항목 : 2.10.6 업무용 단말기기 보안
■ 인증기준 : PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.
■ 주요 확인사항
- PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하고 있는가?
- 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립· 이행하고 있는가?
- 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 보안대책을 적용하고 있는가?
- 업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하고 있는가?
금융분야 추가확인사항
- 단말기에 업무목적과 관계없는 비인가 또는 불법 소프트웨어 설치를 제한하는 절차를 수립・이행하고 있는가?
- 단말기 공유를 금지하고 단말기에 이용자정보 등 중요정보를 보관하지 아니하고 있는가?
- 중요단말기를 지정하고 외부반출, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제6조(접근통제)
- 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제
금융분야 추가확인사항
- 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제5항
- 전자금융감독규정 제13조(전산자료 보호대책) 제1항제13호
- 전자금융감독규정 제12조(단말기 보호대책) 제3호
■ 세부 설명
① PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하여야 한다.
- 업무용 단말기 허용기준
- 업무용 단말기 통한 업무 사용범위
- 업무용 단말기 사용 시 승인 절차 및 방법
- 업무망 연결 시 인증 방안 : 기기인증, MAC 인증 등
- 백신 설치, 보안프로그램 설치 등 업무용 단말기 사용에 따른 보안 설정 정책
- 업무용 단말기 사용에 따른 보안 설정 정책 및 오·남용 모니터링 대책 등
② 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립·이행하여야 한다.
- 불가피하게 공유설정 등을 할 때에는 업무용 단말기에 접근권한 비밀번호를 설정하고, 사용이 완료된 후에는 공유설정 제거
- 파일 전송이 주된 목적일 때에는 읽기 권한만을 부여하고 상대방이 쓰기를 할 때만 개별적으로 쓰기 권한 설정
- P2P 프로그램, 상용 웹메일, 웹하드, 메신저, SNS 서비스 등을 통하여 고의·부주의로 인한 개인정보 및 중요정보의 유·노출 방지
- WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 무선망 이용 등
③ 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 비밀번호 설정 등의 보안대책을 적용하여야 한다.
④ 업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하여야 한다.
- 업무용 단말기 신청·승인, 등록·해제, 기기인증 이력
- 업무용 단말기 보안설정 현황 등
금융분야 추가확인사항
⑤ 단말기에 업무목적과 관계없는 비인가 또는 불법 소프트웨어 설치 또는 인터넷 사이트 접근을 제한하는 절차를 수립・이행하여야 한다.
- 게임, 해킹도구, 원격관리 도구 등 비인가 또는 불법 소프트웨어의 설치 및 사내 유포와 인터넷 사이트 접근에 대한 방지 대책을 수립하여 이행
⑥ 단말기 공유를 금지하고 단말기에 이용자 정보 등 중요정보를 보관하지 않아야 한다.
- 사용자는 단말기에 이용자 정보 등 중요정보를 보관하여서는 아니되고, 다만, 불가피한 경우 보관사유, 보관기간 및 관리 비밀번호 등을 정하여 책임자 승인
⑦ 중요단말기를 지정하고 외부반출, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용하여야 한다.
- 정보시스템 및 정보보호시스템 관리용 등 중요한 업무에 사용되는 단말기(중요단말기)를 지정하고 다음과 같은 강화된 보호대책을 수립하고 이행
- 외부 반출금지 ∙ 업무 전용단말기로 사용
- 사전 지정용도 외 사용 금지
- 노트북 등 휴대용 전산장비 사용 금지
- 인터넷 및 그룹웨어 접속 금지
- 메일 송・수신 금지
- 악성코드 매일 점검 실시
■ 증적예시
- 업무용 단말기 보안통제 지침 및 절차
- 업무용 단말기 등록현황
- 업무용 단말기 보안설정
- 업무용 단말기 기기인증 및 승인 이력
- 업무용 단말기 보안점검 현황
■ 결함사례
- 업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우
- 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보 시스템 접속이 가능한 경우
- 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우
- 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.8 패치 관리) (0) | 2023.03.20 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.7 보조저장매체 관리) (0) | 2023.03.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.5 정보전송 보안) (0) | 2023.03.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.4 전자거래 및 핀테크 보안) (0) | 2023.03.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.3 공개서버 보안) (0) | 2023.03.08 |