8. 네트워크 보안 운영

1. 네트워크 보안 솔루션 운영하기

1-1. 네트워크 보안 솔루션 요구사항 분석

1) 네트워크 장비 보안 전검 요구

분류	설명
관리자 기본(default) 비밀번호 변경 기능	- 최초 장비 접속 및 최초 서비스 접속시 관리자 기본(default) 비밀번호를 변경하는 기능을 제공하여야 한다. (적용 대상 예시)   * 로컬 콘솔 포트   * SSH   * HTTP/HTTPS   * FTP/TFTP/SFTP   * TELNET   * SNMP 등
안전한 비밀번호 설정 기능	- 비밀 번호는 9자리 이상 입력 가능하여야 하며, 숫자, 영문자 대소 문자, 특수 문자의 조합으로 구성할 수 있어야 한다.   * 숫자 (0~9)   * 영문자 대소 문자 (a~z, A~Z)   * 특수 문자(!, @, #, $, %, ^, &, *, (, ))
인증 실패 대응 기능	- 지정된 횟수(기본 값 5회 이하)이상 인증 실패 시 일정 시간(기본 값 5분 이상) 장비 접속을 제한 하는 기능을 제공하여야 한다.
인증 피드백 보호 기능	- 입력되는 비밀번호 등을 화면에서 볼 수 없도록 마스킹하는 기능을 제공하여야 한다.
인증 데이터 보호 기능	- 비밀번호를 암호 알고리즘(대칭 키 암호, 해시 함수 등)을 이용하여 안전하게 저장하여야 한다.   * 암호 사용과 관련된 부분은 '암호 지원' 부분을 참고한다.  - 장비에 저장된 모든 비밀 정보(비밀 번호, 사전 공유 키, 대칭 키, 개인 키 등)를 읽거나 유추할 수 없어야 한다.
암호 사용	- 암호화 및 해시 알고리즘의 보안 강도는 112bit급 이상을 만족하여야 한다   (예시)     * 해시 (SHA-224/256/384/512 등)     * 대칭 키 암호 (SEED, ARIA-128/192/256 등)     * 공개 키 암호 (RSA 2048등)     * 전자 서명 (RSA-PSS-2048/3072, ECDSA/KCDSA/EC-KCDSA 등)
관리자가 설정한 ACL 규칙에 따라 트래픽을 제어하는 기능	- 장비별 다음과 같은 ACL 기증을 제공하여야 한다.     * L3 장비 : IP Address(Source, Destination)     * L4 장비 : IP Address(Source, Destination), Port(Source, Destination)     * L5 이상 장비 : IP Address(Source, Destination), Port(Source, Destination), Protocol

2) 네트워크 보안 취약점 유형

구분	내용	도구
네트워크 기반 취약점	- 전체 네트워크를 대상으로 진단을 수행하며, 네트워크 관리자는 네트워크 기반 취약점 분석을 먼저 수행하여야 한다.  - 빠른 조치가 필요한 높은 위험을 가진 취약점을 즉각적으로 파악할 수 있으며 잘못된 방화벽의 구성 혹은 취약한 서버들을 쉽게 탐지할 수 있기 때문이다.	Rapid Nexpose Tenable Nessus Open Vas
호스트 기반 취약점	- 특정 호스트에 집중하여 진단을 수행하며, 클라이언트 - 서버 모델에서 클라이언트가 스캔을 실행하고 서버 혹ㄷ은 관리자에게 리포트를 전송하게 된다.  - 취약점 분석의 결과는 선택한 방법론에 의존적이게 된다.	오픈 소스 및 상용 도구 많음

3) 네트워크 보안 솔루션 현황

구분	현황
Firewall/VPN	아시아 태평양 지역 최대의 네트워크 보안 업체로 시○○ 시○○즈가 하드웨어 Firewall/VPN 시장에서는 27.9% 차지하는 것으로 조사되며, 그뒤를 이어 주○○가 11.9%의 점유율로 2위를 차지하였고, 3위는 체○ 포○○로 조사된다.
IDS/IPS	R제품, N제품, D제품, B제품, P제품 등이 있으며,300의 T제품, R○○의 D제품이 있다.
UTM	포○○을 필두로 시○○, 시○○ 컴○○, 서○○○○, 주○○ 등이 시장에 진출해 치열한 경쟁을 보이며, 향후 UTM 보안 장비를 공급하는 업체가 더욱 늘어날 것으로 예상 된다.
보안 패치 시스템	미국의 애○○ 그룹은 전 세계 보안 패치 시스템 시장이 향후 매년 50% 이상의 성장을 보이며 성장할 것으로 전망된다.
보안 이벤트 시각화	H사의 제품과 S사의 D제품이 시각화 기반의 시장을 개척하고 있다.
통합 보안 관리	네트워크 장비 업체(C사, N사 등)를 중심으로 UTM (Unified Threat Management) 어플라이언스, ITSoC 및 보안 모듈 형태로 네트워크 장비에 통합하는 추세이다.

4) 네트워크 보안 운영 수립절차

구분	내용
네트워크 위험 분석	- 다양한 네트워크와 운영 체제로 구성되어 있는 대형 네트워크는 전체 네트워크 운영 차원에서의 보안 수준을 결정하기에 앞서 위험 분석을 수행한다.  - 개별 시스템 또는 네트워크 보안 관리자는 개별 시스템 및 네트워크 차원에서의 추가 보안 수준을 결정하기 위하여 위험 분석을 수행한다.
의견 수렴	효과적인 보안 방침은 조직의 운영 및 관리 방침과 조화를 이룰 수 있을 때 그 효과를 발휘할 수 있다. 따라서 보안 방침의 수립 시 조직 관리층의 의견 및 해당 보안 방침을 사용할 조직원들의 의견을 수렴하여야 한다.
보안 역할 및  책임 정의	네트워크 및 분산 환경에서는 보안에 대한 책임이 일부 집중되어 있는 것이 아니라 사용자 전체에게 있다. 따라서 네트워크 관리자, 사용자 차원에서의 보안에 관한 역할과 책임을 정의하고 이에 대한 교육을 실시하여 보안의 책임의 중요성을 인식시킨다.
보안 정책 정의	네트워크 환경에서 모든 사용자 및 관리자는 자신들의 자산이 외부에 노출될 수 있음을 인지하고, 이를 예방할 수 있는 해당 네트워크 특성에 적합한 네트워크 보안 정책을 정의한다. 보안 정책에는 네트워크 침입 발생시 대처 방안도 포함하여야 한다.

 - 네트워크 보안 요구 사항에 의거하여 시스템을 안정적으로 운영하기 위한 운영 절차를 점검하고 개선 작업을 수행한다.

   ① 네트워크 보안 요구 사항에 의거하여 네트워크 보안 운영 절차를 수립한다.이전 단계에서 분석된 네트워크 보안 운영 요구 사항에 의거하여 관련 보안 정책 및 운영절차를 정비한다.

   ② 네트워크 솔루션 도입에 관련된 보안 운영 지침을 점검하고, 보안 요구 사항에 맞추어 작성한다. 네트워크 보안 운영을 위하여 도입되는 네트워크 보안 솔루션 도입에 대한 기준 등이 수립되어 있는지 점검한다.

   ③ 네트워크 보안 솔루션의 장애 관리 절차를 점검하고 개선 작업을 수행한다. 네트워크 보안 운영을 위하여 도입되는 네트워크 보안 솔루션 운영상 장애 발생 시의 대응 절차 등의 수립 여부를 점검한다.

   ④ 네트워크 보안 솔루션의 원격 운영 관리 절차 및 지침 등을 확인한다.

   ⑤ 공개된 서버 등 보안 위협이 큰 중요 자산에 대한 네트워크 보안 솔루션 운영 관리 절차를 확인한다.

   ⑥ 보안 솔루션의 취약점 관리가 제대로 되고 있는지를 확인한다.

2. 네트워크 보안 솔루션 운영 개선하기

2-1. 네트워크 보안 솔루션 개선 계획

1) 네트워크 보안 솔루션 점검

구분	내용
솔루션 SW/HW 관리	- 솔루션 인증 여부  - 최신 패치 적용 여부  - 불필요한 서비스 제거
계정 관리	- Default password 변경  - 관리자 패스워드 주기적 변경
네트워크 원격 관리	- 관리자 원격 관리 접근 통제  - 원격 관리시 idle이 있을 경우 접속 종료
정책 관리	- 정책 중복 점검  - 정책 변경 통제 절차  - 변경 요청 룰의 기술적 검토  - 침입 탐지 정책 검토
로그 관리	- 로그 데이터의 저장  - 정기적인 로그 점

(1) 방화벽

관리자가 허용하는 패킷만 내부 전송 및 외부 전송을 허용하는 방식으로, 가장 기본적인 개념의 네트워크 보안 솔루션이다.
  ① 방화벽(Firewall)은 외부 네트워크에서 내부 네트워크로 접근하려면 반드시 방화벽을 통과하도록 하여 내부 네트워크의 자원 및 정보를 보호하는 시스템이다.
  ② 외부와 내부 네트워크 간의 유일한 경로에 방화벽을 둠으로써 보안 서비스를 제공하여 불법적인 트래픽을 거부하거나 막을 수 있는 것이다. 투명성을 보장하지는 않지만, 내부 네트워크를 안전하게 보호할 수는 있다.

  ③ 방화벽의 기본 구성 요소는 네트워크 정책, 방화벽 사용자 인증 시스템, 패킷 필터링, 응용 계층 게이트웨이로 이루어진다.

(2) VPN

정보를 암호화하여 공중망을 통하여 전송함으로써 정보를 가로채기 당하더라도 데이터 유출을 차단시키는 네트워크 보안 솔루션이다.

(3) 침입 탐지 시스템

네트워크 공격 형태를 사전에 분석하여 규칙을 만들어 놓고, 이상 패킷을 실시간으로 감지하여 관리자에게 통보하여 공격에 대응하는 네트워크 보안 솔루션이다.
  ① 방화벽 등 네트워크 보안 시스템은 인증 받은 사용자나 네트워크, 응용 프로그램만 네트워크 자원에 접근하는 것을 허용한다.
  ② 방화벽처럼 단순한 접근 제어 수준의 통제만으로는 악의적인 공격에 효과적으로 대처하는 것이 불가능하다.
  ③ 네트워크와 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 침입 탐지시스템이 등장하게 되었다.

(4)침입 방지 시스템
침입 탐지 시스템에 방지 기능까지 자동으로 수행하는 네트워크 보안 솔루션이다.
① 방화벽과 침입 탐지 시스템을 이용한 보안 관리의 한계를 극복하려고 침입 방지 시스템(IPS: Intrusion Prevention System)이 등장하였다.
② 차세대 능동형 네트워크 보안 솔루션인 침입 방지 시스템은 네트워크에 상주하면서 트래픽을 모니터링하여 악성 코드 및 해킹 등의 유해 트래픽을 차단하고, 의심스러운 세션들을 종료시키거나 공격에 대처하는 등 다양한 조치를 취하여 적극적으로 네트워크를 보호한다.

 - 네트워크 보안 솔루션 개선 계획 절차

다양한 네트워크 보안 솔루션을 도입하여 운영하는 경우, 운영 인력의 전문성 결여 등의 문제로 취약점이 존재하므로, 최대한 이를 보완할 수 있는 개선 계획이 필요하다. 
① 네트워크 구성 분석
현재 네트워크 구성 요소를 도출하고 운영 중인 네트워크 보안 솔루션이 있다면 포함하여 구성 요소를 도출한다.
② 보안 위협 도출
네트워크 보안 솔루션의 구성 요소를 분석하여 위협 타깃을 설정하고 타깃별 발생 가능한 위협들을 위협 분석 모델링 기법을 이용하여 위협을 분석한다.
③ 보안 취약점 진단
위협 분석 결과로 도출된 내용을 바탕으로 위협 시나리오와 취약성을 진단하기 위한 취약점 점검 항목을 개발하고, 점검 항목별 취약점을 진단한다.

④ 개선 방안 수립
보안 취약점 진단 결과로 발견된 접근 제어 정책 모듈의 장애 등의 취약점에 대하여 대응하기 위하여 솔루션 패치 적용 등의 조치 방안 및 계획을 수립한다.네트워크 취약성 및 보안 솔루션 운영 현황에 대한 보안 취약성을 진단한다.

2) 네트워크 보안 취약점 분석 절차

① 대상 시스템 결정(Determine the Target System)
취약점 분석의 첫 번째 단계는 네트워크 관리자가 네트워크에서 목표로 하는 시스템의 IP(internal protocol)를 확인하는 것이다. 네트워크 관리자는 온라인 시스템들에 대응되는 IP 주소들을 확인하여야 한다.
② 가동 시스템 탐색(Locating the live systems)
첫 번째 단계에서 네트워크상의 모든 호스트에 대응되는 IP 주소를 확인하였다면, 다음으로 많은 핑거프린팅(Fingerprinting) 기술을 사용하여 그 중에서 살아 있는 호스트를 찾아야 한다. 이러한 핑거프린팅 기술에는 간단한 네트워크 관리 프로토콜 쿼리에서부터 복잡한 TCP/IP 스택 기반의 운영 시스템 확인까지 포함된다.
③ 서비스 목록 탐색(Listing Services)
첫 번째 단계와 두 번째 단계를 완료하고 나면 다음으로는 네트워크 관리자는 살아있는 각각의 호스트에 대하여 포트 스캐닝을 하여야 한다. 포트 스캐닝은 취약점 분석에서 가장 중요한 단계라고 할 수 있다. 포트 스캐닝을 통해 취약한 포트를 찾아낼 수 있고 특정 포트 번호 연결된 서비스를 알 수 있기 때문이다. 포트 스캐닝을 통하여 네트워크 관리자는 TCP와 UDP 서비스를 발견할 수 있다. 방화벽이 나 IDS를 우회할 수 있는 다양한 스캐닝 방법이 있다. 이 중에서 TCP ACK와 TCP 윈도우 스캐닝 기술이 추천된다. 특정 포트가 오픈되어 있다고 메시지를 받게 되면, 그 포트 번호는 로깅되고 후의 공격을 위하여 저장해 놓는다.
④ 서비스 인식(Recognizing services)
취약점 분석의 네 번째 단계는 모든 열린 포트의 서비스를 확인하는 것이다. 테스트는 비슷한 쿼리를 반복적으로 전송하고 분석 도구는 시그니처에 대한 응답 값을 분석할 것이다. 알려진 애플리케이션의 시그니처와 응답 값 사이에 일치성이 확인되면 그 데이터는 후의 공격을 위하여 저장되고 다른 서비스에 대한 테스트를 계속 수행한다.
⑤ 애플리케이션 확인(Identification Application)
취약점 분석 과정에서 가장 중요한 단계 중 하나이다. 네트워크 관리자는 네 번째 단계에서 서비스를 확인하는 단계에서 모든 서비스의 유형과 벤더를 정확하게 알게 될 것이다. 이 단계가 중요한 이유는 우리가 하나의 애플리케이션 취약점을 진단할 때 이것이 다른 애플리케이션에 영향을 주지 않는지 아니면 충돌이 발생하는지를 알아야 하기 때문이다.
⑥ 네트워크 취약점 확인(Identification of Vulnerability in network)
시스템이 테스트를 실행하기 위한 준비를 하게 된다. 네트워크에서 모든 오픈된 포트가 확인되었고 특정 애플리케이션에 대응되는 알려진 서비스도 확인되었다. 취약점 분석 진단이 시작되고 다음 액티브 구성 조사가 실행된 후 마지막에는 시스템에 존재하는 취약점에 대한 커스텀 공격도 실행하게 된다.
⑦ 발견된 네트워크 취약점 보고(Reporting the Vulnerability discovered)
마지막 단계는 시스템 혹은 네트워크에서 발견된 취약점에 대한 보고가 이루어진다. 보고서는 발견된 취약점이 높은 위험도를 가지는지의 여부를 기술하고 그에 대한 보안 대책도 기술된다.

3) 네트워크 공격 유형

① 서비스 거부(DoS: Denial of Service)
서비스 거부는 목표물을 시스템 장애 상태로 만들어 다른 사람이 요청하는 서비스를 거부하도록 만든다. 목표물에 대하여 연결 시도 폭주를 발생시키는 것을 포함하여 시스템 장애를 일으키도록 한다.
② 분산 서비스 거부(DDoS: Distributed Denial of Service)
분산 서비스 거부는 공격 유형은 목표물을 여러 장소에서 공격하기 위하여 분산해 다수의 공격 컴퓨터를 활용한다.
③ SYN 플러드 공격(SYN flood attack)
네트워크가 제대로 완성되지 않은 연결 요청을 초기화하려는 SYN 패킷들로 가득 차서 더 이상 정당한 연결 요청을 처리할 수 없도록 한다. 이것은 높은 CPU, 메모리, LAN카드의 이용률을 유발시키며, 결국 정상적인 서비스 요청에 대한 거부 상태를 야기시킨다.
④ UDP 플러드 공격(UDP flood attack)
ICMP 플러드와 유사하게, UDP 플러딩은 시스템 속도를 저하시키도록 UDP 패킷을 계속 보내서 더 이상 정당한 연결을 처리할 수 없게 만든다. 포트 53-DNS 플러딩은 이러한 공격의 전형적 수법이다.
⑤ 포트 스캔 공격(Port Scan attack)
이용 가능한 서비스의 종류를 조사하기 위하여 패킷들을 서로 다른 포트 번호로 보낸 후 응답을 기다리는 것이다.
⑥ 죽음의 핑(Ping of death)
TCP/IP에서는 데이터그램을 전송할 때, 패킷을 특정한 크기로 맞추어야 한다. 핑 명령어는 사용자가 패킷 크기를 크게 지정할 수 있도록 구현된 경우가 많다. 규정보다 긴 길이의 ICMP 패킷은 DoS, 시스템 파괴(crashing), 고착(freezing), 리부팅 등을 유발시킬 수 있다.
⑦ IP 스푸핑(IP spoofing)
공격자가 유효한 클라이언트 IP 주소나 이메일 주소 혹은 사용자 ID를 위조하여 방화벽 보안을 통과하려고 시도하는 것이다. 이것은 공격자가 컴퓨터 간의 신뢰 관계를 이용하려고 할 때 심각하다. 흔히 관리자들은 여러 개의 컴퓨터 사이에 신뢰 관계를 구축하여 단 하나의 로그인으로 모든 컴퓨터에 접속할 수 있다.
⑧ 랜드 공격(land attack)
SYN 공격과 IP 스푸핑을 혼합한 것으로, 공격자가 목적지 IP 주소와 발신지 IP 주소를 모두 희생자의 IP 주소로 위장한 SYN 패킷을 보내는 것이다. 이 패킷을 받는 시스템은 SYN-ACK 패킷을 다시 자기 자신에게 보냄으로써 응답한다. 그리하여 idle 타임아웃이 될 때까지 계속 빈(empty) 커넥션이 형성된다. 그러한 빈 컨넥션이 시스템의 처리 용량을 초과하게 되면 목표시스템을 서비스 거부 상태로 만들 수 있다.
⑨ 티어 드롭 공격(tear drop attack)
IP 패킷들의 재조립을 이용한 방법이다. IP 헤더의 옵션 중에는 오프셋이라는 것이 있다. 어떤 패킷 조각의 오프셋과 크기의 합계가 그 다음의 패킷의 오프셋과 다르면(오프셋 보다 크면) 두 개의 패킷이 오버랩되므로 서버가 패킷을 재조립하려고 할 때 문제가 발생한다.

⑩ 핑 스캔(Ping Scan)
포트 스캔 공격과 유사하게, 공격자가 ICMP 에코 요청(혹은 핑)을 여러 개의 서로 다른 목적지 주소로 보낸 후, 누군가 응답하기를 기다림으로써 목표로서의 가능성이 있는 IP 주소를 찾아내는 공격이다

4) 네트워크 보안 취약점 내/외부 점검 위치

① 외부 네트워크를 점검하여 보안 위협을 사전 차단한다.
인터넷 및 외부 네트워크에는 많은 해커가 존재하며, 이들은 언제 어느 통신망에 접속하여 내부 네트워크에 존재하는 자원 및 중요한 정보를 파괴, 변경, 갈취 등을 할지 예측할 수 없다. 이런 외부 공격자의 공격으로부터 내부 네트워크의 정보 및 자원을 보호하기 위해서는 외부 네트워크 점검을 실시하여 적절한 보호대책을 수립한다. 라우터에 의한 접근제어나 방화벽을 통해 내부 네트워크를 보호할 수 있지만 라우터나 방화벽의 Rule 설정 오류나 잘못된 내부 보안 정책으로 인해 내부 네트워크가 외부공격자에게 무방비 상태에 놓일 수도 있다. 외부 네트워크 점검을 통해 바로 이러한 문제를 발견하고 대처할 수 있다.
  (1) 외부에서 접근 가능한 모든 시스템을 점검한다.
  (2) 기관의 내부 네트워크를 보호하고 숨기기 위한 외부 라우터와 방화벽의 기능을 점검한다.

② 내부 네트워크를 점검하여 보안 위협을 사전 차단한다.
방화벽 시스템은 내부 사용자가 내부 네트워크에 존재하는 중요한 정보를 디스크나 테이프와 같은 매체를 통해 유출되는 것과 같은 형태의 침해를 방어하지는 못한다. 또한 다이얼 모뎀을 통한 비인가 된 접근과 바이러스 공격을 차단할 수 없다. 따라서 방화벽 시스템은 보호하고자 하는 네트워크의 자원이나 정보들을 완벽하게 불법 침입자로부터 보호할 수 없으며, 다만 외부 네트워크에서 내부 네트워크로의 진입을 1차로 방어해주는 기능을 수행한다. 방화벽은 내부사용자에 의한 악의적인 행동을 막아 줄 수 없으므로 내부 네트워크 점검을 통해 내부 네트워크에 존재하는 위험을 사전에 감소시켜야 한다.
  (1) 외부 시스템의 공격자가 사용자 인증을 거치지 않고 내부 시스템에 접근할 수 있게 하는 백도어를 점검한다.
  (2) 내부 사용자와 게스트로부터의 내부시스템 보안을 점검한다.

5) 정보 보호 관리 체계 국제 표준 규격(ISO 27001)

구분	통제 항목 수
정보 보호 정책	2
정보 보호 조직	11
자산 관리	5
인적 자원 보안	9
물리적/환경적 보안	13
통신 및 운영 관리	32
접근 통제	25
정보 시스템 취득, 개발, 유지보수	16
정보 보호 사고 관리	5
사업 연속성 관리	5
준거성	10
합계	133

ISO 27001(Informaion)은 정보 보호 관리 체계를 전반적인 경영 관리 시스템의 한 부분이며, 비즈니스, 위험 관리 기법을 기반으로 정보보호의 수립, 구현, 운영, 모니터, 검토, 유지 및 개선하기 위한 시스템으로 정의한다. 정보 보호에 필요한 요구 사항을 11개 도메인의 133개 통제 항목으로 구성하고 있다.

6) 정보 보호 관리 체계 인증 기준

구분	통제 내용	통제 항목
정보 보호 관리 과정	정보 보호 정책 수립 및 범위 설정	조직 전반에 걸친 상위 수준의 정보 보호 정책 수립, 정보 보호 관리 체계 범위 설정
	경영진 책임 및 조직 구성	정보 보호를 수행하기 위한 조직 내 각 부분의 책임 설정, 경영진 참여 가능하도록 보고 및 의사 결정 체계 구축
	위험 관리	위험 관리 방법 및 계획 수립, 위험 식별 및 위험도 평가, 정보 보호 대책 선정, 구현 및 계획 수립
	정보 보호 대책 구현	정보 보호 대책 구현 및 이행 방안, 내부 공유 및 교육
	사후 관리	법적 요구 사항 준수 검토 정보 보호 관리 체계 운영 현황 관리, 정기적인 내부 감사를 통하여 정책 준수 확인
정보 보호 대책	정보 보호 정책	정책의 승인 및 공표, 정책의 체계, 정책의 유지 관리
	정보 보호 조직	조직의 체계, 책임과 역할
	외부자 보안	계약 및 서비스 수준 협약, 외부자 보안
	정보 자산 분류	정보 자산 식별 및 책임, 정보 자산 분류 및 취금
	정보 보호 교육	교육 및 훈련 프로그램 수립, 교육 훈련 시행 및 평가
	인적 보안	책임 할당 및 규정화, 직원의 적격 심사, 비밀 유지
	물리적 보안	물리적 보호 구역 및 접근 통제, 장비 및 사무실 보호
	시스템 개발 보안	분석 및 설계, 구현 및 이행, 변경 관리
	암호 통제	암호 정책, 암호 사용, 키 관리
	접근 통제	접근 통제 정책, 사용자 접근 관리, 접근 통제 영역
	운영 보안	운영 절차와 책임, 시스템 네트워크 운영 관리 및 무선 관리, 악성 소프트웨어 통제, 원격 컴퓨터 및 원격 작업
	침해 사고 관리	절차 및 체계 대응 및 복구, 사후 관리
	IT 재해 복구	IT 재해 복구 체계 구축 및 대책 구현

정보 보호 관리 체계는 인증 심사 시 요구되는 필수 항목으로 조직 내부, 외부 위협 요소의 변화 또는 새로운 취약성 발견 등에 대응하기 위하여 지속적으로 유지 관리되는 순환주기 형태를 가진다. 다음은 정보보호 관리 체계의 순환 주기를 나타낸다. 정보 보호 관리 체계의 순환 주기는 정보 보호 정책 수립 단계, 범위 설정 단계, 위험 관리 단계, 구현 단계, 사후 관리 단계로 구성된다.
① 정책 수립 단계
조직 전반에 걸친 상위 수준의 정보 보호 정책을 수립하고, 정보 보호를 수행하기 위한 조직 내 각 부분에 대하여 책임을 설정하여야 한다. 또한 경영 목표를 지원할 수 있도록 정보 보호의 법적･규제적 요건과 전략적이고 조직적인 위험 관리를 기술한 정보 보호 정책을 수립하여야 한다.

② 범위 설정 단계
정보 보호 관리 체계 인증을 위한 ISMS 범위 내에 정보 자산을 식별하여야 한다. 이는 신청 기관의 특성, 위치, 기술, 자산 등 내･외적인 환경을 검토하여 범위를 설정한다. 또한 보호를 받을 가치가 있는 정보 자산을 식별하고 그것은 형태, 소유자, 관리자 등을 목록화하여야 한다.
③ 위험 관리 단계
조직 문화와 정보 자산에 적절한 위험 관리 전략과 계획을 수립하여야 한다. 이는 위험 관리 전략 및 분석 방법을 기록하고 위협, 취약성, 위험 식별, 잠재적 손실에 대한 영향 등의 위험 분석을 해야 한다.
④ 구현 단계
위험 관리 단계에서 수립된 정보 보호 계획에 따라 정보 보호 대책을 효과적으로 구현하고 필요한 교육과 훈련을 진행한다.
⑤ 사후 관리 단계
정보 보호 관리 체계를 운영하는 과정에서 상시적인 모니터링을 수행하고, 정기적인 내부 감사를 통하여 정책 준수 사항을 확인한다. 이러한 결과를 토대로 정보 보호 관리 체계를 재검토하고 관리 체계를 개선해 나간다.