정보 보안 실무 09 KISA-ISMS를 기준으로 한 관리보안 개요 및 대책-2

정보 보안 실무 09 KISA-ISMS를 기준으로 한 관리보안 개요 및 대책-2

주요 정보보호 대책

1. 정보보호 대책

주요 정보보호 대책

정보보호 대책은 총 13개 분야, 총 92개의 통제사항으로 이루어져 있는데요. 이 중 정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육 및 훈련, 인적 보안, 물리적 보안에 대해 살펴보겠습니다.

정보보호 정책은 조직의 정보보호 활동에 대한 기본적 방향과 근거를 제시해 주는 문서로서 간결하며 알기 쉽게 작성하여 배포되어야 합니다. 이를 위한 정보보호 정책 통제 분야에는 정책의 승인 및 공표, 정책의 체계, 정책의 유지 관리가 있습니다.

각 통제분야에 대한 통제항목으로는 정책의 승인 및 공표, 상위 정책과의 연계성 및 정책시행 문서의 수립, 그리고 정책의 검토 및 정책문서의 관리가 있습니다.

먼저 정책의 승인 및 공표에 대해서 알아보겠습니다.

정책 승인 방법에 대해 살펴볼까요? 정책보호 정책은 의무적으로 반드시 준수해야 하는 강제성이 있는 규정이며, 조직 전반에 일관성 있게 적용되어야 합니다. 이와 같은 정책이 효과적으로 적용되기 위해서는 이해관련자의 검토 및 최고경영자의 승인과  지속적인 지원 약속이 반드시 필요합니다. 이를 위한 점검항목을 살펴보면, ‘정보보호 정책 및 정책시행 문서의 제·개정 시 이해관련자의 검토를 받고 있는가?’와, ‘정보보호 정책 제·개정 시 최고경영자의 승인을 받고 있는가?’, ‘지침, 절차 등 정책시행 문서 제·개정 시 최고경영자의 위임을 받은 책임자의 승인을 받고 있는가?’를 점검해야 합니다.

그럼, 승인된 정보보호 정책을 공표하기 위해서는 어떻게 해야 할까요? 정보보호 정책 문서는 모든 임직원 및 관련자에게 이해하기쉬운 형태로 전달해야 합니다. 이를 위한 점검항목을 살펴보면, 정보보호 정책 및 정책시행 문서의 제·개정 시 그 내용을 관련 임직원에게 공표하고 있는지, 그리고 ‘정보보호 정책 및 정책시행 문서를 관련 임직원에게 이해하기 쉬운 형태로 전달하고 최신본으로 제공하고 있는지 여부를 점검해야 합니다.

정보보호 정책 통제분야 중에서 정책의 체계를 위해서는 상위 정책과의 연계성에 대한 통제도 필요합니다. 정보보호 정책은 상위조직 및 관련 기관의 정책과 연계성을 유지하여야 합니다. 점검항목을 살펴보면,  정보보호 정책이 상위 조직 및 관련기관의 정책과 연계성이 있는지, 검토하는지 여부를 점검해야 합니다.

그럼, 정책 체계를 위한 정책시행 문서 수립 시 어떤 점에 유의해야 할까요? 정보보호 정책의 구체적인 시행을 위한 정보보호지침, 절차를 수립하고 관련 문서간의 일관성을 유지해야 합니다.

점검항목으로는 정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 정보보호 지침, 절차, 매뉴얼 등을 수립하고 있는가와  정보보호 정책과 지침, 절차 등과 같은 정책시행 문서 간 내용의 일관성 여부를 검토하고 유지하고 있는지 여부를 점검해야 합니다.

정보보호 정책을 통제하기 위해서는 정책의 유지관리도 해야 합니다.

이를 위한 정책 검토 방법에 대해 알아볼까요? 정기적으로

정보보호 정책 및 정책 시행문서의 타당성을 검토하고, 중대한 보안사고 발생, 새로운 위협 또는 취약성의 발견, 정보보호 환경에 중대한 변화 등이 정보보호 정책에 미치는 영향을 분석하여 필요한 경우 제·개정해야 합니다. 점검항목을 살펴보면, 정보보호 정책 및 정책시행 문서의 정기적 타당성 검토 절차를 수립하고 있는가와 중대한 환경 변화 시 정보보호 정책 및 정책시행 문서에 미치는 영향을 분석하고 제·개정 필요성 여부를 검토하고 있는지 여부입니다.

정책 유지 관리를 위해서는 정책 문서 관리 또한 필요합니다. 정보보호 정책 및 정책 시행 문서의 이력 관리를 위해 제정, 개정, 배포, 폐기 등의 관리 절차를 수립하고 문서는 최신본으로 유지해야 하며, 정책문서 시행에 따른 운영 기록을 생성하여 유지해야 합니다.

점검 항목을 살펴보면, ‘정보보호 정책 및 정책시행 문서의 제정, 개정, 배포, 폐기 등의 이력을 확인할 수 있도록 관리 절차를 수립·이행하고 있는가?’, ‘정보보호 정책 및 정책 시행 문서는 최신본으로 관리하고 있는가?’, ‘정보보호 정책 및 정책 시행 문서에서 정한 정보보호 활동 수행에 관한 운영 기록을 생성하여 유지하고 있는가?’의 여부를 점검합니다.

2. 정보보호 조직

정보보호 조직의 통제분야 및 통제항목은 어떨까요? 먼저 통제 분야에는 조직의 체계와 역할 및 책임이 있습니다.

정보보호 관리활동을 체계적으로 이행하기 위하여 신청기관 특성에 적합한 정보보호조직을 구성해야 하는데요. 조직 전반에 걸친정보보호 활동을 계획, 관리하는 정보보호관리자는 해당 직무를 수행하기 위한 적합한 능력을 갖추어야 하고, 명확한 책임과 역할이 규정되어야 합니다. 필요시 정보보호활동의 조정 심의 및 승인을 담당하는 정보보호위원회가 구성될 수 있습니다.

정보보호위원회는 고위 임원의 정보보호 의사결정체입니다. 이러한 위원회가 있을수록 정보보호 활동이 활발히 이루어 집니다.

조직체계를 위해서는 먼저 정보보호 최고책임자를 지정해야 합니다. 최고경영자는 임원급의 정보보호 최고책임자를 지정하고 정보보호 최고책임자는 정보보호 정책 수립, 정보보호 조직 구성, 위험관리, 정보보호위원회 운영 등의 정보보호에 관한 업무를 총괄 관리해야

합니다.

점검항목은 ‘최고경영자는 조직의 정보보호 관련 업무를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자를 지정하고 있는가?’ 여부입니다.

또한, 조직체계를 위해서는 실무조직을 구성해야 합니다. 최고경영자는 정보보호 최고책임자의 역할을 지원하고 조직의 정보보호 활동을 체계적으로 이행하기 위해 실무조직을 구성하고 조직 구성원의 정보보호 전문성을 고려하여 구성해야 합니다.

점검항목은 최고경영자는 정보보호 최고책임자의 역할을 지원하고 조직의 정보보호 활동을 체계적으로 이행하기 위한 실무조직을 구성하고 있는가와 정보보호 전문성을 고려하여 실무조직 구성원을 임명하고 있는지 여부입니다.

그리고, 정보보호 자원할당 등 조직 전반에 걸친 중요한 정보보호 관련사항에 대한 검토 및 의사결정을 할 수 있도록 정보보호위원회를 구성하여 운영해야 합니다. 점검항목은 정보보호위원회 구성, 운영, 역할 및 책임 등을 정한 규정을 마련하고 있는가와 정보보호위원회는 중요한 정보보호 관련 사항에 대해 검토 및 의사결정을 할 수 있는 인원으로 구성하고 있는지 여부입니다.

정보보호 조직 체계를 위한 각 구성원의 역할 및 책임도 지정해야 합니다. 정보보호 최고책임자와 정보보호 관련 담당자에 대한 역할 및 책임을 정의하고 그 활동을 평가할 수 있는 체계를 마련해야 합니다. 점검항목은 ‘정보보호 최고책임자와 정보보호 관련 담당자의역할 및 책임을 정의하고 있는가?’와, ‘정보보호 최고책임자와 정보보호 관련 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?’입니다.

3. 외부자 보안

이번에는 외부자 보안을 위한 정보보호 정책 통제분야 및 통제항목에 대해 알아보겠습니다. 통제 분야는 보안 요구사항 정의와 외부자 보안 이행이 있습니다. 외부자 보안을 위해  외부 위탁업체나 제 3자가 준수해야 할 보안 요구사항을 계약 시 명시하고 지속적인 점검을 시행하고 계약 만료 시에도 보안 준수사항을 점검해야 보안 사고의 발생을 예방할 수 있습니다.

그럼 외부자와 계약 시 필요한 보안 요구사항에는 어떠한 것이 있을까요? 조직의 정보처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시해야 합니다. 점검항목은 외부자에게 위탁하는 경우에는 보안 요구사항을 정의하여 계약 시 반영하고 있는지 점검해야 합니다.

외부자에 대한 보안 이행 관리는 외부자가 계약서 및 협정서에 명시된 보안요구사항의 이행여부를 관리 감독하고 주기적인 점검 또는 감사를 수행해야 합니다. 점검항목은 외부자가 계약서에 명시한 보안요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 문제점 발견 시 개선할 수 있는 보호대책을 수립·이행하고 있는지 여부입니다.

외부자에 대한 보안 이행 관리는 외부자가 계약서 및 협정서에 명시된 보안요구사항의 이행여부를 관리 감독하고 주기적인 점검 또는 감사를 수행해야 합니다. 점검항목은 외부자가 계약서에 명시한 보안요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를

수행하고 문제점 발견 시 개선할 수 있는 보호대책을 수립·이행하고 있는지 여부입니다.

다음으로 외부자와의 계약 만료, 업무 종료, 담당자 변경 시 조직이 외부자에게 제공한 정보자산의 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 시 알게 된 정보의 비밀유지 확약서 등의 내용을 확인해야 합니다.

4. 정보자산 분류

이번에는 정보자산 분류의 통제분야 및 통제항목에 대해 살펴보겠습니다. 정보자산의 위험, 노출, 취약점, 위협, 확률 등을 고려하여

우선순위를 부여하고 우선순위에 따라 정보자산을 분류하여 등급 산정 및 알맞은 보안설정을 해야 하는데요. 이를 위해서는 정보자산의 식별 및 책임, 정보자산의 분류 및 취급이 꼭 필요한 부분입니다.

하나씩 알아볼까요?

먼저 정보자산 식별 및 책임 부분에서 먼저 정보자산 식별입니다. 조직의 업무특성에 따라 정보자산 분류기준을 수립하고 정보보호

관리체계 범위 내 모든 정보자산을 식별해야 하고 식별된 정보자산을 목록으로 관리해야 합니다. 점검항목은 정보자산의 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하고 있는지 여부와 식별된 정보자산을 별도 목록으로 관리하고 있는지 여부입니다.

5. 정보보호 교육 및 훈련

정보자산별 책임 할당은 식별된 정보자산에 대한 책임자 및 관리자를 지정하여 책임소재를 명확히 해야 합니다.

점검항목은 식별된 정보자산에 대한 책임자 및 관리를 지정하고 있는지 여부입니다.

다음으로 정보자산을 분류하고 취급에 대해 살펴보겠습니다. 다음으로 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 정보자산이 조직에 미치는 중요도를 평가하고 그 중요도에 따라 보안등급을 부여해야 합니다. 또한, 보안등급을 표시하고 등급 부여에 따른 취급절차를 정의하여 이행해야 합니다.

이번에는 정보보호 교육 및 훈련의 정보보호 정책 통제분야 및 통제항목에 대해 살펴보겠습니다. 정보보호의 주체는 사람으로 모든 직원들이 보안에 대해 인식하고 있어야 합니다. 때문에 전체직원들에 대해서 교육이 필요하며 이를 프로그램화하여 계획을 세우고대상 선정 및 교육 방법 구성해야 하며, 교육 시행 및 평가를 해야 합니다.

교육 프로그램 수립을 위해서는 먼저 교육 계획이 필요합니다. 정보보호 교육 및 훈련을 위해 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 및 훈련 계획을 수립해야 합니다. 점검항목은 정보보호 교육 및 훈련의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 및 훈련 계획을 수립하고 있는지 여부와  정보보호 교육 및 훈련 시행을 책임질 수 있는

경영진이 정보보호 교육 및 훈련 계획을 검토하여 승인하고 있는지 여부입니다.

교육 대상에는 정보보호 관리체계 범위 내에서 임직원 및 외부자를 모두 포함하며 이에 대한 점검이 필요합니다.

교육 내용 및 방법에서 교육 내용에는 정보보호 및 정보보호 관리체계 개요, 보안사고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정해야 합니다.점검항목은 임직원 대상 기본 정보보호교육에 해당 내용을 포함하고 있는지 여부와 IT 및 정보보호 조직 내 임직원은 정보보호와 관련하여 직무별 전문성 제고를 위하여 필요한 별도의 교육을 받고 있는지 여부입니다.

.

그럼 교육 시행 및 평가는 어떻게 해야 할까요? 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 조직 내·외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행하여야 합니다. 또한, 교육 시행에 대한 기록을 남기고 시행해야 합니다.

교육 시행 및 평가를 위한 점검항목은 다음과 같습니다.

6. 인적 보안

인적 보안의 통제분야 및 통제항목에 대해 살펴보겠습니다. 직원들이 지켜야 할 사항들을 책임에 할당시켜야 하며 직무기술서에

명시하여 책임을 명확히 해야 합니다. 또한 모든 사람들에게  비밀 유지 서약서를 받아야 합니다.

먼저 정보보호 책임을 위해서는 주요 직무자 지정 및 감독이 필요합니다. 인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급하는 임직원의 경우 주요 직무자로 지정하고 주요직무자 지정을 최소화 하는 등 관리할 수 있는 보호대책을 수립해야 합니다. 점검항목은 조직 내 중요 정보자산을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하고 있는지 여부와 중요정보를 취급하는 주요 직무자는 최소한으로 지정하고 주기적으로 주요 직무자 현황을 관리하고 있는지 여부입니다.

또한,  직무 분리를 위해서 권한 오남용 등 고의적인 행위로 인해 발생할 수 있는 잠재적인 피해를 줄이기 위하여 직무 분리 기준을

수립하고 적용해야 합니다. 다만 인적자원 부족 등 불가피하게 직무분리가 어려운 경우 별도의 보완통제를 마련해야 합니다. 점검항목은 직무의 권한 오남용을 예방하기 위하여 정보보호 관련 주요 직무 분리 기준을 수립하고 직무별 역할과 책임을 명확하게 기술하고

있는지 여부와 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는지 여부입니다.

정보보호의 비밀유지를 위해서 임직원으로부터 비밀유지 서약서를 받아야 하고 임시직원이나 외부자에게 정보시스템에 대한

접근권한을 부여할 경우에도 비밀유지 서약서를 받아야 합니다. 점검항목은 신규 인력 채용 시 정보보호 책임이 명시된

정보보호서약서를 받고 있는지와 임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한을 부여할 경우, 정보보호에 대한 책임을 계약서에 명시하고 이에 대한 정보보호서약서를 받고 있는지 여부입니다.

그리고 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는지, 정보보호서약서 및 비밀유지서약서는 법적 분쟁 발생 시 증거자료로 사용할 수 있도록 안전하게 보존하고 용이하고 찾아볼 수 있도록 관리하고 있는지를 점검해야 합니다.

인사규정 중에서 퇴직 및 직무변경 관리에 대해 살펴보겠습니다. 퇴직 및 직무변경 시에는 인사부서와 정보보호 및 시스템 운영 부서 등 관련 부서에서 이행해야 할 자산반납, 접근권한 회수·조정, 결과 확인 등의 절차를 수립해야 합니다. 점검항목은  부서 및 직무변경,

휴직, 퇴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 정보시스템 운영부서 간에 공유되고 있는지, 조직 내 인력의 직무변경 혹은 퇴직 시 정보자산 반납, 접근권한 조정·회수, 결과 확인 등 수립된 절차에 따라 지체 없이 이행하고 있는지 여부입니다.

상벌규정은 인사규정에 직원이 정보보호 책임과 의무를 충실히 이행했는지 여부 등 정보보호 활동 수행에 따른 상벌 규정을 포함해야 합니다. 점검항목은 ‘인사규정에 임직원이 정보보호 책임과 의무를 충실히 수행했는지 여부에 따른 상벌규정이 문서로명시화 되어 있는가’입니다.

7. 물리적 보안

물리적 보안을 위한 정보보호 정책 통제분야 및 통제항목에 대해 살펴보겠습니다. 물리적 보안을 위해 보호구역을 지정하여 외부인의 물리적인 접근을 제한해야 하며, 시스템을 물리적으로 외부와 격리시켜 보호해야 합니다. 또한, 클린 데스크를 통하여 쉽고  효과적인 방법으로 사무실 보안 대책을 마련해야 합니다.

먼저 물리적 보호구역을 위해서는 보호구역을 지정해야 합니다. ‘비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행해야 합니다.

점검항목은  주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 다음과 같이 정의하고 구역별

보호대책을 수립·이행하고 있는지 여부입니다.

그럼, 보호설비는 어떤 것이 있으며, 어떻게 관리해야 할까요? 각 보호구역의 중요도 및 특성에 따라 화재, 전력이상 등 인·재해에대비하여 온습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 설비를 충분히 갖추고 운영절차를 수립하여 운영해야 합니다. 또한 주요 시스템을 외부 집적정보통신시설에 위탁 운영하는 경우 관련 요구사항을 계약서에 반영하고 주기적으로

검토를 수행해야 합니다. 점검항목은 ‘화재, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립·관리하고 있는가?’, ‘화재로부터 보호하기 위하여 필요한 설비를 설치하고 지속적으로 운영·관리하고 있는가?’가 있습니다.

또한, ‘누수를 탐지할 수 있는 설비를 설치하고 지속적으로 운영·관리하고 있는가?’, ‘항온·항습 또는 에어컨을 설치하여 운영·관리하고 있는가?’가 있습니다.

그리고 ‘전력을 안정적으로 공급받을 수 있도록 시설을 설치하고 지속적으로 운영·관리하고 있는가?’, ‘비상벨, 비상등, 비상통로

안내표지 등을 설치하고 있는가?’, ‘물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?’의 여부입니다.

보호구역 내 작업 시의 보안을 위해서는 유지보수 등 주요 설비 및 시스템이 위치한 보호구역 내에서의 작업 절차를 수립하고  작업에 대한 기록을 주기적으로 검토하여야 합니다. 점검항목은 보호구역 내 중요한 장비, 문서, 매체 등에 대한 반출입 관련 정책 및 절차를수립·이행하고 있는가의 여부입니다.

또한, 출입통제는 ‘보호구역 및 보호구역 내 주요 설비 및 시스템은 인가된 사람만이 접근할 수 있도록 출입을 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토해야 합니다. 점검항목은 각 보호구역별 내·외부자 출입통제 절차를 마련하고

출입 가능한 임직원 현황을 관리하고 있는지 여부와  각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고 출입기록 및

출입권한을 주기적으로 검토하고 있는지 여부 및 보호구역 내 중요한 장비, 문서, 매체 등에 대한 반출입 관련 정책 및 절차를 수립·이행하고 있는지의 여부입니다.  

모바일 기기 반출입은  노트북 등 모바일 기기 미승인 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고  예방을 위해 보호구역 내 임직원 및 외부자 모바일 기기 반출입 통제절차를 수립하고 기록·관리해야 합니다.

점검항목은 노트북, 패드 등 모바일 기기 반출입 시 반출입 통제 및 보안사고 예방 절차를 수립하고 있는가와  모바일 기기 반출입 절차에 따라 반출입대장을 작성하고 관리자는 주기적으로 모바일 기기 반출입 이력을 점검하고 있는지 여부입니다.

시스템 보호에 대해 살펴보겠습니다. 먼저, 케이블 보안이 필요하며 ‘데이터를 송수신하는 통신케이블이나 전력을 공급하는 전력 케이블은 손상을 입지 않도록 보호해야 합니다. 점검항목은 전력 및 통신케이블이 외부로부터의 물리적 손상이나 전기적 영향으로부터 보호되고 있는가의 여부입니다.

또한,  시스템 배치 및 관리를 위해 시스템은 그 특성에 따라 분리하여 배치하고 장애 또는 보안사고 발생 시 주요 시스템의 위치를 즉시 확인할 수 있는 체계를 수립해야 합니다. 점검항목은 정보시스템의 특성을 고려하여 배치 장소를 분리하고 있는가와 배치도, 자산목록 등, 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가 여부입니다.

사무실 보안의 개인업무 환경 보안을 위해서는 어떤 대책이 필요할까요? 일정시간 동안 자리를 비울 경우에는  책상 위에 중요한 문서나 저장매체를 남겨놓지 않고  컴퓨터 화면에 중요정보가 노출되지 않도록 화면보호기 설정, 패스워드 노출 금지 등 보호대책을 수립해야 합니다.

점검항목은 개인업무 환경에서의 정보보호에 대한 정책을 수립·이행하고 있는지에 점검해야 하고, 개인업무 환경에서의 정보보호 준수여부를 주기적으로 점검하고 있는지 여부를 점검해야 합니다.

또한, 공용업무 환경 보안을 위해  사무실에서 공용으로 사용하는 사무처리 기기, 문서고, 공용 PC, 파일서버 등을 통해 중요정보

유출이 발생하지 않도록 보호대책을 마련해야 합니다.

점검항목은 팩스, 복사기, 프린터, 공용 PC, 파일서버, 문서고 등 공용으로 사용하는 사무장비 및 시설에 대한 보호대책을 수립·이행하고 있는가와  공용업무 환경 보안에 대한 관리자를 지정하고 준수여부를 주기적으로 검토하고 있는지 점검해야 합니다.