표준 데이터베이스 운영관리 지침서 (참고용)

제1조 데이터베이스 관리자

1. 데이터베이스 관리자(DBA)는 다음 각 호와 같은 역할을 수행하여야 한다.
2. 데이터베이스에 대한 운영 및 관리, 유지보수
3. 데이터베이스의 보안정책을 설정하고 주기적으로 검토
4. 데이터베이스의 장애 및 이상 발생시 신속한 조치 및 보고
5. 데이터베이스 계정 및 비밀번호 관리, 성능 및 로그 관리
6. 데이터베이스 접근제어시스템을 통한 정보자산의 접근권한 관리, 접속 로그 관리 및 주기적으로 점검
7. 기타 데이터베이스 보안에 필요한 업무

제2조 데이터베이스 도입 및 폐기

1. 데이터베이스 관리자는 데이터베이스 도입 시 목적에 맞는 용량과 성능을 고려해야 하며, 설치 시 다음 각 호와 같은 사항을 준수하여야 한다.
2. ‘데이터베이스 도입 체크리스트’를 검토하고 보안강화를 적용하여 구성하여야 한다.
3. 서비스 적용 전 보안강화 조치의 이행을 완료하여야 한다.
4. 설치 후 접근제어 정책을 구성하여 일반 사용자가 데이터베이스 장비에 접근할 수 없도록 접근통제를 적용하여야 한다.
5. 데이터베이스 관리자는 데이터베이스 철수 및 폐기 시 시스템 구성과 관련된 설정을 완전히 삭제하고, 폐기 관련 기록을 관리하여야 한다.

제3조 데이터베이스 사용자관리

1. 데이터베이스 접근제어시스템을 통한 데이터베이스 접근을 필요로 하는 경우, ‘DB계정 사용 신청서’를 작성하여 데이터베이스 관리자에게 권한 등록을 요청할 수 있다.
2. 데이터베이스 관리자는 정보보안담당자의 승인을 받은 후 계정 신청자에게 데이터베이스 접근제어시스템의 접근 권한을 부여하여야 한다.
3. 데이터베이스 관리자는 ‘로그 및 정책 점검 보고서’를 참조하여 데이터베이스 계정 부여 현황 및 사용자별 접속 기록 등을 월 1회 이상 점검하여 정보보안담당자에게 보고하여야 한다.
4. 1인 1계정을 사용하여야 하며, 공용 계정은 사용하지 않는 것을 원칙으로 한다. 다만, 공용 계정의 사용이 필요한 경우 정보보안담당자의 승인을 득하여야 한다.

제4조 데이터베이스 접근제어

1. 데이터베이스에 접근하는 모든 사용자는 데이터베이스에 직접 접근을 지양하며, 데이터베이스 접근제어시스템을 통해 접근하여야 한다.
2. 데이터베이스 관리자는 정보보안담당자와 협의하여 사용자 별 데이터베이스에 접근할 수 있는 권한을 부서 또는 업무에 따라 다음 각 호와 같이 분리하여야 한다.
   • 데이터베이스 관리자(DBA)
   • 데이터베이스 사용자
3. 사용자에게 접근권한을 부여하는 경우, 적절한 롤(Role)을 생성하여 필요한 시스템 권한 및 오브젝트 권한을 롤에 부여하고 사용자를 롤에 귀속시켜야 한다.
4. 오브젝트 권한 부여 시 권한을 부여받은 사용자가 또 다른 사용자에게 권한을 부여할 수 없도록 하여야 한다.
5. 데이터베이스 서버는 다른 공개 서비스(Web 서비스 등)과 분리하여 운영하여야 하며, 외부 망에서 데이터베이스의 직접 접속을 차단하여야 한다. 다만, 업무 상 필요한 경우 정보보안담당자의 승인을 받아야 한다.

제5조 데이터베이스 암호화

1. 데이터베이스에 저장되는 주민등록번호, 여권번호, 외국인등록번호, 운전면허번호, 비밀번호, 바이오 정보 등 중요 정보를 안전하게 보관하기 위하여 암호화하여야 한다.
2. 암호화 적용 시 “암호기술 및 키 유효기간”을 참고하여 한국인터넷진흥원 등의 국내외 전문기관에서 정한 안전한 암호화 알고리즘을 적용하여 암호화하여야 한다.
3. 정보보안담당자는 암호화 관리를 참조하여 데이터베이스 암호화 키관리 업무를 수행하여야 한다.
4. 개인정보처리시스템 암호화 시 『개인정보 내부관리계획』의 정한 절차를 따라야 한다.

제6조 암호화 기술 및 대상

1. 다음 각 호와 같은 정보를 데이터베이스 등 정보시스템에 저장하는 경우 또는 정보통신망을 통해 전송하는 경우에는 “암호기술 및 키 유효기간”에서와 같이 안전한 암호화 알고리즘을 적용하여 암호화하여야 한다.
   • 주민등록번호
   • 중요 개인정보 : 외국인등록번호, 여권번호, 운전면허번호, 비밀번호, 바이오정보, 계좌번호, 신용카드번호
   • 기타 정보보안담당관이 정하는 정보
2. 업무 제휴, 개인정보 처리 위탁 등 외부기관에 파일 또는 정보통신망을 통해 제1항에서 정한 정보를 제공하는 경우 암호화하여야 한다.
3. 업무용 PC 또는 노트북, 이동식 저장매체, 보조기억매체에 제1항에서 정한 정보를 저장할 경우 암호화하여야 한다. 다만, 응용 프로그램에서 암호화 기능을 제공하는 경우 이를 이용할 수 있다.
4. 제1항에서 안전한 암호화 알고리즘이란 한국인터넷진흥원의 『개인정보의 암호화 조치 안내서』, 『암호 키 관리 안내서』 등의 가이드에서 권장하는 알고리즘을 말한다.

제7조 암호화 키 관리

1. 중요 정보를 암호화해야 하는 경우 정보보안담당자는 다음 각 호와 같은 사항을 참고하여 정보보안관리자의 승인을 득하여 암호화 키를 생성하고 이를 “암호화 키 관리 대장”에 기록ㆍ관리하여야 한다.
   • 암호화 키는 암호화를 적용해 보관해야 하며 노출 위협을 최소화하기 위해 유효기간을 최대 5년으로 정해야 한다. 다만, 정보시스템에 미치는 영향을 분석하여 그 영향이 중대할 경우 정보보안담당관의 승인을 득하여 유효기간을 연장할 수 있다.
   • 정보유출 등의 침해사고 발생 시 정보보안담당자는 정보보안관리자의 승인을 득하여 암호화 키를 변경하여야 하며 이를 “암호화 키 관리 대장”에 기록ㆍ관리하여야 한다.
   • 암호화 키 및 관련 문서는 정보보안담당자가 관리하며 시건장치가 달린 문서함 또는 암호화 기능이 있는 보조기억매체 등 강력한 접근통제를 적용하여야 한다.
2. 암호화 키의 유효기간이 만료되었을 경우 정보보안담당자는 해당 암호화 키를 정보보안관리자의 승인을 득하여 폐기하고 이를 “암호화 키 관리 대장”에 기록ㆍ관리하여야 한다.
3. 암호화 키를 백업하는 경우 별도의 물리적 공간 또는 저장매체 등에 저장하여야 하며 이를 “암호화 키 관리 대장”에 기록ㆍ관리하여야 한다.
4. 정보보안담당자는 적용된 암호화 기술에 대해 주기적인 검토를 통해 암호화 기술의 적정성 및 유효성을 점검하여야 한다.

제8조 데이터베이스 운영관리

1. 데이터베이스 관리자는 정보보안담당자와 협의를 통하여 감사 및 정보보안 사고 발생 시 책임추적성 확보를 위하여 다음 각 호와 같은 사항을 고려하여 적절한 수준의 로그 수준을 정의하여 관리하여야 한다.
   • 데이터베이스 사용자 접속기록(로그온 및 로그오프)
   • 서버 시스템에 대한 접속 시도(인증 성공 및 실패 로그)
   • 계정 및 권한 등록, 변경, 삭제 등
2. 제1항의 로그는 최소 6개월 이상 위ㆍ변조로부터 안전하게 보관하여야 한다.
3. 데이터베이스 관리자는 데이터베이스 시스템의 정상 작동 여부 확인을 위하여 시스템 자원 상태 감시가 가능한 모니터링 환경을 구축하고 모니터링 하여야 한다.
4. 데이터베이스 관리자는 데이터베이스 시스템의 성능을 주기적으로 관리하며 연 1회 이상 정보보안담당자에게 신규 데이터베이스 도입 또는 업그레이드 필요 등의 사항을 보고하여야 한다.
5. 데이터베이스 관리자는 데이터베이스 시스템에 대해 연 1회 이상 취약점 분석을 수행하고 이를 정보보안담당자에게 보고하여야 하며, 발견된 취약점에 대해 이행계획을 수립하여 개선하여야 한다.

제9조 데이터베이스 백업관리

1. 데이터베이스 관리자는 서비스 제공 및 업무 수행과 직접적인 관련이 있는 정보에 대해 물리적 재난이나 정보통신설비의 오류 발생 등으로 긴급 상황이 발생할 경우, 즉각적으로 복구할 수 있도록 주기적으로 백업을 수행하고 백업 매체를 안전한 곳에 보관하여야 한다.
2. 주요 백업자료는 정기적으로 검증하여 백업자료의 이상 유무를 확인하여야 한다.

제가 데이터베이스 정책서를 만들 때 참고 했던 자료입니다. 이 자료를 기반으로 보안팀과 R&R을 나누고, 회사에 맞는 정책서를 만들었습니다. 모두 회사의 정책이 같을 수는 없기 때문에 본인의 회사에 잘 맞는 정책서를 작성하시면 됩니다.