보안감사 - 공통 필수 감사 영역¶

1. 조직 & 정책¶

• 정보보호 정책 / 규정 / 지침 정의 및 승인 여부
• 정보보호 조직 구성 (CISO, 전담조직)
• 경영진 참여/보고 (보안위원회, 정기 보고)
• 위험관리 프로세스 (Risk Assessment, Risk Treatment)

2. 자산 관리¶

• 정보자산 식별/목록화 (서버, DB, 단말기, 네트워크, 클라우드 계정 등)
• 중요도 분류 (중요/보통/일반, 개인정보/기밀정보 등급)
• 자산별 책임자/담당자 지정 여부
• 신규/폐기 자산 관리 (장비 반납, 데이터 파기 등)

3. 인적 보안¶

• 입사/이동/퇴사 시 권한/계정 관리 절차
• 보안 서약서, 기밀유지 서약서
• 정기 보안 교육/훈련
• 인사 징계/보안 위반 처리 프로세스

4. 접근통제 (계정, 권한 관리)¶

• 계정 발급, 변경, 삭제 절차 (승인 프로세스)
• 권한 최소권한 원칙 적용 여부
• 공동 계정 (공용 ID) 사용 여부 및 통제
• 관리자/특권계정 관리 (패스워드 금고, 접근기록 로깅 등)
• 인증 수단 (MFA 사용 여부, 패스워드 정책 등)

5. 암호화 및 기밀성¶

• 중요 데이터 (개인정보, 기밀정보 등) 저장 시 암호화
• 전송 구간 (HTTPS, VPN) 암호화 적용
• 키 관리 (Key 관리 정책, 키 교체 주기, 접근 통제 등)
• 백업 데이터, 로그 데이터 안의 민감정보 처리 방식

6. 로그 및 모니터링¶

• 시스템/네트워크/보안장비/애플리케이션 로그 수집 여부
• 로그의 보존 기간, 위변조 방지
• 보안 이상 행위 모니터링 (SIEM, EDR, NDR 등)
• 관리자 행위 추적 (접속 기록, 설정 변경 기록 등)

7. 운영 보안 (인프라/서버/네트워크)¶

• 패치 관리 (보안 패치 적용 프로세스, 주기, 예외 관리)
• 악성코드 대응 (백신 EDR, 샌드박스 등)
• 구성관리 (서버/네트워크 표준 설정 Baseline, 변경관리)
• 취약점 진단 (정기 웹/서버/네트웤/클라우드 진단, 조치 여부)

8. 네트워크 보안¶

• 경계 구간 (인터넷, DMZ, 내부망 등) 설계 및 방화벽 정책
• 접근제어 (포트, 프로토콜 최소화)
• 원격 접속 통제 (VPN, Jump Server등)
• 무선랜 보안 (Wi-Fi 암호화, 게스트망 분리 등)

9. 애플러케이션 / 개발 보안¶

• 보안 코딩 정책 및 가이드
• 코드 리뷰/보안 리뷰 프로세스
• 정적/동적 분석 (SAST/DAST) 수행 여부
• 배포 전 취약점 조치 확인
• 버전관리 (Git 등) 및 접근권한 관리

10. 클라우드 보안¶

• 계정/권한 관리 (IAM 설계)
• 네트워크 설게 (VPC, Subnet, Security Group, FW등)
• 서비스별 보안 설정 (스토리지 퍼블릭 공개 여부, DB 접근통제 등)
• CloudTrail/Cloud Logging 등 감사 로그 수집
• 클라우드 보안 기준 (CSPM, org policy 등) 준수 여부

11. 물리적 보안¶

• IDC, 서버실 출입통제 (카드키, 출입기록, CCTV)
• 장비 반출입 관리
• 재해 예방 설비 (전원, 소방, 환경 모니터링 등)

12. 개인정보 / 규제 준수 (개인정보 보유 시 필수)¶

• 수집·이용·제공 동의 및 고지 절차
• 최소 수집 원칙, 목적 외 이용 금지
• 보유기간 관리 (파기 정책, 자동/수동 파기)
• 개인정보 처리 위탁/공유 관리 (수탁사 관리)
• 정보주체 권리(열람, 정정, 삭제, 처리정지 등) 처리 프로세스

13. 공급망 / 외주사 관리¶

• 협력사/외주사 보안 요구사항 (계약서, SLA)
• 외부 접속 계정/권한 관리
• 클라우드 MSP, 소프트웨어 공급사 등 제3자 리스크 관리

14. 사고 대응 & BCP(Business Continuity Plan)/DR(Disaster Recovery)¶

• 사고 대응 계획 (Incident REsponse Plan)
• 사고 분류 기준, 보고 체계, 대응 프로세스
• 보안사고 모의훈련 (침해사고, 랜섬웨어 등)
• BCP/DR 계획 및 정기 테스트 (복구시간 목표 등)