[ISMS-P] MVNO(알뜰폰 사업자) 대상 주요 확인사항(특화항목 40개)

• 위원회에서 MVNO서비스의 안전성 확보 및 이용자의 보호에 관한 사항을 심의∙의결하고 있는가?

– MVNO서비스의 정보기술 부분 계획에 관한 사항
– MVNO서비스의 안전성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
– MVNO서비스의 사고 예방 및 조치
– 그 밖에 MVNO서비스를 위하여 정보기술부분에 필요한 사항

• MVNO서비스 이용 및 이용자 인증 등을 안전하게 제공, 관리하기 위한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?

• 정보보호 및 개인정보보호 정책을 수립하기 위한 MVNO서비스와 관련한 최근 동향, 가이드라인 등을 반영하고 있는가?

– MVNO서비스와 관련한 최근 동향, 가이드라인 현황을 지속적으로 모니터링하여 변경이 이루어질 경우 MVNO서비스에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 약관 등에 반영하여 최신성 유지

• MVNO서비스의 안전성 확보 및 이용자 보호를 위해 정보기술 및 정보보호에 필요한 예산과 인력을 지원하고 있는가?

• 이용자 본인 확인을 위한 신분증 및 구비서류를 수취하기 위해 운영하는 시스템을 식별하여 그 목록을 최신으로 관리하고 있는가?

– 정보시스템 : 신분증 스캐너, 평판스캐너, 웹팩스, 웹사이트, 웹하드, 앱
– 정보 : 문서적 정보와 전자적 정보 모두를 포함 (신분증 사본, 가족관계증명서 등
– MVNO사업자가 개통 등의 업무를 위하여 MNO(Mobile Network Operator)사업자가 관리하는 사이트를 이용할 경우 해당 사이트도 자산으로 식별 필요

• MVNO서비스별(개통, 비개통 등) 업무를 구분하고 각 업무별 절차, 흐름 및 준수사항을 파악하여 문서화하고 있는가?

– MVNO서비스별 업무 현황 식별
– 업무 절차별 신분증 등 처리하는 정보에 대한 흐름 분석
– 업무 절차별 처리하는 정보에 대해 문서화 : 처리정보 현황표 등

• 본인인증 과정 등에서 발생할 수 있는 위험을 식별 평가하고 발견된 문제점을 개선 조치 및 이행 실태를 연 1회 이상 점검하고 있는가?

• 본인인증 과정 등에서 식별된 위험을 처리하기 위한 적합한 보호대책을 선정하고 있는가?

• 경영진은 MVNO서비스의 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수 여부를 연 1회 이상 정기적으로 점검하고 최고경영자에게 보고하고 있는가?

• 정보보호최고책임자는 정보보호점검의 날을 지정하고, 정보보호 점검항목을 수립하여 매 분기별 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?

• 최고경영자는 임직원이 정보보호 관련법규를 위반할 경우 그 제재에 관한 세부기준 및 절차를 마련하여 운영하고 있는가?

• MVNO서비스 침해사고 동향, 신규 취약점 발생 등 관련 정책 및 시행문서에 미치는 영향을 검토하고 제‧개정하고 있는가?

• MVNO 서비스 처리 또는 관련 시스템의 주요 직무자 및 개인정보취급자 지정을 최소화 하고 관리방안을 수립 및 이행하고 있는가?

• MVNO서비스의 일부를 외부에 위탁하거나 외부의 시설 또는 서비스를 이용하는 경우 현황을 식별하고 발생하는 위험을 파악하여 보호대책을 마련하고 있는가?

• MVNO서비스의 개발, 구축을 외부에 위탁 시 내부 보안수준에 상응하는 보호조치와 이를 관리·감독하기 위한 절차를 포함하고 있는가?

• 외부자 보안 계약에 대한 적절성 검토와 자체적인 통제를 위해 관리감독 조직과 인력을 갖추고 있는가?

• 개발 업무용 장소 및 전산설비는 내부 업무용과 분리 설치·운영되고 있는가?

• 전산실이 위치한 건물 출입구는 전산실 출입문을 한곳으로 지정하여 운영하고 있으며, 주요 설비시설에 대해 출입통제하고 있는가?

• 본인인증 시스템 등 MVNO 서비스의 중요시스템을 운영하는 보호구액 내 무선네트워크 설치 및 운용을 금지하고 있는가?

• MVNO서비스 제공을 위한 본인인증 절차는 보안 표준을 준용하고 본인인증 시 실명 확인 요청과 추가 검증 절차를 적용하고 있는가?

• MVNO 서비스 제공을 위한 본인인증은 내부시스템을 이용하고, 외부 검증된 기관과 비교확인 등 강화된 인증 방식을 적용하고 있는가?

• 비밀번호, 생체인식정보 등에 대해 조회가 불가피하게 인정되는 경우 조회사유, 내용 등을 기록 관리하고 있는가?

• 서비스 제공 시 계정 및 비밀번호 관리 절차 등 이용자 유의사항을 공지하고 있는가?

• 본인인증 등 MVNO서비스의 중요 시스템은 내부 및 다른 서버존 장비들과 별도로 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?

• MVNO서비스 관련 서버, 네트워크시스템 등에 직접 접속 하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔은 적절한 접근통제를 적용하고 있는가?

• MVNO 서비스의 업무 처리를 위해 수집되는 비정형 개인정보(신분증, 가족관계증명서 등)에 대해 저장 시 가림 처리(마스킹)하여 저장하고 있는가?

• MVNO서비스 네트워크 전송구간의 안전한 암호화 통신을 위해 취약하지 않은 암호화 방식을 사용하도록 설계하였는가?

• MVNO서비스 업무 처리를 위한 시스템 개발 시 법적 요구사항(정보통신망법, 개인정보보호법, 개인정보의 안전성 확보조치 기준 등)을 반영한 보안 요구사항을 수립하고 있는가?

• 소스 프로그램 변경이 필요한 경우 해당 프로그램 개발 또는 시험 시스템에 복사 후 변경하고 있는가?

• 프로그램 설명서, 입·출력 레코드·설명서, 프로그램 목록 및 사용자·운영자지침서 등 소스 프로그램 유지보수에 필요한 문서를 작성·관리하고 있는가?

• 운영환경 이관 시 소스 프로그램 반출, 실행프로그램의 생성, 운영시스템 등록은 해당 프로그램 담당자 이외의 자가 수행하고 있는가?

• 보안시스템은 최소한의 서비스포트(port)만 허용하고, 관리자 접속주소(IP)를 제한하는 등 비인가된 접속을 차단하고 업무목적 이외 기능을 제거하고 있는가?

• 보안시스템의 원격관리를 원칙적으로 금지하고 주기적으로 작동 상태를 점검하고 있는가?

• 보안시스템 장애, 가동정지 등 비상상황에 대비한 백업 및 복구절차를 수립·시행하고 있는가?

• 클라우드서비스에 전자적 침해행위 등 발생 시 MVNO서비스에 미치는 영향을 분석하고 있는가?

• 공개서버에서 제공하는 서비스와 무관한 소프트웨어·스크립트·실행파일 설치를 금지하고 있는가?

• MVNO서비스를 위해 네트워크에 연결하는 단말기는 업무목적과 관계없는 비인가 또는 불법 소프트웨어 설치를 제한하고 있는가?

• MVNO서비스의 중요시스템을 관리하기 위해 접속하는 단말기를 지정하고, 외부반출, 단말기 공유금지, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용하고 있는가?

• MVNO와 관련된 대외서비스는 최소 반기 1회 이상 웹서비스 취약점을 수행하고 조치하고 있는가?

• 본인인증 우회, 부정가입 등 MVNO서비스의 비정상적인 행위를 탐지 및 대응을 할 수 있는 절차가 마련되어 있는가?