∎ 내
·외부 네트워크 보호를 위한 정보보호시스템을 운영하여야 한다.
- 정보보호시스템 도입 시 국내외 CC인증을 획득한 제품을 도입
- 정보보호시스템 운영절차 수립
- 정보보호시스템의 운영 및 관리 등은 외부 위탁 가능하며, 외부 위탁되는 경우 계약서 또는 SLA에 정보보 호시스템 운영 및 관리 등의 내용을 포함
- 단 클라우드컴퓨팅서비스 제공자의 사용자가 원격 접속 등을 위해 VPN을 운영하는 경우 반드시 CC인증 제품을 사용하지 않아도 가능 (대고객 서비스(공공기관 이용자 등)를 위한 VPN의 경우 CC인증 제품 필수 사용)
- 외부 위탁의 경우 정기적(월 1회)으로 관리현황을 보고 받아야 함 ∙ 보고 내용에는 보안정책 적용, 변경, 보안업데이트, 장비점검내역 등 포함

∎ 정보보호시스템을 직접 운영하는 경우
- 정보보호시스템 관리자는 최소 인원으로 운영하여야 하며, 접속기록 등을 주기적으로 분석하여 비인가자의 접근시도 등을 확인

∎ 정보보호시스템을 직접 운영하는 경우
- 정보보호시스템별 적절한 보안정책(룰셋) 적용
- 정보보호시스템의 보안정책(룰셋)에 대한 주기적인 검토 수행
- 정보보호시스템의 정상동작 여부 점검(월 1회 이상) 수행
- 정보보호시스템의 패턴 등 보안패치 적용