 하고 있다. IDS, IPS 또는 방화벽을 운영하고 있으며 항상 최신의 룰(Rule)을 적용하고 있다.
안전한 시스템과 어플리케이션을 개발하기 위해 힘쓰고 있다. 비즈니스에 대한 유연성을 제공하며 데이터에 접근하는 어플리케이션의 권한에 대한 구분 및 차별성이 정의되어 있다.
접근 제어 구성 비즈니스 요구 사항에 적절한 데이터 접근을 제어하고 있다. 윈도우 인증 또는 역할 기반의 인증을 통해 데이터에 대한 접근 제어를 하고 있다.
각 사용자 별 (어플리케이션 별) 고유 ID를 사용하고 있다. 윈도우 인증 또는 SQL Server의 계정을 사용하여 각 비즈니스 역할에 맞는 계정을 구분하여 사용한다.
데이터베이스 서버에 대한 물리적 접근을 통제하고 있다. 데이터베이스가 있는 서버에 물리적인 접근을 통제하고 기록하여 관리하고 있다.
정기적 보안 네트워크를 통한 모든 데이터 접근에 대해 추적하고 모니터링하고 있다. 구체적이고 세분화된 감사를 하고 있으며 특정 이벤트에 대한 추적을 위해 감사 내용을 자동으로 저장하고 있다.
모니터링과 테스트 보안 시스템과 프로세스에 대한 정기적 테스트를 진행한다. 운영중인 시스템의 취약점에 대해서 파악할 수 있는 방안(*MBSA 실행 등)을 갖고 있으며 주기적인 시스템 점검 및 테스트를 할 수 있다.
정보보호 정책 유지 개인정보보호법에 준하는 내규(정책)을 갖고 있다 데이터 보호를위한 내규 또는 정책을 갖고 있으며 이를 강제 적용하기 위한 시스템을 갖고 있다.