ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.4 비밀번호 관리)

항목 : 2.5.4 비밀번호 관리

■ 인증기준 : 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.

 

■ 주요 확인사항

• 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립·이행하고 있는가? 
• 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립· 이행하고 있는가?

금융분야 추가확인사항

• 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립･이행하고 있는가?
• 전자금융거래 등 대고객 서비스 제공 시 계정 및 비밀번호 관리 절차 등 이용자 유의사항을 공지하고 있는가?

 

■ 관련 법규

• 개인정보 보호법 제29조(안전조치의무) 
• 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) 
• 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

금융분야 추가확인사항

• 전자금융감독규정 제32조(내부사용자 비밀번호 관리)
• 전자금융감독규정 제33조(이용자 비밀번호 관리) 제1항
• 신용정보업감독규정 [별표3] 기술적･물리적･관리적 보호대책 마련 기준 Ⅱ기술적･물리적 보안대책 1.접근통제 제5항
• 신용정보업감독규정 [별표3] 기술적･물리적･관리적 보호대책 마련 기준 Ⅱ기술적･물리적 보안대책 3. 개인신용정보의 암호화 제1항
• 전자금융감독규정 제35조(이용자 유의사항 공지)

 

■ 세부 설명

 ① 정사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.

• 비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화 필요)

• 비밀번호 관리절차 예시

금융분야 추가확인사항

② 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.

• 조회 사유, 내용 등 기록관리 대상

③ 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립･이행하여야 한다.

• 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
• 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등

금융분야 추가확인사항

• 이용자의 비밀번호 유출 방치를 위해 절차 준수(※전자금융감독규정 제33조 참조)

 

④ 이용자(고객, 회원 등)가 접근하는 정보시스템 또는 웹서비스의 안전한 이용을 위해 이용자 유의사항을 홈페이지 또는 메일 등을 통해 사용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다.

• 비밀번호 유출위험 및 관리에 관한 사항
• 이용자 보호제도에 관한 사항
• 해킹･피싱 등 전자적 침해 방지에 관한 사항
• 본인확인 절차를 통한 비밀번호 변경(변경 시 같은 비밀번호 재사용 금지) 시스템 구

 

 

■ 증적예시

• 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
• 비밀번호 관리 정책 및 절차

 

 

■ 결함사례

1. 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 
2. 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우 
3. 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람