SharedIT | 묻고 답하기(AMP)

전산실 일반보안 실사 준비 관련

안녕하세요 회사내에서 일반보안관련으로 전산팀 내에서 할 수 있는 업무를 보려고 합니다. 

우선 회사 내에서 볼 수 있는 일반 보안 부분은 아래와 같습니다.

사원증, 책상 서랍 시건여부, 문서고 시건여부 

이번에 갑자기 전산팀도 같이 참여해라 라고 지시가 떨어져서요 
전산실에서 할 수 있는부분을 생각해보았습니다. 

1. 일반USB 사용여부 확인 (회사에서는 업무용 USB가 별도로 지급됩니다.) (육안으로 PC에 꼽혀있으면 일반USB사용으로 간주) 
2. 무선WIFI 동글이 사용 여부 
3. PC부분 (BIOS (CMOS) 패스워드) , 윈도우 10 패스워드 적용여부 

이 3가지로 확인이 가능할 듯 합니다. 
혹시 추가적으로 더 확인해야 할 부분이 있는지요? 
 
Tags : 태그가 없습니다.

9개의 답변이 있습니다.

전산곰
  0 추천 | 5년 이상 전
다른분들 좋은 의견에 첨언하면
* 프로그램 개발관련
1. 프로그램 변경 요청서(TS)
2. 승인절차.
3. 프로그램 이관절차.
4.개발, 이관, 확인 권한 분리
5. 사용자 확인 문서.
6. 권한 부여 및 년간 권한 적합성 점검서.
쿨가이
  0 추천 | 5년 이상 전
좋은 말씀 많이 주셨는데요.

외부인 통제에 대한 부분도 체크하세요.

협력사 엔지니어 보안각서 제출 + 서버실 출입기록 작성등.
werther.chan
  0 추천 | 5년 이상 전
동일한 답변들이지만^^ 저희가 하고있는것은..
1. 보안정책 적용여부 (화면보호기, 보안솔루션 설치여부)
2. 회사 공식 P/G 설치여부
3. 패스워드 적용여부(1차,2차 등)
4. 불법소프트웨어 점검
5. 불법네트워크 사항 체크(회사내 공식 AP외 개인적으로 설치한 wifi)
6. 보안등급문서 방치여부 체크
7. 컴퓨터 on/off 체크
등등...^^
wansoo
  0 추천 | 5년 이상 전
출입구에 통제구역 표시를 붙여 두는 것도 기본일 것 같고...
출입 통제가 되고 있는지, 외부인 출입에 대한 방문 대장을 기록하고 관리하고 있는지...
보안 관리 정책도 만들어야 되지 않을까 싶고요~
낭만생선
  0 추천 | 5년 이상 전
아주 일반적이고 기본적인 부분만 말씀 드리면.

1, 계정 암호 정책(사용자, 시스템 계정등)
2. 윈도우 업데이트, 백신 충실히 설치 및 업데이트 되고 있는지. 전담 인력 있는지.
3. 자산 관리 대장 관리하는지(HW, SW)
4. 저장 매체 관리
5. 서버룸(Datacenter)에 물리적으로 접근 제한을 하고 있는지(입출입시 로그, 기록 남기는지)
6. HDD 폐기 절차

심도 있게 들어가면 한도 끝고 없지만..
가장 기본적인게 이정도쯤 되는것 같습니다.
backattack
  0 추천 | 5년 이상 전
개인정보가 있는 경우 암호화를 준수하고 있는지 체크요~
그저멍하니
  0 추천 | 5년 이상 전
1. 화면보호기
2. 암호정책 ( 8자 이상, 대문자, 특수문자 포함 )
3. 사내 시스템(GW,ERP) 권한 부여 적절성 평가

참고해주세요.
헛계나무
  0 추천 | 5년 이상 전
보통은 말씀하신 내용에 백신 설치여부, 최신 업데이트 적용여부 등이 포함될듯 합니다 ^^
미생
  0 추천 | 5년 이상 전
어느정도의 인력으로 어느정도의 일을 하실건지에 대한 부분이 정리되어야 할것 같습니다.

1. USB의 경우 관리규정이 있어서 허가된 USB만 이용 가능한지, 관련해서 소프트웨어등으로 통제가 되는지, 상황에 따라서는 해당 USB는 암호로 보호되는 보호영역 안에만 회사관련 데이터를 넣어 혹시라도 발생 가능한 분실등의 이슈에 대해 대처 가능하게 되어있는지 같은 부분도 있을 것으로 생각됩니다. 

2. 무선 Wifi 동글이라는게 어떤건지 모르겠으나, 혹시 유선으로 연결된 망을 사용자임의로 무선 Wifi를 쓸 수 있도록 해서 스마트폰 등을 무선네트워크에 연결해주는 등의 핫스팟 계열의 뭔가라면 비인가 망사용으로 봐야 하는게 맞을것 같습니다.

3. CMOS 패스워드는 기본적으로 사용하는걸 권장드리고, 윈도우 계정의 패스워드 적용 여부까지는 하시면 좋을듯 하고 추가로 해보실 수 있는건 일정 대기기간동안 입력이 없을경우 (보통 짧은 곳은 1분, 길어도 3~5분정도 잡습니다) 잠금화면으로 전환되도록 정책이 설정되어있는지 등을 보시는 것도 필요하다면 좋을 것 같습니다.

이번에 간담회에서 AD AD이야기는 하도 들어서 AD를 쓰면 보안쪽에서도 정책적으로 강력한 뭔가가 가능할것 같단 생각만 머릿속을 헤메입니다.

논외로 개인정보 보호 관련 사항도 있으니, 개인의 식별이 가능한 정보 특히 주민번호등이 있는 자료들은 최소 파일 자체단에서 패스워드를 걸어 관리하는지 정도등을 점검하실 수도 있을것으로 생각됩니다.