상세한 엔터프라이즈 자산 인벤토리 설정 및 유지관리:

최종 사용자 장치(휴대용 및 모바일 포함), 네트워크 장치, 비컴퓨팅/IoT 장치 및 서버를 포함하여 데이터를 저장하거나 처리할 가능성이 있는 모든 엔터프라이즈 자산의 정확하고 상세한 최신 인벤토리를 설정하고 유지관리합니다. 인벤토리에 네트워크 주소(정적인 경우), 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자, 각 자산의 부서, 자산의 네트워크 연결 승인 여부가 기록되는지 확인합니다. 모바일 최종 사용자 장치의 경우 MDM 유형 도구는 적절한 경우 이 프로세스를 지원할 수 있습니다. 이 인벤토리에는 인프라에 물리적, 가상, 원격으로 연결된 자산 및 클라우드 환경 내의 자산이 포함됩니다. 또한 엔터프라이즈의 통제 하에 있지 않더라도 엔터프라이즈의 네트워크 인프라에 정기적으로 연결되는 자산이 포함됩니다. 모든 엔터프라이즈 자산의 인벤토리를 격년으로 또는 더 자주 검토하고 업데이트합니다.

허가되지 않은 자산 주소:

주별 단위로 승인되지 않은 자산을 처리하는 프로세스가 있는지 확인합니다. 엔터프라이즈는 네트워크에서 자산을 제거하거나, 자산이 네트워크에 원격으로 연결하는 것을 거부하거나, 자산을 격리하도록 선택할 수 있습니다.

활성 검색 도구 활용:

활성 검색 도구를 활용하여 엔터프라이즈 네트워크에 연결된 자산을 식별합니다. 활성 검색 도구가 매일 또는 더 자주 실행되도록 구성합니다.

DHCP(동적 호스트 구성 프로토콜) 로깅을 사용하여 엔터프라이즈 자산 인벤토리를 업데이트합니다.

모든 DHCP 서버 또는 IP(인터넷 프로토콜) 주소 관리 도구에서 DHCP 로깅을 사용하여 엔터프라이즈의 자산 인벤토리를 업데이트합니다. 로그를 검토하고 사용하여 매주 또는 더 자주 엔터프라이즈의 자산 인벤토리를 업데이트합니다.

수동 자산 검색 도구 사용:

수동 검색 도구를 사용하여 엔터프라이즈 네트워크에 연결된 자산을 식별합니다. 스캔을 검토하고 사용하여 최소한 매주 또는 더 자주 엔터프라이즈의 자산 인벤토리를 업데이트합니다.

소프트웨어 인벤토리 설정 및 유지관리:

엔터프라이즈 자산에 설치된 모든 라이센스가 부여된 소프트웨어의 상세한 인벤토리를 설정하고 유지관리합니다. 소프트웨어 인벤토리는 각 항목의 제목, 게시자, 초기 설치/사용 날짜 및 비즈니스 목적을 문서화해야 합니다. 적절한 경우 URL(Uniform Resource Locator), 앱 스토어, 버전, 배포 메커니즘 및 해제 날짜를 포함합니다. 소프트웨어 인벤토리를 격년으로 또는 더 자주 검토하고 업데이트합니다.

인증된 소프트웨어가 현재 지원되는지 확인

현재 지원되는 소프트웨어만 엔터프라이즈 자산의 소프트웨어 인벤토리에서 승인된 것으로 지정되어 있는지 확인합니다. 소프트웨어가 지원되지 않지만 기업의 임무 수행에 필요한 경우 통제 완화 및 잔여 위험 수용을 자세히 설명하는 예외를 문서화합니다. 예외 설명서가 없는 지원되지 않는 소프트웨어의 경우 권한 없음으로 지정하십시오. 소프트웨어 목록을 검토하여 최소한 매월 또는 더 자주 소프트웨어 지원을 확인합니다.

허가되지 않은 소프트웨어 해결:

권한이 없는 소프트웨어가 엔터프라이즈 자산에서 사용되지 않도록 제거되거나 문서화된 예외를 수신하는지 확인합니다. 매월 또는 더 자주 검토합니다.

자동화된 소프트웨어 인벤토리 도구 활용:

가능한 경우 기업 전체에서 소프트웨어 인벤토리 도구를 활용하여 설치된 소프트웨어의 검색 및 문서화를 자동화합니다.

허용 목록에 인증된 소프트웨어:

애플리케이션 허용 목록과 같은 기술적 통제를 사용하여 권한 있는 소프트웨어만 실행하거나 액세스할 수 있도록 합니다. 격년으로 또는 더 자주 재평가하십시오.

허용 목록 인증된 라이브러리:

특정 .dll, .ocx, .so 등의 승인된 소프트웨어 라이브러리만 시스템 프로세스에 로드할 수 있도록 기술적 통제를 사용합니다. 권한이 없는 라이브러리가 시스템 프로세스에 로드되지 않도록 차단합니다. 격년으로 또는 더 자주 재평가하십시오.

허용 목록에 인증된 스크립트:

디지털 서명 및 버전 제어와 같은 기술적 통제를 사용하여 특정 .ps1, .py 등의 인증된 스크립트만 실행할 수 있도록 합니다. 권한이 없는 스크립트가 실행되지 않도록 차단합니다. 격년으로 또는 더 자주 재평가하십시오.

데이터 관리 프로세스를 수립하고 유지관리합니다.

데이터 관리 프로세스를 설정하고 유지관리합니다. 이 프로세스에서 기업의 민감도 및 보존 표준에 따라 데이터 민감도, 데이터 소유자, 데이터 처리, 데이터 보존 제한 및 폐기 요구 사항을 해결합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

전송 중인 중요한 데이터 암호화:

전송 중인 중요한 데이터를 암호화합니다. 구현의 예로는 TLS(전송 계층 보안) 및 OpenSSH(Open Secure Shell)를 포함할 수 있습니다.

미사용 중인 중요한 데이터 암호화:

중요한 데이터가 포함된 서버, 애플리케이션 및 데이터베이스에 저장된 중요한 데이터를 암호화합니다. 서버 측 암호화라고도 하는 저장소 계층 암호화는 이 보호의 최소 요구 사항을 충족합니다. 추가 암호화 방법에는 클라이언트 측 암호화라고도 하는 애플리케이션 계층 암호화가 포함될 수 있으며, 여기서 데이터 저장 장치에 대한 액세스는 일반 텍스트 데이터에 대한 액세스를 허용하지 않습니다.

민감도에 따라 데이터 처리 및 저장 분할:

데이터의 민감도에 따라 데이터 처리 및 스토리지를 분할합니다. 민감도가 낮은 데이터를 위해 엔터프라이즈 자산에서 중요한 데이터를 처리하지 마십시오.

데이터 손실 방지 솔루션 배포:

호스트 기반 DLP(데이터 손실 방지) 도구와 같은 자동화된 도구를 구현하여 현장 또는 원격 서비스 제공자에 있는 데이터를 포함하여 엔터프라이즈 자산을 통해 저장, 처리 또는 전송되는 모든 민감한 데이터를 식별하고 엔터프라이즈의 중요한 데이터 인벤토리를 업데이트합니다.

중요한 데이터 액세스 기록:

수정 및 폐기를 포함하여 중요한 데이터 액세스를 기록합니다.

데이터 인벤토리 설정 및 유지관리:

엔터프라이즈의 데이터 관리 프로세스를 기반으로 데이터 인벤토리를 설정하고 유지관리합니다. 최소한 민감한 데이터의 인벤토리를 작성합니다. 최소한 매년 인벤토리를 검토하고 업데이트하며 민감한 데이터를 우선적으로 관리하십시오.

데이터 접근 제어 목록을 구성합니다.

사용자의 필요 사항에 따라 데이터 접근 제어 목록을 구성합니다. 액세스 권한이라고도 하는 데이터 접근 제어 목록을 로컬 및 원격 파일 시스템, 데이터베이스 및 애플리케이션에 적용합니다.

데이터 보존 적용:

엔터프라이즈의 데이터 관리 프로세스에 따라 데이터를 보존합니다. 데이터 보존에는 최소 및 최대 타임라인이 모두 포함되어야 합니다.

안전한 데이터 폐기:

엔터프라이즈의 데이터 관리 프로세스에 설명된 대로 데이터를 안전하게 폐기합니다. 폐기 프로세스와 방법이 데이터 민감도에 적합한지 확인합니다.

최종 사용자 장치의 데이터 암호화:

중요한 데이터가 포함된 최종 사용자 장치의 데이터를 암호화합니다. 예제 구현에는 Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™가 포함될 수 있습니다.

데이터 분류 체계 설정 및 유지관리:

엔터프라이즈의 전체 데이터 분류 체계를 설정하고 유지관리합니다. 기업은 "민감", "기밀" 및 "공개"와 같은 레이블을 사용하고 해당 레이블에 따라 데이터를 분류할 수 있습니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 분류 체계를 검토하고 업데이트합니다.

문서 데이터 플로우:

데이터 플로우를 문서화합니다. 데이터 플로우 문서는 서비스 제공자 데이터 플로우를 포함하며 엔터프라이즈의 데이터 관리 프로세스를 기반으로 해야 합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

이동식 미디어의 데이터 암호화:

이동식 미디어의 데이터를 암호화합니다.

보안 구성 프로세스를 설정하고 유지관리합니다.

엔터프라이즈 자산(휴대용 및 모바일을 포함한 최종 사용자 장치, 비 컴퓨팅/IoT 장치 및 서버) 및 소프트웨어(운영 체제 및 애플리케이션)에 대한 보안 구성 프로세스를 설정하고 유지관리합니다.매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

휴대용 최종 사용자 장치에 자동 장치 잠금 강제 적용:

지원되는 경우 휴대용 최종 사용자 장치에서 로컬 인증 시도 실패의 미리 결정된 임계치에 따라 자동 장치 잠금을 적용합니다. 랩톱의 경우 인증 시도 실패를 20회 이상 허용하지 마십시오. 태블릿 및 스마트폰의 경우 인증 시도 실패 횟수가 10회 이하입니다. 구현의 예로는 InTune 디바이스 잠금 및 Apple 구성 프로필 maxFailedAttempts가 있습니다Microsoft.

휴대용 최종 사용자 장치에 원격 지우기 기능 적용:

장치 분실 또는 도난 당과 같이 적절하다고 간주되는 경우 또는 개인이 더 이상 엔터프라이즈를 지원하지 않는 경우 엔터프라이즈 소유의 휴대용 최종 사용자 장치에서 엔터프라이즈 데이터를 원격으로 지웁니다.

모바일 최종 사용자 장치의 개별 엔터프라이즈 작업 공간:

지원되는 경우 모바일 최종 사용자 장치에서 별도의 엔터프라이즈 작업 공간이 사용되는지 확인합니다. 구현의 예로는 구성 프로필 또는 Android 작업 프로필을 Apple 사용하여 엔터프라이즈 애플리케이션 및 데이터를 개인 애플리케이션 및 데이터와 분리하는 방법이 있습니다.

네트워크 인프라에 대한 보안 구성 프로세스를 설정하고 유지관리합니다.

네트워크 장치에 대한 보안 구성 프로세스를 설정하고 유지관리합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

엔터프라이즈 자산에 대한 자동 세션 잠금을 구성합니다.

정의된 비활성 기간 후 엔터프라이즈 자산에 대한 자동 세션 잠금을 구성합니다. 범용 운영 체제의 경우 기간은 15분을 초과할 수 없습니다. 모바일 최종 사용자 장치의 경우 기간은 2분을 초과할 수 없습니다.

서버에서 방화벽을 구현하고 관리합니다.

지원되는 경우 서버에 방화벽을 구현하고 관리합니다. 구현의 예로는 가상 방화벽, 운영 체제 방화벽 또는 타사 방화벽 에이전트가 있습니다.

최종 사용자 장치에 방화벽을 구현하고 관리합니다.

명시적으로 허용되는 서비스 및 포트를 제외한 모든 트래픽을 삭제하는 기본 거부 규칙을 사용하여 최종 사용자 디바이스에서 호스트 기반 방화벽 또는 포트 필터링 도구를 구현하고 관리합니다.

엔터프라이즈 자산 및 소프트웨어를 안전하게 관리:

엔터프라이즈 자산과 소프트웨어를 안전하게 관리합니다. 예제 구현에는 버전 제어 코드형 인프라를 통한 구성 관리와 SSH(보안 셸) 및 HTTPS(하이퍼텍스트 전송 프로토콜 보안)와 같은 보안 네트워크 프로토콜을 통한 관리 인터페이스 액세스가 포함됩니다. 운영상 필수적인 경우가 아니면 Telnet(Teletype Network) 및 HTTP와 같은 안전하지 않은 관리 프로토콜을 사용하지 마십시오.

엔터프라이즈 자산 및 소프트웨어에 대한 기본 계정 관리:

루트, 관리자 및 기타 사전 구성된 벤더 계정과 같은 엔터프라이즈 자산 및 소프트웨어의 기본 계정을 관리합니다. 구현의 예로는 기본 계정을 비활성화하거나 사용할 수 없게 만드는 것이 포함될 수 있습니다.

엔터프라이즈 자산 및 소프트웨어에서 불필요한 서비스를 제거하거나 사용하지 않도록 설정합니다.

사용하지 않는 파일 공유 서비스, 웹 애플리케이션 모듈 또는 서비스 기능과 같은 엔터프라이즈 자산 및 소프트웨어에서 불필요한 서비스를 제거하거나 비활성화합니다.

엔터프라이즈 자산에 신뢰할 수 있는 DNS 서버를 구성합니다.

엔터프라이즈 자산에 신뢰할 수 있는 DNS 서버를 구성합니다. 구현의 예로는 엔터프라이즈 통제 DNS 서버 및/또는 외부에서 액세스할 수 있는 평판이 좋은 DNS 서버를 사용하도록 자산을 구성합니다.

계정의 인벤토리 설정 및 유지관리:

엔터프라이즈에서 관리되는 모든 계정의 인벤토리를 설정하고 유지관리합니다. 인벤토리에는 사용자 계정과 관리자 계정이 모두 포함되어야 합니다. 인벤토리에는 최소한 사용자의 이름, 사용자 이름, 시작/중지 날짜 및 부서가 포함되어야 합니다. 모든 활성 계정이 최소 분기별 또는 더 자주 반복 일정에 따라 승인되었는지 확인합니다.

고유 암호 사용:

모든 엔터프라이즈 자산에 고유한 암호를 사용합니다. 베스트 프랙티스 구현에는 MFA를 사용하는 계정의 경우 최소한 8자 암호, MFA를 사용하지 않는 계정의 경우 14자 암호가 포함됩니다.

휴면 계정 비활성화:

지원되는 경우 45일 동안 활동이 없으면 휴면 계정을 삭제하거나 비활성화합니다.

관리자 권한을 전용 관리자 계정으로 제한:

엔터프라이즈 자산의 전용 관리자 계정으로 관리자 권한을 제한합니다. 사용자의 기본 비허가 계정 계정에서 인터넷 검색, 이메일 및 생산성 제품군 사용과 같은 일반적인 컴퓨팅 활동을 수행합니다.

서비스 계정의 인벤토리 설정 및 유지관리:

서비스 계정의 인벤토리를 설정하고 유지관리합니다. 인벤토리에는 최소한 부서 소유자, 검토 날짜 및 목적이 포함되어야 합니다. 서비스 계정 검토를 수행하여 모든 활성 계정이 최소 분기별 또는 더 자주 반복 일정에 따라 승인되었는지 확인합니다.

계정 관리 중앙 집중화:

디렉터리 또는 ID 서비스를 통해 계정 관리를 중앙 집중화합니다.

액세스 부여 프로세스를 설정합니다.

사용자의 신규 채용, 권한 부여 또는 역할 변경 시 엔터프라이즈 자산에 대한 액세스 권한을 부여하는 프로세스(가급적이면 자동화된 프로세스)를 수립하고 따라야 합니다.

액세스 취소 프로세스를 설정합니다.

사용자의 종료, 권한 해지 또는 역할 변경 시 즉시 계정을 비활성화하여 엔터프라이즈 자산에 대한 액세스 권한을 취소하는 프로세스(가급적이면 자동화)를 수립하고 따라야 합니다. 감사 추적을 보존하려면 계정을 삭제하는 대신 계정을 비활성화해야 할 수도 있습니다.

외부에 노출된 애플리케이션에 MFA 필요:

지원되는 경우 외부에 노출된 모든 엔터프라이즈 또는 타사 애플리케이션에 MFA를 적용하도록 요구합니다. 디렉터리 서비스 또는 SSO 제공자를 통해 MFA를 적용하는 것은 이 보호를 만족스럽게 구현하는 것입니다.

원격 네트워크 액세스에 MFA 필요:

원격 네트워크 액세스에 MFA가 필요합니다.

관리 액세스에 MFA 필요:

현장에서 관리되거나 외부 공급업체 제공자를 통해 관리되는지 여부에 관계없이 모든 엔터프라이즈 자산에서 지원되는 경우 모든 관리 액세스 계정에 대해 MFA를 요구합니다.

인증 및 권한 부여 시스템의 인벤토리를 설정하고 유지관리합니다.

현장 또는 원격 서비스 제공자에서 호스팅되는 시스템을 포함하여 엔터프라이즈의 인증 및 권한 부여 시스템에 대한 인벤토리를 설정하고 유지관리합니다. 인벤토리를 최소한 1년, 또는 더 자주 검토하고 업데이트합니다.

접근 제어 중앙 집중화:

지원되는 경우 디렉터리 서비스 또는 SSO 제공자를 통해 모든 엔터프라이즈 자산에 대한 액세스 제어를 중앙 집중화합니다.

역할 기반 접근 제어를 정의하고 유지관리합니다.

기업 내의 각 역할이 할당된 업무를 성공적으로 수행하는 데 필요한 접근 권한을 결정하고 문서화하여 역할 기반 접근 제어를 정의하고 유지관리합니다. 엔터프라이즈 자산에 대한 접근 제어 검토를 수행하여 모든 권한이 최소한 매년 또는 더 자주 반복되는 일정에 따라 승인되었는지 확인합니다.

취약성 관리 프로세스를 수립하고 유지관리합니다.

엔터프라이즈 자산에 대해 문서화된 취약성 관리 프로세스를 수립하고 유지관리합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

정정 프로세스를 수립하고 유지관리합니다.

매월 또는 더 자주 검토하는 정정 프로세스에 문서화된 위험 기반 정정 전략을 수립하고 유지관리합니다.

자동 운영 체제 패치 관리를 수행합니다.

자동화된 패치 관리를 통해 매월 또는 더 자주 엔터프라이즈 자산에 대한 운영 체제 업데이트를 수행합니다.

자동 애플리케이션 패치 관리를 수행합니다.

자동화된 패치 관리를 통해 매월 또는 더 자주 엔터프라이즈 자산에 대한 애플리케이션 업데이트를 수행합니다.

내부 엔터프라이즈 자산의 취약성 검사를 자동으로 수행합니다.

분기별로 또는 더 자주 내부 엔터프라이즈 자산에 대한 취약성 검사를 자동화합니다. SCAP 호환 취약성 검사 도구를 사용하여 인증된 검사와 인증되지 않은 검사를 모두 수행합니다.

외부에 노출된 엔터프라이즈 자산의 취약성 검사를 자동으로 수행합니다.

SCAP 호환 취약성 검사 도구를 사용하여 외부에 노출된 엔터프라이즈 자산에 대한 취약성 검사를 자동화합니다. 매월 또는 더 자주 검사를 수행합니다.

탐지된 취약성을 정정합니다.

정정 프로세스에 따라 프로세스와 도구를 통해 매월 또는 더 자주 탐지된 소프트웨어 취약성을 정정합니다.

감사 로그 관리 프로세스를 수립하고 유지관리합니다.

엔터프라이즈의 로깅 요구 사항을 정의하는 감사 로그 관리 프로세스를 설정하고 유지관리합니다. 최소한 엔터프라이즈 자산에 대한 감사 로그의 수집, 검토 및 보존 문제를 해결합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

감사 로그 보존:

최소 90일 동안 엔터프라이즈 자산 전체에 감사 로그를 보관합니다.

감사 로그 검토를 실시합니다.

감사 로그를 검토하여 잠재적 위협을 나타낼 수 있는 예외 또는 비정상적인 이벤트를 탐지합니다. 매주 또는 더 자주 검토를 수행합니다.

서비스 제공자 로그 수집:

지원되는 경우 서비스 제공자 로그를 수집합니다. 구현 예로는 인증 및 권한 부여 이벤트, 데이터 생성 및 폐기 이벤트, 사용자 관리 이벤트 수집이 있습니다.

감사 로그 수집:

감사 로그를 수집합니다. 엔터프라이즈의 감사 로그 관리 프로세스에 따라 엔터프라이즈 자산 전체에서 로깅이 활성화되었는지 확인합니다.

적절한 감사 로그 스토리지 보장:

로깅 대상이 엔터프라이즈의 감사 로그 관리 프로세스를 준수하기 위해 적절한 저장소를 유지하는지 확인합니다.

시간 동기화 표준화:

시간 동기화를 표준화합니다. 지원되는 경우 엔터프라이즈 자산 전체에 두 개 이상의 동기화된 시간 소스를 구성합니다.

자세한 감사 로그 수집:

중요한 데이터를 포함하는 엔터프라이즈 자산에 대한 상세한 감사 로깅을 구성합니다. 이벤트 소스, 날짜, 사용자 이름, 타임스탬프, 소스 주소, 대상 주소 및 포렌식 조사에 도움이 될 수 있는 기타 유용한 요소를 포함합니다.

DNS 쿼리 감사 로그 수집:

적절하고 지원되는 경우 엔터프라이즈 자산에 대한 DNS 쿼리 감사 로그를 수집합니다.

URL 요청 감사 로그 수집:

적절하고 지원되는 경우 엔터프라이즈 자산에 대한 URL 요청 감사 로그를 수집합니다.

명령줄 감사 로그 수집:

명령줄 감사 로그를 수집합니다. 예제 구현에는 PowerShell™, BASH™ 및 원격 관리 터미널에서 감사 로그 수집이 포함됩니다.

감사 로그 중앙 집중화:

엔터프라이즈 자산 전체에서 감사 로그 수집 및 보존을 최대한 중앙 집중화합니다.

완전히 지원되는 브라우저와 이메일 클라이언트만 사용해야 합니다.

벤더를 통해 제공하는 최신 버전의 브라우저와 이메일 클라이언트를 사용하여, 완전히 지원되는 브라우저와 이메일 클라이언트만 엔터프라이즈에서 실행할 수 있도록 합니다.

DNS 필터링 서비스 사용:

모든 엔터프라이즈 자산에서 DNS 필터링 서비스를 사용하여 알려진 악성 도메인에 대한 액세스를 차단합니다.

네트워크 기반 URL 필터의 유지관리 및 적용:

네트워크 기반 URL 필터를 적용하고 업데이트하여 엔터프라이즈 자산이 잠재적으로 악의적이거나 승인되지 않은 웹 사이트에 연결하지 못하도록 제한합니다. 구현의 예로는 범주 기반 필터링, 평판 기반 필터링 또는 차단 목록 사용이 있습니다. 모든 엔터프라이즈 자산에 필터를 적용합니다.

불필요하거나 권한이 없는 브라우저 및 이메일 클라이언트 확장 제한:

무단 또는 불필요한 브라우저 또는 이메일 클라이언트 플러그인, 확장 프로그램 및 추가 기능을 제거하거나 비활성화하여 제한합니다.

DMARC 구현:

유효한 도메인에서 스푸핑되거나 수정된 이메일의 가능성을 낮추려면 SPF(발신자 정책 프레임워크) 및 DKIM(DomainKeys Identified Mail) 표준 구현부터 시작하여 DMARC 정책 및 검증을 구현하세요.

불필요한 파일 형식 차단:

엔터프라이즈의 이메일 게이트웨이에 침입하려는 불필요한 파일 유형을 차단합니다.

이메일 서버 맬웨어 방지 보호 구축 및 유지관리:

첨부 파일 검사 및/또는 샌드박싱과 같은 이메일 서버 맬웨어 방지 보호 기능을 배포하고 유지관리합니다.

맬웨어 방지 소프트웨어를 배포하고 유지관리합니다.

모든 엔터프라이즈 자산에 맬웨어 방지 소프트웨어를 배포하고 유지 관리합니다.

자동 맬웨어 방지 서명 업데이트 구성:

모든 엔터프라이즈 자산의 맬웨어 방지 서명 파일에 대한 자동 업데이트를 구성합니다.

이동식 미디어에 대한 자동 실행 및 자동 재생 비활성화:

이동식 미디어에 대한 자동 실행 및 자동 재생 자동 실행 기능을 비활성화합니다.

이동식 미디어의 맬웨어 방지 자동 검사를 구성합니다.

이동식 미디어를 자동으로 검사하도록 맬웨어 방지 소프트웨어를 구성합니다.

악용 방지 기능 활성화:

가능한 경우 DEP(데이터 실행 방지), Windows WDEG(Defender Exploit Guard) 또는 Apple SIP(시스템 무결성 보호) 및 게이트키퍼™와 같은 Microsoft 엔터프라이즈 자산 및 소프트웨어에서 악용 방지 기능을 사용하도록 설정합니다.

맬웨어 방지 소프트웨어를 중앙에서 관리:

맬웨어 방지 소프트웨어를 중앙에서 관리합니다.

동작 기반 맬웨어 방지 소프트웨어를 사용합니다.

동작 기반 맬웨어 방지 소프트웨어를 사용합니다.

데이터 복구 프로세스 수립 및 유지:

데이터 복구 프로세스를 설정하고 유지관리합니다. 이 과정에서 데이터 복구 활동의 범위, 복구 우선순위 지정 및 백업 데이터의 보안을 해결합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

자동 백업 수행:

범위 내 엔터프라이즈 자산의 자동 백업을 수행합니다. 데이터의 민감도에 따라 매주 또는 더 자주 백업을 실행합니다.

복구 데이터 보호:

원본 데이터와 동등한 컨트롤로 복구 데이터를 보호합니다. 요구 사항에 따라 암호화 또는 데이터 분리를 참조합니다.

복구 데이터의 격리된 인스턴스 설정 및 유지관리:

복구 데이터의 격리된 인스턴스를 설정하고 유지관리합니다. 구현 예로는 오프라인, 클라우드 또는 오프사이트 시스템이나 서비스를 통해 백업 대상을 제어하는 것이 있습니다.

데이터 복구 테스트:

범위 내 엔터프라이즈 자산의 샘플링에 대해 분기별 또는 더 자주 백업 복구를 테스트합니다.

네트워크 인프라가 최신 상태인지 확인:

네트워크 인프라를 최신 상태로 유지합니다. 구현의 예로는 안정적인 최신 소프트웨어 릴리스를 실행하거나 현재 지원되는 NaaS(Network-as-a-Service) 제품을 사용하는 것이 있습니다. 소프트웨어 버전을 매월 또는 더 자주 검토하여 소프트웨어 지원을 확인합니다.

보안 네트워크 아키텍처 구축 및 유지관리:

보안 네트워크 아키텍처를 구축하고 유지관리합니다. 보안 네트워크 아키텍처는 최소한 세분화, 최소 권한 및 가용성을 해결해야 합니다.

안전한 네트워크 인프라 관리:

네트워크 인프라를 안전하게 관리합니다. 구현의 예로는 version-controlled-infrastructure-as-code, 보안 네트워크 프로토콜(예: SSH 및 HTTPS)의 사용이 있습니다.

아키텍처 다이어그램 설정 및 유지관리:

아키텍처 다이어그램 및/또는 기타 네트워크 시스템 문서를 구축하고 유지관리합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

네트워크 AAA(인증, 인증 및 감사) 중앙 집중화:

네트워크 AAA를 중앙 집중화합니다.

보안 네트워크 관리 및 통신 프로토콜 사용:

보안 네트워크 관리 및 통신 프로토콜(예: 802.1X, WPA2(Wi-Fi Protected Access 2) Enterprise 이상)을 사용합니다.

원격 디바이스가 VPN을 활용하고 기업의 AAA 인프라에 연결되어 있는지 확인합니다.

사용자가 최종 사용자 장치에서 엔터프라이즈 자원에 액세스하기 전에 엔터프라이즈 관리 VPN 및 인증 서비스에 인증하도록 요구합니다.

모든 관리 작업을 위한 전용 컴퓨팅 리소스를 설정하고 유지관리합니다.

관리 액세스 권한이 필요한 모든 관리 작업 또는 작업에 대해 물리적 또는 논리적으로 분리된 전용 컴퓨팅 자원을 설정하고 유지관리합니다. 컴퓨팅 자원은 기업의 기본 네트워크에서 분리되어야 하며 인터넷 액세스가 허용되지 않아야 합니다.

보안 이벤트 경보 중앙 집중화:

로그 상관 관계 및 분석을 위해 엔터프라이즈 자산 전체에서 보안 이벤트 경보를 중앙 집중화합니다. 베스트 프랙티스 구현을 위해서는 벤더 정의 이벤트 상관관계 경보를 포함하는 SIEM을 사용해야 합니다. 보안 관련 상관관계 경보로 구성된 로그 분석 플랫폼도 이러한 보호를 충족합니다.

애플리케이션 계층 필터링 수행:

애플리케이션 계층 필터링을 수행합니다. 구현의 예로는 필터링 프록시, 애플리케이션 계층 방화벽 또는 게이트웨이가 있습니다.

보안 이벤트 경보 임계치 조정:

보안 이벤트 경보 임계치를 매월 또는 더 자주 조정합니다.

호스트 기반 침입 탐지 솔루션을 배포합니다.

적절하거나 지원되는 경우 엔터프라이즈 자산에 호스트 기반 침입 탐지 솔루션을 배포합니다.

네트워크 침입 탐지 솔루션 배포:

적절한 경우 엔터프라이즈 자산에 네트워크 침입 탐지 솔루션을 배포합니다. 구현 예로는 NIDS(네트워크 침입 탐지 시스템) 또는 이에 상응하는 CSP(클라우드 서비스 제공자) 서비스의 사용이 있습니다.

네트워크 세그먼트 간 트래픽 필터링을 수행합니다.

적절한 경우 네트워크 세그먼트 간 트래픽 필터링을 수행합니다.

원격 자산에 대한 접근 통제를 관리합니다.

엔터프라이즈 자원에 원격으로 연결하는 자산에 대한 접근 제어를 관리합니다. 다음을 기준으로 엔터프라이즈 자원에 대한 액세스 양을 결정합니다. 설치된 최신 맬웨어 방지 소프트웨어; 기업의 보안 구성 프로세스에 대한 구성 준수; 운영 체제와 애플리케이션이 최신 상태인지 확인합니다.

네트워크 트래픽 플로우 로그 수집:

네트워크 장치에서 검토하고 경고할 네트워크 트래픽 플로우 로그 및/또는 네트워크 트래픽을 수집합니다.

호스트 기반 침입 탐지 솔루션을 배포합니다.

적절하거나 지원되는 경우 엔터프라이즈 자산에 호스트 기반 침입 탐지 솔루션을 배포합니다. 구현의 예로는 EDR(엔드포인트 탐지 및 응답) 클라이언트 또는 호스트 기반 IPS 에이전트의 사용이 있습니다.

네트워크 침입 탐지 솔루션 배포:

적절한 경우 네트워크 침입 탐지 솔루션을 배포합니다. 구현의 예로는 NIPS(네트워크 침입 방지 시스템) 또는 이에 상응하는 CSP 서비스의 사용이 있습니다.

포트 수준 액세스 제어 배포:

포트 수준 액세스 제어를 배포합니다. 포트 수준 액세스 제어는 802.1x 또는 인증서와 같은 유사한 네트워크 액세스 제어 프로토콜을 사용하며 사용자 및/또는 장치 인증을 통합할 수 있습니다.

보안 인식 프로그램 수립 및 유지:

보안 인식 프로그램을 수립하고 유지관리합니다. 보안 인식 프로그램의 목적은 기업 직원에게 안전한 방식으로 엔터프라이즈 자산 및 데이터와 상호 작용하는 방법을 교육하는 것입니다. 채용 시 교육을 실시하며, 최소한 연 1회 교육을 실시합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 콘텐츠를 검토하고 업데이트합니다.

소셜 엔지니어링 공격을 인식하도록 인력 구성원 교육:

피싱, 사전 문자 메시지, 테일게이트와 같은 소셜 엔지니어링 공격을 인식하도록 인력을 교육합니다. 

인증 베스트 프랙티스에 대한 인력 구성원 교육:

인증 베스트 프랙티스에 대해 인력 구성원을 교육합니다. 예제 주제로는 MFA, 암호 작성 및 자격 증명 관리가 있습니다.

데이터 처리 베스트 프랙티스에 대한 인력 교육:

중요한 데이터를 식별하고 적절하게 저장, 전송, 보관 및 파기하는 방법에 대해 인력을 교육합니다. 여기에는 기업 자산에서 물러날 때 화면을 잠그고, 회의가 끝날 때 실제 및 가상 화이트보드를 지우고, 데이터 및 자산을 안전하게 저장하는 등 선명한 화면 및 책상 모범 사례에 대한 직원 교육 과정도 포함됩니다.

의도하지 않은 데이터 노출의 원인에 대해 인력 구성원을 교육합니다.

의도하지 않은 데이터 노출의 원인을 인지하도록 인력 구성원을 교육합니다. 예제 주제로는 중요한 데이터의 잘못된 전달, 휴대용 최종 사용자 장치 분실 또는 의도하지 않은 대상에게 데이터 게시가 있습니다.

보안 인시던트 인식 및 보고에 대해 인력 구성원을 교육합니다.

인력 구성원이 잠재적 인시던트를 인식하고 이러한 인시던트를 보고할 수 있도록 교육합니다. 

엔터프라이즈 자산에 보안 업데이트 누락이 있는지 식별하고 보고하는 방법에 대해 인력을 교육합니다.

오래된 소프트웨어 패치나 자동화된 프로세스 및 도구의 장애를 확인하고 보고하는 방법을 이해할 수 있도록 인력을 교육합니다. 이 교육의 일부에는 자동화된 프로세스 및 도구의 실패를 IT 담당자에게 알리는 것이 포함되어야 합니다.

안전하지 않은 네트워크에 연결하고 엔터프라이즈 데이터를 전송할 때의 위험성에 대해 인력을 교육합니다.

기업 활동을 위해 안전하지 않은 네트워크에 연결하고 이를 통해 데이터를 전송할 때의 위험성에 대해 인력을 교육합니다. 기업에 원격 작업자가 있는 경우 교육에는 모든 사용자가 홈 네트워크 인프라를 안전하게 구성할 수 있도록 하는 지침이 포함되어야 합니다.

역할별 보안 인식 및 기술 교육 수행:

역할별 보안 인식 및 기술 교육을 실시합니다. 구현 예로는 IT 전문가를 위한 보안 시스템 관리 과정(웹 애플리케이션 개발자를 위한 OWASP ™ 상위 10개 취약성 인식 및 예방 교육, 고위급 역할을 위한 고급 사회 공학 인식 교육)이 있습니다.

서비스 제공자의 인벤토리 설정 및 유지관리:

서비스 제공자의 인벤토리를 설정하고 유지관리합니다. 인벤토리는 알려진 모든 서비스 제공자를 나열하고, 분류를 포함하고, 각 서비스 제공자에 대한 엔터프라이즈 연락처를 지정합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 인벤토리를 검토하고 업데이트합니다.

서비스 제공자 관리 정책을 수립하고 유지관리합니다.

서비스 제공자 관리 정책을 수립하고 유지관리합니다. 정책이 서비스 제공자의 분류, 인벤토리, 평가, 모니터링 및 해제를 다루는지 확인합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 정책을 검토하고 업데이트합니다.

서비스 제공자 분류:

서비스 제공자를 분류합니다. 분류 고려 사항에는 데이터 민감도, 데이터 볼륨, 가용성 요구 사항, 적용 가능한 규정, 고유 위험 및 완화된 위험과 같은 하나 이상의 특성이 포함될 수 있습니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생할 때 분류를 업데이트하고 검토합니다.

서비스 제공자 계약에 보안 요구 사항이 포함되도록 확인합니다.

서비스 제공자 계약에 보안 요구 사항이 포함되어 있는지 확인합니다. 요구 사항의 예로는 최소 보안 프로그램 요구 사항, 보안 인시던트 및/또는 데이터 위반 알림 및 응답, 데이터 암호화 요구 사항, 데이터 폐기 약정 등이 있습니다. 이러한 보안 요구 사항은 기업의 서비스 제공자 관리 정책과 일치해야 합니다. 매년 서비스 제공자 계약을 검토하여 계약에 보안 요구 사항이 누락되지 않았는지 확인합니다.

서비스 제공자 평가:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 평가합니다. 평가 범위는 분류에 따라 다를 수 있으며 SOC 2(Service Organization Control 2) 및 PCI(Payment Card Industry) Atestation of Compliance와 같은 표준화된 평가 보고서, 사용자 지정 질문서 또는 기타 적절하게 엄격한 프로세스의 검토가 포함될 수 있습니다. 최소한 매년 또는 신규 및 갱신된 계약으로 서비스 제공자를 재평가합니다.

서비스 제공자 평가:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 평가합니다. 평가 범위는 분류에 따라 다를 수 있으며 SOC 2(Service Organization Control 2) 및 PCI(Payment Card Industry) Atestation of Compliance와 같은 표준화된 평가 보고서, 사용자 지정 질문서 또는 기타 적절하게 엄격한 프로세스의 검토가 포함될 수 있습니다. 최소한 매년 또는 신규 및 갱신된 계약으로 서비스 제공자를 재평가합니다.

서비스 제공자 모니터링:

기업의 서비스 제공자 관리 정책에 따라 서비스 제공자를 모니터링합니다. 모니터링에는 서비스 제공자 규정 준수에 대한 주기적인 재평가, 서비스 제공자 릴리스 정보 모니터링, 다크 웹 모니터링 등이 포함될 수 있습니다.

서비스 제공자의 안전한 폐기:

서비스 제공자를 안전하게 폐기합니다. 고려 사항의 예로는 사용자 및 서비스 계정 비활성화, 데이터 플로우 종료, 서비스 제공자 시스템 내 엔터프라이즈 데이터의 안전한 폐기가 있습니다.

안전한 애플리케이션 개발 프로세스를 확립하고 유지관리합니다.

보안 애플리케이션 개발 프로세스를 설정하고 유지관리합니다. 이 과정에서 보안 애플리케이션 설계 표준, 보안 코딩 관행, 개발자 교육, 취약성 관리, 타사 코드 보안 및 애플리케이션 보안 테스트 절차와 같은 항목을 다룹니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

애플리케이션 아키텍처에 보안 설계 원칙 적용:

애플리케이션 아키텍처에 보안 설계 원칙을 적용합니다. 보안 설계 원칙에는 최소 권한 개념과 사용자가 수행하는 모든 작업의 유효성을 검사하는 중재 적용이 포함되어 "사용자 입력을 절대 신뢰하지 않음"의 개념을 장려합니다. 예를 들어 크기, 데이터 유형, 허용 가능한 범위 또는 형식을 포함하여 모든 입력에 대해 명시적 오류 검사가 수행되고 문서화되도록 하는 것이 포함됩니다. 또한 보안 설계는 보호되지 않는 포트 및 서비스 끄기, 불필요한 프로그램 및 파일 제거, 기본 계정 이름 변경 또는 제거와 같은 애플리케이션 인프라 공격 표면을 최소화하는 것을 의미합니다.

애플리케이션 보안 구성요소에 대해 다음과 같이 검증된 모듈 또는 서비스를 활용합니다.

ID 관리, 암호화, 감사 및 로깅과 같은 애플리케이션 보안 구성요소에 대해 검증된 모듈 또는 서비스를 활용합니다. 중요한 보안 기능에 플랫폼 기능을 사용하면 개발자의 작업 부하가 줄어들고 설계 또는 구현 오류 가능성을 최소화할 수 있습니다. 최신 운영 체제는 식별, 인증 및 권한 부여를 위한 효과적인 메커니즘을 제공하며 이러한 메커니즘을 애플리케이션에서 사용할 수 있도록 합니다. 표준화되고 현재 허용되며 광범위하게 검토된 암호화 알고리즘만 사용하십시오. 운영 체제는 보안 감사 로그를 만들고 유지 관리하는 메커니즘도 제공합니다.

코드 수준 보안 검사 구현:

애플리케이션 수명주기 내에서 정적 및 동적 분석 도구를 적용하여 보안 코딩 방식을 준수하고 있는지 확인합니다.

애플리케이션 침투 테스트 수행:

애플리케이션 침투 테스트를 수행합니다. 중요한 애플리케이션의 경우 인증된 침투 테스트는 코드 검사 및 자동화된 보안 테스트보다 비즈니스 논리 취약성을 찾는 데 더 적합합니다.침투 테스트는 테스터의 기술에 의존하여 인증된 사용자와 인증되지 않은 사용자로서 애플리케이션을 수동으로 조작합니다. 

위협 모델링 수행:

위협 모델링을 수행합니다. 위협 모델링은 코드를 생성하기 전에 설계 내에서 애플리케이션 보안 설계 결함을 식별하고 해결하는 프로세스입니다. 이 시험은 애플리케이션 디자인을 평가하고 각 엔트리포인트 및 액세스 수준에 대한 보안 위험을 측정하는 특별히 교육받은 개인을 통해 수행됩니다. 목표는 애플리케이션, 아키텍처 및 인프라의 약점을 이해하기 위해 구조화된 방식으로 애플리케이션, 아키텍처 및 인프라를 매핑하는 것입니다.

소프트웨어 취약성을 수용하고 해결하기 위한 프로세스를 수립하고 유지관리합니다.

외부 엔터티가 보고할 수 있는 수단을 제공하는 것을 포함하여 소프트웨어 취약성에 대한 보고서를 수락하고 해결하는 프로세스를 수립하고 유지관리합니다. 이 프로세스에는 보고 프로세스, 취약성 보고서 처리를 위한 책임 당사자, 접수, 할당, 정정 및 정정 테스트를 위한 프로세스를 식별하는 취약성 처리 정책과 같은 항목이 포함됩니다. 프로세스의 일부로 심각도 등급과 취약성을 식별, 분석 및 정정하기 위한 타이밍을 측정하는 메트릭을 포함하는 취약성 추적 시스템을 사용합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생한 경우 설명서를 검토하고 업데이트합니다.

보안 취약성에 대한 근본 원인 분석을 수행합니다.

보안 취약성에 대한 근본 원인 분석을 수행합니다. 취약성을 검토할 때 근본 원인 분석은 코드에 취약성을 생성하는 근본적인 문제를 평가하는 작업이며, 이를 통해 개발 팀은 개별 취약점이 발생할 때 이를 수정하는 것 이상으로 나아갈 수 있습니다.

외부 공급업체 소프트웨어 구성요소의 인벤토리 설정 및 관리:

개발에 사용되는 외부 공급업체 구성요소("BOM"이라고도 함)와 향후 사용될 구성요소의 업데이트된 인벤토리를 설정하고 관리합니다.이 인벤토리는 각 외부 공급업체 구성요소가 야기할 수 있는 모든 위험을 포함합니다.적어도 매월 한 번 목록을 평가하여 이러한 구성요소에 대한 변경 내용 또는 업데이트를 식별하고 구성요소가 여전히 지원되는지 확인합니다. 

신뢰할 수 있는 최신 타사 소프트웨어 구성요소를 사용합니다.

신뢰할 수 있는 최신 타사 소프트웨어 구성요소를 사용합니다. 가능하면 적절한 보안을 제공하는 안정적이고 입증된 프레임워크와 라이브러리를 선택합니다.신뢰할 수 있는 소스에서 이러한 구성요소를 구입하거나 소프트웨어를 사용하기 전에 취약성이 있는지 평가하십시오.

애플리케이션 취약성에 대한 심각도 등급 시스템과 프로세스를 수립하고 유지관리합니다.

발견된 취약성을 수정하는 순서의 우선순위를 쉽게 지정할 수 있도록 애플리케이션 취약성에 대한 심각도 등급 시스템과 프로세스를 설정하고 유지관리합니다. 이 프로세스에는 코드 또는 애플리케이션 릴리스에 대한 최소 보안 허용 수준을 설정하는 작업이 포함됩니다. 심각도 등급은 위험 관리를 개선하고 가장 심각한 버그를 먼저 수정하는 데 도움이 되는 체계적인 취약성 분류 방법을 제공합니다. 매년 시스템과 프로세스를 검토하고 업데이트합니다.

애플리케이션 인프라에 표준 강화 구성 템플릿을 사용합니다.

애플리케이션 인프라 구성요소에 대해 업계에서 권장하는 표준 강화 구성 템플릿을 사용합니다. 여기에는 기본 서버, 데이터베이스 및 웹 서버가 포함되며 클라우드 컨테이너, PaaS(Platform as a Service) 구성요소 및 SaaS 구성요소에 적용됩니다. 자체 개발 소프트웨어가 구성 강화를 약화시키지 않도록 하십시오.

별도의 프로덕션 및 비프로덕션 시스템:

프로덕션 및 비프로덕션 시스템에 대해 별도의 환경을 유지관리합니다.

애플리케이션 보안 개념과 보안 코딩에 대한 개발자 교육:

모든 소프트웨어 개발 담당자가 해당 개발 환경과 책임에 맞는 보안 코드 작성에 대한 교육을 받도록 합니다. 교육에는 일반적인 보안 원칙 및 애플리케이션 보안 표준 프랙티스가 포함될 수 있습니다. 매년 한 번 이상 교육을 실시하고 개발팀 내에서 보안을 증진하는 방식으로 설계하고 개발자 간에 보안 문화를 구축합니다.

인시던트 처리를 관리할 직원 지정:

기업의 인시던트 처리 프로세스를 관리할 핵심 담당자 1명과 백업을 1명 이상 지정합니다. 관리 담당자는 인시던트 대응 및 복구 노력의 조정 및 문서화를 담당하며 기업 내부 직원, 외부 공급업체 벤더 또는 하이브리드 접근 방식으로 구성될 수 있습니다. 외부 공급업체 벤더를 사용하는 경우 외부 공급업체 작업을 감독할 엔터프라이즈 내부 담당자를 한 명 이상 지정합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 검토합니다.

보안 인시던트 보고를 위한 연락처 정보를 설정하고 유지합니다.

보안 인시던트에 대한 정보를 받아야 하는 당사자의 연락처 정보를 설정하고 유지관리합니다. 연락처에는 내부 직원, 타사 벤더, 법 집행 기관, 사이버 보험 제공자, 관련 정부 기관, 정보 공유 및 분석 센터(ISAC) 파트너 또는 기타 이해 관계자가 포함될 수 있습니다. 매년 접촉 창구를 확인하여 정보가 최신 상태인지 확인합니다.

인시던트를 보고하기 위한 엔터프라이즈 프로세스를 수립하고 유지관리합니다.

인력이 보안 인시던트를 보고할 수 있도록 엔터프라이즈 프로세스를 설정하고 유지관리합니다. 이 프로세스에는 보고 기간, 보고할 담당자, 보고 메커니즘 및 보고할 최소 정보가 포함됩니다. 모든 인력이 프로세스를 공개적으로 사용할 수 있는지 확인합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 검토합니다.

인시던트 응답 프로세스를 수립하고 유지관리합니다.

역할과 책임, 규정 준수 요구사항 및 통신 계획을 다루는 인시던트 응답 프로세스를 수립하고 유지관리합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 검토합니다.

주요 역할 및 책임 할당:

해당하는 경우 법무, IT, 정보 보안, 시설, 홍보, 인사, 인시던트 대응자 및 분석가의 직원을 포함하여 인시던트 응답에 대한 주요 역할과 책임을 할당합니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 검토합니다.

인시던트 응답 중 통신 메커니즘을 정의합니다.

보안 인시던트 중에 통신 및 보고에 사용할 기본 및 보조 메커니즘을 결정합니다. 메커니즘에는 전화, 이메일 또는 편지가 포함될 수 있습니다. 이메일과 같은 특정 메커니즘은 보안 인시던트 중에 영향을 받을 수 있습니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 검토합니다.

일상적인 인시던트 응답 연습을 수행합니다.

실제 인시던트에 대응할 준비를 위해 인시던트 응답 프로세스에 관련된 핵심 담당자를 대상으로 일상적인 인시던트 응답 연습과 시나리오를 계획하고 수행합니다. 연습에서는 커뮤니케이션 채널, 의사 결정 및 워크플로우를 테스트해야 합니다. 최소한 연 단위로 테스트를 수행합니다.

사후 인시던트 검토 수행:

사후 인시던트 검토를 수행합니다. 사후 인시던트 검토는 학습한 교훈 및 후속 조치를 식별하여 인시던트 반복을 방지하는 데 도움이 됩니다.

보안 인시던트 임계치 설정 및 유지:

최소한 인시던트와 이벤트 구분을 포함하여 보안 인시던트 임계치를 설정하고 유지관리합니다. 예를 들면 비정상적인 활동, 보안 취약성, 보안 취약성, 데이터 침해, 개인정보 보호 인시던트 등이 있습니다. 매년 또는 이 보호에 영향을 미칠 수 있는 중요한 기업 변경 사항이 발생하는 경우 검토합니다.

침투 테스트 프로그램 수립 및 유지:

기업의 규모, 복잡성 및 성숙도에 적합한 침투 테스트 프로그램을 수립하고 유지관리합니다. 침투 테스트 프로그램 특성에는 네트워크, 웹 애플리케이션, 애플리케이션 프로그래밍 인터페이스(API), 호스팅 서비스 및 물리적 프레미스 제어와 같은 범위가 포함됩니다. 주파수; 허용 시간 및 제외된 공격 유형과 같은 제한 사항; 연락처 정보; 결과를 내부적으로 라우팅하는 방법과 같은 정정; 및 소급 요구 사항.

주기적인 외부 침투 테스트 수행:

프로그램 요구 사항에 따라 최소 연 1회 이상 주기적인 외부 침투 테스트를 수행합니다. 외부 침투 테스트에는 악용 가능한 정보를 탐지하기 위한 엔터프라이즈 및 환경 정찰이 포함되어야 합니다. 침투 테스트에는 전문 기술과 경험이 필요하며 자격을 갖춘 당사자를 통해 수행해야 합니다. 테스트는 투명 상자 또는 불투명 상자일 수 있습니다.

침투 테스트 결과 정정:

정정 범위 및 우선순위 지정에 대한 엔터프라이즈의 정책에 따라 침투 테스트 결과를 정정합니다.

보안 조치 확인:

각 침투 테스트 후 보안 조치를 확인합니다. 필요하다고 판단되는 경우 테스트 중에 사용된 기술을 탐지하도록 규칙 세트와 기능을 수정합니다.

활성 검색 도구를 활용하여 조직의 네트워크에 연결된 장치를 식별하고 하드웨어 자산 인벤토리를 업데이트합니다.

수동 검색 도구를 활용하여 조직의 네트워크에 연결된 장치를 식별하고 조직의 하드웨어 자산 인벤토리를 자동으로 업데이트합니다.

정보를 저장하거나 처리할 가능성이 있는 모든 기술 자산의 정확한 최신 인벤토리를 유지합니다. 이 인벤토리에는 조직의 네트워크에 연결되어 있는지 여부에 관계없이 모든 하드웨어 자산이 포함됩니다.

하드웨어 자산 인벤토리에 각 자산의 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서가 기록되고 하드웨어 자산이 네트워크에 연결하도록 승인되었는지 여부가 기록되는지 확인합니다.

802.1x 표준에 따른 포트 수준 액세스 제어를 활용하여 네트워크에 인증할 수 있는 장치를 제어합니다. 인증 시스템은 승인된 장치만 네트워크에 연결할 수 있도록 하드웨어 자산 인벤토리 데이터에 연결되어야 합니다.

클라이언트 인증서를 사용하여 조직의 신뢰할 수 있는 네트워크에 연결되는 하드웨어 자산을 인증합니다.

모든 비즈니스 시스템에서 비즈니스 목적을 위해 기업에서 필요한 모든 인증된 소프트웨어의 최신 목록을 유지하십시오.

소프트웨어 공급업체에서 현재 지원하는 소프트웨어 애플리케이션 또는 운영 체제만 조직의 승인된 소프트웨어 인벤토리에 추가되도록 합니다. 지원되지 않는 소프트웨어는 인벤토리 시스템에서 지원되지 않는 것으로 태그를 지정해야 합니다.

조직 전체에서 소프트웨어 인벤토리 도구를 활용하여 비즈니스 시스템의 모든 소프트웨어 문서화를 자동화합니다.

소프트웨어 인벤토리 시스템은 조직에서 승인한 운영 체제를 포함하여 모든 소프트웨어의 이름, 버전, 게시자 및 설치 날짜를 추적해야 합니다.

소프트웨어 인벤토리 시스템은 하드웨어 자산 인벤토리에 연결되어야 모든 장치 및 관련 소프트웨어가 단일 위치에서 추적됩니다.

최신 SCAP를 준수하는 취약성 검사 도구를 활용하여 네트워크의 모든 시스템을 매주 또는 더 자주 자동으로 검사하여 조직 시스템의 모든 잠재적 취약성을 식별합니다.

각 시스템에서 로컬로 실행되는 에이전트 또는 테스트 중인 시스템에서 상승된 권한으로 구성된 원격 스캐너를 사용하여 인증된 취약성 검사를 수행합니다.

연속 취약성 검사의 결과를 정기적으로 비교하여 취약성이 적시에 수정되었는지 확인합니다.

새 자산을 배포하기 전에 관리 수준 계정과 일치하는 값을 사용하도록 모든 기본 암호를 변경합니다.

다단계 인증이 지원되지 않는 경우(예: 로컬 관리자, 루트 또는 서비스 계정) 계정은 해당 시스템에 고유한 암호를 사용합니다.

관리 권한이 할당된 그룹에 계정이 추가되거나 제거되면 로그 항목을 발행하고 경고를 보내도록 시스템을 구성합니다.

로그 항목을 발행하고 관리자 계정에 대한 로그인 실패 시 경보를 표시하도록 시스템을 구성합니다.

모든 시스템 및 네트워크 장치에서 로컬 로깅이 활성화되었는지 확인합니다.

이벤트 소스, 날짜, 사용자, 타임스탬프, 소스 주소, 대상 주소 및 기타 유용한 요소와 같은 자세한 정보를 포함하려면 시스템 로깅을 활성화합니다.

조직에서는 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 하는 것이 좋습니다. 이상적으로는 벤더에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용할 수 있습니다.

모든 엔터프라이즈급 AV 소프트웨어에는 이 기능이 있습니다. 중앙에서 관리되는 AV를 사용하면 개별 요구 사항을 쉽게 활성화할 수 있습니다.

AV는 시그니처만큼만 좋습니다. 순수한 서명 기반 탐지는 더 이상 실행 가능하지 않지만 예외 기반 엔진도 정기적으로 업데이트해야 합니다. 업데이트가 자동으로 롤아웃되는지 확인하고 도구를 사용하여 서명이 실제로 최신 상태인지 확인합니다.

DISA 강화 가이드는 이러한 설정 등을 활성화하는 방법에 대한 단계별 지침을 제공합니다.

대부분의 AV에는 기본적으로 이 기능이 켜져 있지만 실제로 여전히 활성화되어 있는지 확인하는 것이 여전히 중요합니다. USB 스틱을 통해 들어오는 멀웨어는 거의 모든 조직에서 실행 가능한 공격 벡터입니다.

스캔하지 않으려는 이유와 같은 이유로 마운트될 때 실행되지 않기를 원합니다. 이 설정을 매우 빠르게 활성화할 수 있으며 CIS 및 DISA 강화 가이드 모두 자동 실행 비활성화에 대한 단계별 지침이 있습니다. 일부 SCM 도구는 환경의 모든 엔드포인트를 신속하게 검사하여 이 설정이 비활성화되었는지 확인할 수 있습니다.

모든 시스템에 대해 정기적으로 자동 포트 스캔을 수행하고 시스템에서 승인되지 않은 포트가 탐지되면 경고합니다.

사용 중인 각 네트워크 장치에 대해 정의된 승인된 보안 구성과 모든 네트워크 장치 구성을 비교하고 편차가 발견되면 경보를 보냅니다.

모든 네트워크 장치에 보안 관련 업데이트의 안정적인 최신 버전을 설치합니다.

네트워크 기반 침입 탐지 시스템(IDS) 센서를 배포하여 비정상적인 공격 메커니즘을 찾고 조직의 각 네트워크 경계에서 이러한 시스템의 손상을 탐지합니다.

조직에서 정기적으로 액세스하지 않는 민감한 데이터 또는 시스템을 네트워크에서 제거합니다. 이러한 시스템은 가끔 시스템을 사용해야 하는 비즈니스 단위에 의해 독립 실행형 시스템(네트워크에서 연결이 끊어짐)으로만 사용하거나 필요할 때까지 완전히 가상화되고 전원을 꺼야 합니다.

직원이 USB 드라이브의 데이터 위험을 인식할 수 있도록 교육을 제공합니다. 그런 다음 조직의 중요한 데이터를 보호하는 도구를 제공하십시오.

전송 중인 모든 중요한 정보를 암호화합니다.

유선 네트워크에 연결된 승인된 무선 액세스 포인트의 인벤토리를 유지관리합니다.

현장 또는 원격 서비스 제공자에 있는 시스템을 포함하여 조직의 각 인증 시스템 인벤토리를 유지관리합니다.

저장할 때 모든 인증 자격 증명을 솔트로 암호화하거나 해시합니다.

모든 계정 사용자 이름과 인증 자격 증명이 암호화된 채널을 사용하여 네트워크를 통해 전송되는지 확인합니다.

표준 비활성 기간 후에 워크스테이션 세션을 자동으로 잠급니다.

사용자가 시간, 워크스테이션 위치 및 기간과 같은 일반적인 로그인 동작에서 벗어나는 경우 경보를 표시합니다.

표준화되고 광범위하게 검토된 암호화 알고리즘만 사용하십시오.

외부 엔터티가 보안 그룹에 연락할 수 있는 수단을 제공하는 것을 포함하여 소프트웨어 취약성에 대한 보고서를 수락하고 해결하는 프로세스를 수립합니다.

컴퓨터 및 네트워크 인시던트를 처리하기 위한 직책과 의무를 특정 개인에게 할당하고 해결을 통해 인시던트 전반에 걸쳐 추적 및 문서화되도록 합니다.

주요 의사 결정 역할을 수행하여 인시던트 처리 프로세스를 지원할 관리 담당자와 백업을 지정합니다.

모든 인력 구성원을 위해 인시던트 처리 팀에 컴퓨터 이상 및 인시던트 보고와 관련된 정보를 게시합니다. 이러한 정보는 일상적인 직원 인식 활동에 포함되어야 합니다.

관리자가 승인하고 정보 보안 목표를 관리하는 조직의 접근 방식을 설명하는 "정보 보안 정책"을 정의합니다. 정보 보안 정책은 주제별 정책에 의해 지원되며, 여기에는 다음이 포함된 정보 보안 통제의 구현이 추가로 의무화됩니다. 액세스 통제; 정보 분류(및 처리); 물리적 및 환경적 보안; 백업; 정보 전송; 맬웨어로부터의 보호; 기술적 취약성 관리; 암호화 통제; 통신 보안; 개인 식별 정보의 개인 정보 보호 및 보호; 공급자 관계 및 다음과 같은 최종 사용자 지향 주제: 1) 자산의 허용 가능한 사용; 2) 명확한 책상과 명확한 화면; 3) 정보 전송; 4) 모바일 기기 및 재택근무; 5) 소프트웨어 설치 및 사용에 대한 제한.

자산 인벤토리에서 개별 자산의 보호에 대한 책임이 식별되도록 합니다. 정보 보안의 개발 및 구현을 위한 역할과 책임을 명확하게 정의해야 합니다.

승인된 전체 디스크 암호화 소프트웨어를 활용하여 모든 모바일 장치의 하드 드라이브를 암호화합니다.

직원 및 계약자에 대한 원격 액세스 정책을 시행합니다.

회사의 자산에 대한 접근 권한을 부여하기 전에 모든 직원과 계약자에 대해 배경 확인 확인을 수행해야 합니다.

모든 신규 채용 직원 또는 계약자가 정보 보안에 대한 책임을 포함하여 고용 약관에 서명하고 동의했는지 확인합니다.

하드웨어 자산 인벤토리에 각 자산의 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서가 기록되고 하드웨어 자산이 네트워크에 연결하도록 승인되었는지 여부가 기록되는지 확인합니다.

하드웨어 자산 인벤토리에 각 자산의 네트워크 주소, 하드웨어 주소, 컴퓨터 이름, 데이터 자산 소유자 및 부서가 기록되고 하드웨어 자산이 네트워크에 연결하도록 승인되었는지 여부가 기록되는지 확인합니다.

직원과 협력업체가 조직, 정보, 정보 처리 시설, 자원과 관련된 자산의 정보 보안 요구사항을 인지하도록 합니다. 그들은 정보 처리 자원의 사용과 자신의 책임 하에 수행되는 그러한 사용에 대해 책임을 져야 합니다.

클라이언트 인증서를 사용하여 조직의 신뢰할 수 있는 네트워크에 연결되는 하드웨어 자산을 인증합니다.

전송 중인 데이터를 암호화하고 다단계 인증을 사용하려면 조직 네트워크에 대한 모든 원격 로그인 액세스를 요구합니다.

다단계 인증이 지원되지 않는 경우(예: 로컬 관리자, 루트 또는 서비스 계정) 계정은 해당 시스템에 고유한 암호를 사용합니다.

암호화를 둘러싼 정책이 존재하고 데이터 분류 요구 사항에 따라 적용, 구현 및 실행되는지 확인합니다.

키의 전체 수명주기 동안 공식 정책 및 절차에 따라 암호화 키 관리가 관리되는지 확인합니다.

명확한 책상 정책을 직원과 계약업체에 의해 적용되도록 합니다.

조직에서는 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 하는 것이 좋습니다. 이상적으로는 벤더에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용할 수 있습니다.

조직에서는 완전히 지원되는 웹 브라우저와 이메일 클라이언트만 실행할 수 있도록 하는 것이 좋습니다. 이상적으로는 벤더에서 제공하는 최신 버전의 브라우저와 이메일 클라이언트만 사용할 수 있습니다.

모든 시스템 및 네트워크 장치에서 로컬 로깅이 활성화되었는지 확인합니다.

무단 액세스로부터 로그를 안전하게 보호해야 합니다.

중요한 데이터에 대한 액세스 또는 중요한 데이터에 대한 변경에 대한 상세한 감사 로깅을 적용합니다(파일 무결성 모니터링 또는 보안 정보 및 이벤트 모니터링과 같은 도구 활용).

모든 유형의 통신 시설을 사용하여 정보 전송을 보호할 수 있도록 공식적인 전송 정책, 절차 및 통제가 마련되어 있는지 확인합니다.

새로운 정보시스템이나 기존 정보시스템의 개선사항에 대한 요구사항에 정보 보안 관련 요구사항이 포함되어야 합니다.

운영 플랫폼이 변경될 경우 조직 운영 또는 보안에 부정적인 영향을 미치지 않도록 비즈니스 크리티컬 애플리케이션을 검토하고 테스트합니다.

소프트웨어 패키지에 대한 수정을 권장하지 않거나 필요한 변경으로 제한하고 모든 변경이 엄격하게 통제되는지 확인합니다.

개발 수명주기 동안 보안 코드 검토 및 취약성 검사와 같은 보안 테스트가 수행되도록 합니다. 식별된 취약성이 문서화되고 정정이 수행되도록 합니다.

시스템 수용 테스트에 정보 보안 요구 사항 테스트와 보안 시스템 개발 관행 준수가 포함되어 있는지 확인합니다.

시스템 수용 테스트에 정보 보안 요구 사항 테스트와 보안 시스템 개발 관행 준수가 포함되어 있는지 확인합니다.

비즈니스를 수행하거나 벤더에게 자산에 대한 접근 권한을 부여하기 전에 공급자와 함께 정보 보안 통제를 해결하고 해결하도록 합니다.

비즈니스를 수행하고 공급자와 벤더에게 자산에 대한 접근 권한을 부여하기 전에 위험 평가를 수행하고 보안 통제 및 요구 사항을 공급자/벤더 계약에 합의 및 문서화해야 합니다.

공급자가 정기적으로 모니터링하고 검토하여 계약의 정보 보안 사용 약관이 준수되고 있으며 정보 보안 인시던트 및 문제가 적절하게 관리되는지 확인합니다.

서비스 프로비저닝에 변경 사항이 있는 경우 외부 공급업체 위험 평가가 수행되도록 합니다. 기존 정보 보안 정책, 절차 및 통제의 유지관리 및 개선을 포함하여 공급자의 서비스 제공에 대한 변경 사항이 관리되도록 합니다.

공식적인 인시던트 관리 프로그램을 마련하고 모든 직원 및 외부 공급업체가 보안 인시던트를 인식하고 보고하는 방법에 대한 교육을 받도록 합니다.

보고 및 에스컬레이션을 위해 합의된 보안 이벤트 및 인시던트 분류 규모를 포함하는 공식적인 정보 보안 이벤트 관리가 있는지 확인합니다. 위협 및 위험 분류 체계가 문서화되었는지 확인합니다. 인시던트 응답 알림이 유지관리되는지 확인합니다. 인시던트를 분류하는 데 사용할 영향 임계치가 문서화되었는지 확인합니다.

문서화된 절차에 따라 정보 보안 인시던트에 대응하고 관리해야 합니다.

인시던트 모니터링 절차가 인시던트 관리 프로그램에 포함되어 인시던트를 문서화하고 보안 이벤트를 주기적으로 분석하여 향후 인시던트를 줄이도록 합니다.

정보 보안 및 정보 보안 관리의 연속성이 비즈니스 연속성 계획이나 재해 복구 계획에 계획되고 포함되도록 합니다.

비즈니스 연속성 또는 재해 복구 계획이 공식적으로 문서화되었는지 확인합니다.

비즈니스 연속성 또는 재해 복구 계획이 연례 연습인지 확인하여 불리한 상황에서 적절한 보안 통제가 유효하고 효과적인지 확인합니다.

페일오버 및 복구 구성요소가 의도한 대로 작동하는지 확인합니다.

법률, 규제, 계약 및 비즈니스 요구 사항에 따라 기록과 데이터가 손실, 파기, 변조, 무단 접근 및 무단 공개로부터 보호되도록 합니다.

해당되는 경우 법률 및 규정에 따라 개인 정보 보호 및 개인 식별 정보의 보호를 받도록 합니다.

준수 및 규제 요구 사항에 대해 범위 내 시스템 구성에 대한 테스트를 정기적으로 수행하는지 확인합니다. 시스템의 기본 구성 표준이 문서화되고 업계 베스트 프랙티스를 기반으로 하는지 확인합니다.

조직이 소유하거나 위탁한 이전에 발행된 모든 물리적 및 전자 자산의 반환을 포함하도록 해지 프로세스가 공식화되었는지 확인합니다.

• HR 프로파일 [sn_hr_core_profile]
• 자산 [alm_asset]

소프트웨어 자산을 관리하고 정기적으로 업데이트해야 합니다.

• 소프트웨어 자산 관리 Core
• 소프트웨어 자산 관리 전문가 코어

• 소프트웨어 설치 [cmdb_sam_sw_install]
• 소프트웨어 모델 [cmdb_software_product_model]

위험 등급 지정 프로세스를 활용하여 검색된 취약성 수정의 우선순위를 지정합니다.

권한이 없는 브라우저나 이메일 클라이언트 플러그인 또는 추가 기능 애플리케이션을 제거하거나 비활성화합니다.

• 소프트웨어 자산 관리 Core
• 소프트웨어 자산 관리 전문가 코어

• 소프트웨어 설치 [cmdb_sam_sw_install]
• 소프트웨어 모델 [cmdb_software_product_model]

사용 중인 프로그래밍 언어 및 개발 환경에 적합한 보안 코딩 방식을 수립합니다.

인시던트 처리/관리 단계뿐만 아니라 직원의 역할을 정의하는 서면 인시던트 응답 계획이 있는지 확인합니다.