그사람.net

항목 : 2.6.2 정보시스템 접근 ■ 인증기준 : 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. ■ 주요 확인사항 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? 정보시스템의 사용목적과 관계 없는 서비스를 제거하고 있는가? 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제6조(접근통제) 개인정보의 기술적·관리적..

항목 : 2.6.1 네트워크 접근 ■ 인증기준 : 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립· 이행하고, 업무목적 및 중요도에 따라 네트워크 분리[DMZ(Demilitarized Zone), 서버팜, 데이터베이스존, 개발존 등]와 접근통제를 적용하여야 한다. ■ 주요 확인사항 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가? 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 외부 연결이 필요하지 않..

항목 : 2.5.6 접근권한 검토 ■ 인증기준 : 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다. ■ 주요 확인사항 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록· 부여·이용·변경·말소 등의 이력을 남기고 있는가? 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가? 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가? ■ 관련 법규 개인정보 보호법 제2..

항목 : 2.5.5 특수 계정 및 권한 관리 ■ 인증기준 : 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. ■ 주요 확인사항 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하고 있는가? 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등 통제절차를 수립·이행하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) 금융분야 추가확인사항 전자금융감독규정 제13조(전산자료 보호대책) 제1항제1호 신..

항목 : 2.5.4 비밀번호 관리 ■ 인증기준 : 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. ■ 주요 확인사항 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립·이행하고 있는가? 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립· 이행하고 있는가? 금융분야 추가확인사항 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립･이행하고 있는가? 전자금융거래 등 대고객 서비스 제공 시 계정 및 비밀번호 관리 절차 등 이용자 유의사항을 공지하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무)..

항목 : 2.5.3 사용자 인증 ■ 인증기준 : 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다. ■ 주요 확인사항 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하고 있는가? 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리), 제6..

항목 : 2.5.2 사용자 식별 ■ 인증기준 : 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다. ■ 주요 확인사항 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가? 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 ..

항목 : 2.5.1 사용자 계정 관리 ■ 인증기준 : 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경· 말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. ■ 주요 확인사항 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록·변경·삭제에 관한 공식적인 절차를 수립·이행하고 있는가? 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성·등록·변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? 사용자에게 계정 및 접근권한을 부여하는 ..

항목 : 2.4.7 업무환경 보안 ■ 인증기준 : 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다. ■ 주요 확인사항 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가? 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하고 있는가? 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의..

항목 : 2.4.6 반출입 기기 통제 ■ 인증기준 : 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립· 이행하고 주기적으로 검토하여야 한다. ■ 주요 확인사항 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보 유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하고 있는가? 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? ■ 관련 법규 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지) ■ 세부 설명 ① 정보시스템, 모바일 기기, 저장매체..