ISMS-P 인증 기준, 시간 동기화

 

ISMS-P 인증 

2.9. 시스템 및 서비스 운영관리

2.9.1.변경관리
2.9.2.성능 및 장애관리
2.9.3.백업 및 복구관리
2.9.4.로그 및 접속기록 관리
2.9.5.로그 및 접속기록 점검
2.9.6.시간 동기화
2.9.7.정보자산의 재사용 및 폐기

 

ISMS-P 간편인증(7의2)

2.8. 시스템 및 서비스 운영관리

2.8.1. 변경관리

2.8.2. 백업 및 복구관리

2.8.3. 로그 및 접속기록 관리

 

ISMS-P 간편인증(7의3) 

2.9. 시스템 및 서비스 운영관리

2.9.1. 변경관리

2.9.2. 백업 및 복구관리

2.9.3. 로그 및 접속기록 관리

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다.

 

주요확인사항

* 정보시스템의 시간을 표준시간으로 동기화하고 있는가?
* 시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가?

세부 설명

1. 표준 시간으로 동기화
로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 각 정보시스템의 시간을 표준 시간으로 동기화하여야 한다.
* NTP(Network Time Protocol) 등의 방법을 활용하여 시스템 간 시간 동기화
* 시간 정확성이 요구되는 모든 정보시스템은 빠짐없이 동기화 필요(출입통제시스템, CCTV저장장치 등)

2. 시간 동기화 주기적 점검
시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하여야 한다.
* 시간 동기화 오류 발생 여부, OS재설치 또는 설정변경 등에 따른 시간동기화 적용 누락 여부 등 점검

 

증거자료

* 시간 동기화 설정
* 주요 시스템 시간 동기화 증적

결함사례

* 일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며, 관련 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우
* 내부 NTP 서버와 시각을 동기화하도록 설정하고 있으나 일부 시스템의 시각이 동기화되지 않고 있고, 이에 대한 원인분석 및 대응이 이루어지고 있지 않은 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB