3) 정보보호시스템별 정책(룰셋 등) 신규 등록, 변경, 삭제 등 절차를 수립하고 정책의 타당성 검토를 주기적으로 수행하고 있는가? (직접운영 시)

🔍 점검 취지 및 해설

■ 정보보호시스템을 직접 운영하는 경우

- 정보보호시스템별 적절한 보안정책(룰셋) 적용

- 정보보호시스템의 보안정책(룰셋)에 대한 주기적인 검토 수행

- 정보보호시스템의 정상동작 여부 점검(월 1회 이상) 수행

- 정보보호시스템의 패턴 등 보안패치 적용

작성 완료됨

■ 정보보호시스템을 직접 운영하는 경우

구분	주요 정책	비고
백신	실시간 감시 정책 임의 삭제 금지 월 1회 이상 전체 검사 바이러스/악성코드 발견시 관리자 통보
NAC	미등록 장비 네트워크 차단 취약한 포트 차단(SMB등) 단말간 원격제어 차단(RDP,teamviewer등) 미인가 인터넷 접근시 차 * 클라우드 접근용 시스템 단말인 경우 추가 정책 - 외부 인터넷 차단(white list 기반) - 지정된 IP,MAC 이외 클라우드 접근 불가 - wifi, bluetooth 차단	(다른 장비(방화벽등)으로 동일한 정책을 적용)
매체제어	일반USB 차단(단, 일반기업의 경우 내부 정책에 따름) 매체 사용시 사용이력 보존 * 클라우드 접근용 시스템 단말인 경우 추가 정책 - 매체 Write 차단(정보유출 방지) - NAC이 없는 경우, 무선 통신(wifi,bluetooth)차단 - 인터넷 차단	필수
PMS(패치관리)	주요 보안 패치 적용(필수 패치 인 경우 강제 적용) 패치이력 보존 * 클라우드 접근용 시스템 단말인 경우 추가 정책 - 보안/필수 패치 인 경우 강제 적용 PMS가 없는 경우, 매체등을 통해 수동으로 옮긴 후 패치 적용

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.