IT아웃소싱과 보안

IT 아웃소싱과 보안

1. 정의 : 외부를 뜻하는 'Out'과 자원활용을 뜻하는 'Sourcing'의 합성어로서 조직 외부의 자원을 활용

2. 유형

  (1) : 개발 : 시스템개발, 구축 등 IT구축업무를 일정기간 내에 수행하는 경우

  (2) : 운영 : 지속적이며 반복적으로 수행되는 IT운영업무를 수행하는 경우

IT아웃소싱 보안사고 발생 근본원인

- 위탁사업 담당자와 보안담당관이 같음

- 문서위주의 보안대책 업무 수행

- 보호구역, 비공개 정보에 대한 물리적관리 소홀(허술)

- 위탁업체 PC 및 유지보수용 노트북 해킹, 조직의 정보시스템 계정 및 비밀번호 절취 후 내부침투(파괴)

- 위탁업체 직원이 이동식 저장매체에 업무의 중요한 자료 저장 및 무단 반출

- 무분별한인터넷 사용으로인한 악성코드 감염, 내부자료 유출

보안대책

1. 관리적 대책

- 위탁사업 담당자와 보안담당관의 분리

- 사업발주, 계약서 상의 보안특약사항 누락여부 및 내용 적절성 검토

- 보안을 고려한 위탁사업 생애주기 관리절차 설계(수립)

- 보안서약서, 비밀유지계약서,보안확약서 징구 및 관리

- 위탁사업 업체의 보안의식 제고 및 준수사항 교육

2. 물리적 대책

- 시스템 개발 제한 구역에 대한 비 인가자의 접근 통제(안내표시, 출입대장 등)

- 제한 구역의 물리적 장치(cctv, 시건 장치 등) 점검 및 확인

- 위탁사업 인원의 출입증 패용상태 확인

- 중요 자료에 대한 완벽한 폐기(파쇄기 사용, 완전 삭제 프로그램 사용 등)

- 인가된 이동식 저장매체, 노트북 등의 철저한 반 출입관리

  (미사용시엔 시건장치가 있는 보관함에 보관, 장비 사용대장 작성 후 사용)

3. 기술적 대책

- 이동식 저장매체(USB, 외장하드, 스마트폰, CD/W 포함)의 통제

- (내부망과 연결된) PC의 인터넷 사용 금지

-현재 사용하고있는 주요프로그램에 대한 최신 업데이트 유지

- 백신 프로그램 설치 및 최근 검사내역 확인

- 파일명 규칙 통일 및 파일의 암호화

- 산출물 저장 서버의 관리 및 통제

- 무단으로 하드디스크를 교체하지 못하도록 함

- 화면보호기 설정 및 PC의 로그인 계정 암호화 설정

- 원격 접속 작업 금지