항목 : 2.9.5 로그 및 접속기록 점검
■ 인증기준 : 정보시스템의 정상적인 사용을 보장하고 사용자 오·남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다.
■ 주요 확인사항
- 정보시스템 관련 오류, 오·남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립·이행하고 있는가?
- 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?
- 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)
- 개인정보의 기술적·관리적 보호조치 기준 제5조(접속기록의 위·변조 방지)
금융분야 추가확인사항
- 전자금융감독규정 제14조(정보처리시스템 보호대책) 제10호
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 2. 접속기록의 위・변조 방지 제1항
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 2. 접속기록의 위・변조 방지 제1항
■ 세부 설명
① 정보시스템 관련 오류, 오・남용(비인가접속, 과다조회 등), 부정행위 등 이상 징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립・이행하여야 한다.
- 검토 주기
- 검토 대상
- 검토 기준 및 방법
- 검토 담당자 및 책임자
- 이상징후 발견 시 대응절차 등
② 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하여야 한다.
- 로그 검토 및 모니터링 기준에 따라 검토를 수행한 후 이상징후 발견 여부 등 그 결과를 관련 책임자에게 보고
- 이상징후 발견 시 정보유출, 해킹, 오·남용, 부정행위 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응
- 개인정보를 다운로드한 것이 확인된 경우 내부관리계획 등 로그검토 기준에서 정하는 바에 따라 그 사유를 확인하고, 개인정보의 오·남용이나 유출 목적으로 다운로드한 것이 확인되었다면 지체 없이 개인정보취급자가 다운로드한 개인정보를 회수하여 파기하는 등의 필요한 조치 이행
③ 개인정보처리시스템 및 개인신용정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하여야 한다.
- 법령에 따른 개인정보 접속기록 점검 주기 : 월 1회 이상
금융분야 추가확인사항
④ 신용정보회사등은 개인신용정보의 조회기록에 대해 다음 사항에 따라 주기적으로 적정성 여부를 점검하고, 결과를 업무에 반영하여야 한다.
- 개인신용정보취급자의 개인신용정보 취급상황을 확인할 수 있는 수단 및 이의 점검・감사체제 정비
- 개인신용정보 이상 과다 조회 부서 및 직원 등에 대해 수시 점검 실시
- 조회 권한을 초과하여 고객 정보 조회를 일정횟수 이상 시도한 직원에 대한 통제장치 마련
- 영업점 및 신용정보 관리부서의 개인신용정보 조회 건수에 대해 정기적으로 점검하고 조회건수가 평소보다 급증한 부서 및 직원들을 샘플링하여 점검 실시
- 개인신용정보취급자가 입력하는 조회사유의 정확성 등 신용조회기록의 정확성 점검
■ 증적예시
- 로그 검토 및 모니터링 절차
- 로그 검토 및 모니터링 결과(검토 내역, 보고서 등)
- 개인정보 접속기록 점검 내역
- 개인정보 다운로드 시 사유 확인 기준 및 결과
- 이상징후 발견 시 대응 증적
■ 결함사례
- 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적·연속적 조회 등)에 대한 모니터링 및 경고·알림 정책(기준)이 수립되어 있지 않은 경우
- 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검·모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우
- 개인정보처리자 또는 정보통신서비스제공자가 개인정보처리시스템의 접속기록 점검 주기를 반기 1회로 정하고 있는 경우
- 개인정보처리자의 내부관리계획에는 1,000명 이상의 정보주체에 대한 개인정보를 다운로드한 경우에는 사유를 확인하도록 기준이 책정되어 있는 상태에서 1,000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.7 정보자산의 재사용 및 폐기) (0) | 2023.03.03 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.6 시간 동기화) (0) | 2023.03.03 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.4 로그 및 접속기록 관리) (0) | 2023.03.02 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.3 백업 및 복구관리) (0) | 2023.03.02 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.2 성능 및 장애관리) (0) | 2023.02.28 |