항목 : 2.9.4 로그 및 접속기록 관리
■ 인증기준 : 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속 기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위·변조, 도난, 분실되지 않도록 안전하게 보존·관리하여야 한다.
■ 주요 확인사항
- 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?
- 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고, 로그기록에 대한 접근 권한은 최소화하여 부여하고 있는가?
- 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)
- 개인정보의 기술적·관리적 보호조치 기준 제5조(접속기록의 위·변조 방지)
금융분야 추가확인사항
- 전자금융감독규정 제13조(전산자료 보호대책) 제1항제11호, 제4항
- 전자금융감독규정 제13조(전산자료 보호대책) 제3항
- 전자금융감독규정 제27조(전산원장 통제) 제5항
- 전자금융감독규정 제12조(단말기 보호대책) 제2호, 제13조(전산자료 보호대책) 제2항, 제15조(해킹 등 방지대책) 제2항제3호, 제18조(IP주소 관리대책) 제3호
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 2. 접속기록의 위・변조 방지
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 5. 출력・복사시 보호조치 제2항
■ 세부 설명
① 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고, 이에 따라 필요한 로그를 생성하여 보관하여야 한다.
- 보존이 필요한 로그유형 및 대상시스템 식별
- 각 시스템 및 장비별 로그 형태, 보존기간, 로그 보존(백업) 방법 등 정의
- 로그관리 절차 수립 및 이에 따른 로그 생성·보관
금융분야 추가확인사항
② 정보시스템 가동기록을 1년 이상 보존하고, 다음 사항에 대해 접속의 성공여부와 상관없이 자동적으로 기록・유지되어야 한다.
- 정보시스템에 접속한 일시, 접속자 및 접근을 확인할 수 있는 접근기록
- 전산자료를 사용한 일시, 사용자 및 자료의 내용을 확인할 수 있는 접근기록
- 정보시스템 내 전산자료의 처리 내용을 확인할 수 있는 사용자 로그인, 액세스 로그 등 접근기록
③ 단말기를 통한 이용자 정보 조회내역(사용자, 사용일시, 변경・조회내용, 접속방법)을 정보시스템에 자동 기록하고 그 기록을 1년 이상 보존하여야 한다.
④ 프로그램 오류, 거래 오류, 시스템 장애 등으로 불가피하게 이용자 중요원장을 직접 접근하여 조회・ 수정・삭제・삽입하는 경우 작업자, 작업일시, 작업내용 등을 기록하여 5년간 보존하여야 한다
※ 전산원장은 금융회사의 가장 중요한 정보로써 이용자 본인의 정상적인 거래 시에만 변경되어야 하며, 불가피하게 직접 접근하는 경우 엄격한 통제 절차 준수
⑤ 정보시스템 및 정보보호시스템은 다음 사항에 따라 기록을 보존하여야 한다.
- 정보시스템에 접속하는 단말에 대해 정당한 사용자인가의 여부를 확인할 수 있는 기록
- 사용자 계정의 공동 사용이 불가피한 경우 개인별 사용내역 기록・관리
- 정보보호시스템 보안정책의 승인・적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력 기록(책임자를 지정・운영하고 운영결과를 1년 이상 보존)
- 내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도 기록
⑥ 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고, 로그기록에 대한 접근권한은 최소화하여 부여하여야 한다.
- 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한 부여는 최소화하여 비인가자에 의한 로그기록 위・변조 및 삭제 등이 발생하지 않도록 하여야 함
⑦ 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하여야 한다.
- 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목
- 개인정보 접속기록 보존기간
- 개인정보처리자 : 최소 1년 이상. 다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상
- 정보통신서비스 제공자 등 : 최소 1년 이상
※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상
금융분야 추가확인사항
- 신용정보회사등 : 최소 1년 이상
- 개인정보 접속기록이 위・변조, 도난, 분실되지 않도록 안전하게 보관 필요
금융분야 추가확인사항
⑧ 신용정보 등 이용자 정보를 처리(조회, 출력 등)하는 경우 조회자의 신원, 조회일시, 대상정보, 목적, 용도 등을 기록・관리하여야 한다.
- 출력자료를 폐기할 경우에는 정보가 유출되지 않도록 완전 폐기하여야 한다.
■ 증적예시
- 로그관리 절차
- 로그기록 내역
- 로그 저장장치에 대한 접근통제 내역
- 개인정보 접속기록 내역
■ 결함사례
- 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우
- 보안 이벤트 로그, 응용 프로그램 및 서비스 로그(윈도우 2008 서버 이상) 등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록·보관되고 있지 않은 경우
- 중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우
- 개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기고 있으나, 처리한 정보주체 정보 및 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우
- 로그 서버의 용량의 충분하지 않아서 개인정보처리시스템 접속기록이 3개월밖에 남아 있지 않은 경우
- 공공기관 등 개인정보처리자가 정보주체 10만 명의 개인정보를 처리하는 개인정보처리 시스템의 접속기록을 1년간만 보관하고 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.6 시간 동기화) (0) | 2023.03.03 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.5 로그 및 접속기록 점검) (0) | 2023.03.03 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.3 백업 및 복구관리) (0) | 2023.03.02 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.2 성능 및 장애관리) (0) | 2023.02.28 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.1 변경관리) (2) | 2023.02.27 |