| 항목 |
MVNO서비스 대상 주요 확인사항(2024.9) |
| 1.1.3 |
조직 구성 |
- 위원회에서 MVNO서비스의 안전성 확보 및 이용자의 보호에 관한 사항을 심의∙의결하고 있는가?
|
| 1.1.5 |
정책 수립 |
- MVNO서비스 이용 및 이용자 인증 등을 안전하게 제공, 관리하기 위한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?
- 정보보호 및 개인정보보호 정책을 수립하기 위한 MVNO서비스와 관련한 최근 동향, 가이드라인 등을 반영하고 있는가?
|
| 1.1.6 |
자원 할당 |
- MVNO서비스의 안전성 확보 및 이용자 보호를 위해 정보기술 및 정보보호에 필요한 예산과 인력을 지원하고 있는가?
|
| 1.2.1 |
정보자산 식별 |
- 이용자 본인 확인을 위한 신분증 및 구비서류를 수취하기 위해 운영하는 시스템을 식별하여 그 목록을 최신으로 관리하고 있는가?
|
| 1.2.2 |
현황 및 흐름분석 |
- MVNO서비스별(개통, 비개통 등) 업무를 구분하고 각 업무별 절차, 흐름 및 준수사항을 파악하여 문서화하고 있는가?
|
| 1.2.3 |
위험 평가 |
- 본인인증 과정 등에서 발생할 수 있는 위험을 식별 평가하고 발견된 문제점을 개선 조치 및 이행 실태를 연 1회 이상 점검하고 있는가?
|
| 1.2.4 |
보호대책 선정 |
- 본인인증 과정 등에서 식별된 위험을 처리하기 위한 적합한 보호대책을 선정하고 있는가?
|
| 1.4.1 |
법적 요구사항 준수 검토 |
- 경영진은 MVNO서비스의 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수 여부를 연 1회 이상 정기적으로 점검하고 최고경영자에게 보고하고 있는가?
|
| 1.4.2 |
관리체계 점검 |
- 정보보호최고책임자는 정보보호점검의 날을 지정하고, 정보보호 점검항목을 수립하여 매 분기별 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?
|
| 1.4.3 |
관리체계 개선 |
- 최고경영자는 임직원이 정보보호 관련법규를 위반할 경우 그 제재에 관한 세부기준 및 절차를 마련하여 운영하고 있는가?
|
| 2.1.1 |
정책의 유지관리 |
- MVNO서비스 침해사고 동향, 신규 취약점 발생 등 관련 정책 및 시행문서에 미치는 영향을 검토하고 제‧개정하고 있는가?
|
| 2.2.1 |
주요 직무자 지정 및 관리 |
- MVNO 서비스 처리 또는 관련 시스템의 주요 직무자 및 개인정보취급자 지정을 최소화 하고 관리방안을 수립 및 이행하고 있는가?
|
| 2.3.1 |
외부자 현황 관리 |
- MVNO서비스의 일부를 외부에 위탁하거나 외부의 시설 또는 서비스를 이용하는 경우 현황을 식별하고 발생하는 위험을 파악하여 보호대책을 마련하고 있는가?
|
| 2.3.3 |
외부자 보안 이행 관리 |
- MVNO서비스의 개발, 구축을 외부에 위탁 시 내부 보안수준에 상응하는 보호조치와 이를 관리·감독하기 위한 절차를 포함하고 있는가?
- 외부자 보안 계약에 대한 적절성 검토와 자체적인 통제를 위해 관리감독 조직과 인력을 갖추고 있는가?
- 개발 업무용 장소 및 전산설비는 내부 업무용과 분리 설치·운영되고 있는가?
|
| 2.4.2 |
출입통제 |
- 전산실이 위치한 건물 출입구는 전산실 출입문을 한곳으로 지정하여 운영하고 있으며, 주요 설비시설에 대해 출입통제하고 있는가?
|
| 2.4.5 |
보호구역 내 작업 |
- 본인인증 시스템 등 MVNO 서비스의 중요시스템을 운영하는 보호구액 내 무선네트워크 설치 및 운용을 금지하고 있는가?
|
| 2.5.3 |
사용자 인증 |
- MVNO서비스 제공을 위한 본인인증 절차는 보안 표준을 준용하고 본인인증 시 실명 확인 요청과 추가 검증 절차를 적용하고 있는가?
- MVNO 서비스 제공을 위한 본인인증은 내부시스템을 이용하고, 외부 검증된 기관과 비교확인 등 강화된 인증 방식을 적용하고 있는가?
|
| 2.5.4 |
비밀번호 관리 |
- 비밀번호, 생체인식정보 등에 대해 조회가 불가피하게 인정되는 경우 조회사유, 내용 등을 기록 관리하고 있는가?
- 서비스 제공 시 계정 및 비밀번호 관리 절차 등 이용자 유의사항을 공지하고 있는가?
|
| 2.6.4 |
네트워크 접근 |
- 본인인증 등 MVNO서비스의 중요 시스템은 내부 및 다른 서버존 장비들과 별도로 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?
|
| 2.6.2 |
정보시스템 접근 |
- MVNO서비스 관련 서버, 네트워크시스템 등에 직접 접속 하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔은 적절한 접근통제를 적용하고 있는가?
|
| 2.6.3 |
응용프로그램 접근 |
- MVNO 서비스의 업무 처리를 위해 수집되는 비정형 개인정보(신분증, 가족관계증명서 등)에 대해 저장 시 가림 처리(마스킹)하여 저장하고 있는가?
|
| 2.7.1 |
암호정책 적용 |
- MVNO서비스 네트워크 전송구간의 안전한 암호화 통신을 위해 취약하지 않은 암호화 방식을 사용하도록 설계하였는가?
|
| 2.8.1 |
보안 요구사항 정의 |
- MVNO서비스 업무 처리를 위한 시스템 개발 시 법적 요구사항(정보통신망법, 개인정보보호법, 개인정보의 안전성 확보조치 기준 등)을 반영한 보안 요구사항을 수립하고 있는가?
|
| 2.8.5 |
소스 프로그램 관리 |
- 소스 프로그램 변경이 필요한 경우 해당 프로그램 개발 또는 시험 시스템에 복사 후 변경하고 있는가?
- 프로그램 설명서, 입·출력 레코드·설명서, 프로그램 목록 및 사용자·운영자지침서 등 소스 프로그램 유지보수에 필요한 문서를 작성·관리하고 있는가?
|
| 2.8.6 |
운영환경 이관 |
- 운영환경 이관 시 소스 프로그램 반출, 실행프로그램의 생성, 운영시스템 등록은 해당 프로그램 담당자 이외의 자가 수행하고 있는가?
|
| 2.10.1 |
보안시스템 운영 |
- 보안시스템은 최소한의 서비스포트(port)만 허용하고, 관리자 접속주소(IP)를 제한하는 등 비인가된 접속을 차단하고 업무목적 이외 기능을 제거하고 있는가?
- 보안시스템의 원격관리를 원칙적으로 금지하고 주기적으로 작동 상태를 점검하고 있는가?
- 보안시스템 장애, 가동정지 등 비상상황에 대비한 백업 및 복구절차를 수립·시행하고 있는가?
|
| 2.10.2 |
클라우드 보안 |
- 클라우드서비스에 전자적 침해행위 등 발생 시 MVNO서비스에 미치는 영향을 분석하고 있는가?
|
| 2.10.3 |
공개서버 보안 |
- 공개서버에서 제공하는 서비스와 무관한 소프트웨어·스크립트·실행파일 설치를 금지하고 있는가?
|
| 2.10.6 |
업무용 단말기기 보안 |
- MVNO서비스를 위해 네트워크에 연결하는 단말기는 업무목적과 관계없는 비인가 또는 불법 소프트웨어 설치를 제한하고 있는가?
- MVNO서비스의 중요시스템을 관리하기 위해 접속하는 단말기를 지정하고, 외부반출, 단말기 공유금지, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용하고 있는가?
|
| 2.11.2 |
취약점 점검 및 조치 |
- MVNO와 관련된 대외서비스는 최소 반기 1회 이상 웹서비스 취약점을 수행하고 조치하고 있는가?
|
| 2.11.3 |
이상행위 분석 및 모니터링 |
- 본인인증 우회, 부정가입 등 MVNO서비스의 비정상적인 행위를 탐지 및 대응을 할수 있는 절차가 마련되어 있는가?
|
