항목 : 2.5.3 사용자 인증
■ 인증기준 : 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.
■ 주요 확인사항
- 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하고 있는가?
- 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리), 제6조(접근통제)
- 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
금융분야 추가확인사항
- 전자금융감독규정 제13조(전산자료 보호대책) 제1항제12호, 제14조(정보처리시스템 보호대책) 제9호, 제17조(홈페이지 등 공개용 웹서버 관리대책) 제1항제2호, 제37조(인증방법 사용기준)
■ 세부 설명
① 정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다.
- 사용자 인증 수단 예시
- 계정 도용 및 불법적인 인증시도 통제방안 예시
- 업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련
금융분야 추가확인사항
- 공개용 웹서버 등 정보시스템 운영체제(OS) 계정 로그인 시 계정 및 비밀번호 이외의 별도 추가 인증수단(공인인증서, OTP 등)을 적용
② 인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다.
- 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
- 안전한 접속수단 : 가상사설망(VPN), 전용망 등
■ 증적예시
- 정보시스템 및 개인정보처리시스템 로그인 화면
- 로그인 횟수 제한 설정 화면
- 로그인 실패 메시지 화면
- 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
■ 결함사례
- 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우
- 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.5 특수 계정 및 권한 관리) (0) | 2023.02.20 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.4 비밀번호 관리) (0) | 2023.02.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.2 사용자 식별) (0) | 2023.02.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.1 사용자 계정 관리) (0) | 2023.02.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.7 업무환경 보안) (0) | 2023.02.16 |