5 보호대책 요구사항(3)

2.5 인증 및 권한관리

2.5.1 사용자 계정 관리

< 인증 기준 >

정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록 해지 및 접근권한 부여 변경 말소 절차를 수립 이행하고, 사용자 등록 및 권한 부여 시 사용자에게 보안 책임이 있음을 규정화 하고 인식시켜야 한다.

< 주요확인사항 >
정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록 변경 삭제에 관한 공식적인 절차를 수립 이행하고 있는가

정보시스템과 개인정보 및 중요 정보에 접근할 수 있는 사용자 계정 및 접근권한 생성 등록 변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가

사용자게에 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안 책임이 본인에게 있음을 명확히 인식시키고 있는가

2.5.2 사용자 식별

< 인증 기준 >

사용자 계정은 사용자 별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임 추적성 확보 등 보완대책을 수립 이행하여야 한다.

< 주요확인사항 >

정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가

불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 보환 대책을 마련하여 책임자의 승인을 받고 있는가

---

2.5.3 사용자 인증

< 인증 기준 >

정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립 이행하여야 한다.

< 주요확인사항 >

정보시스템 및 개인정보 처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가

정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가

2.5.4 비밀번호 관리

< 인증기준 >

법적 요구사항 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보 주체(이용자)가 사용하는 비밀번호 관리절차를 수립 이행하여야 한다.

< 주요확인사항 >

정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립 이행하고 있는가

정보주체가 안전한 비밀번호로 이용할 수 있도록 비밀번호 작성 규칙을 수립 이행 하고 있는가

2.5.5 특수 계정 및 권한 관리

< 인증 기준 >

정보시스템관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.

< 주요 확인사항 >

관리자 권한등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립 이행하고 있는가

특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립 이행하고 있는가

2.5.6 접근권한 검토

< 인증 기준 >
정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록 이용 삭제 및 접근권한의 부여 변경 삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

< 주요확인사항 >

정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성 등록 부여 이용 변경 말소 등의 이력을 남기고 있는가

정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가

접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에따른 조치절차를 수립 이행하고 있는가

---

2.6 접근 통제

2.6.1 네트워크 접근

< 인증기준 >
네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리 단말인증 등 관리 절차를 수립 이행하고 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.

< 주요확인 사항 >

조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가

서비스 사용자 그룹 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가

네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가

물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결기 전송구간 보호대책을 마련하고 있는가

2.6.2 정보시스템 접근

< 인증 기준 >

서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.

< 주요확인사항 >

서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가

정보시스템에 접속 후 일정 시간 업무처리를 하지 않은 경우 자동으로 시스템에 차단되도록 하고 있는가

정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가

주요서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가

자동 차단 : 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단

서버 분리 운영 : DB서버와 외부 공개서버와 분리하여 운영

서버 취약점 제거 : 사용하지 않는 서비스

2.6.3 응용프로그램 접근

< 인증기준 >

사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.

< 주요확인사항 >

중요 정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가

중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화 할수 있도록 응용프로그램을 구현하여 운영하고 있는가

일정 시간동안 입력이 없는 세션은 자동차단하고, 동일 사용자의 동시 세션수를 제한하고 있는가

관리자 전용 응용 프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자 접근할 수 없도록 접근을 통제하고 있는가

2.6.4 데이터베이스 접근

< 인증 기준 >

테이블 목록 등 데이터베이스 내에서 저장 관리되고 있는 정보를 식별하고 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립 이행하여야 한다.

<주요확인사항 >

데이터베이스의 테이블 목록 등 저장 관리되고 있는 정보를 식별하고 있는가

데이터베이스 내 정보에 접근이 필요한 응용프로그램 정보시스템 서버 및 사용자를 명확히 식별하고 접근통제 정책에따라 통제하고 있는가.

2.6.5 무선 네트워크 접근

< 인증 기준 >

무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP통제 등 무선 네트워크 보호 대책을 적용하여야 한다. 또한 AD Hoc 접속 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립 이행하여야 한다

< 주요확인사항 >

무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위해 인증 송수신 데이터 암호화 등 보호대책을 수립 이행하고 있는가

인가된 임직원 만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립 이행하고 있는가

AD Hoc 접속 및 조직내 허가 받지 않은 무선 AP 탐지 차단 등 비인가된 무선네트워크에 대한 보호대책을 수립 이행하고 있는가

무선 네트워크 접근권한 관리

• 인가된 사용자만 접근
• 사용 신청 및 해지 절차 수립 이행
• 스마트기기를 통한 테더링 외부망 유선망 연결 사설 무선 AP 설치등
• 내부 네트워크가 외부망과 연결되 수 있으므로 제한 및 주기적인 점검 수행

2.6.6 원격접근 통제

< 인증기준 >

보호구역 이외 장소에서의 정보시스템 관리 및 개인정보처리는 원칙적으로 금지하고 재택근무 장애대응 원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인 접근 단말 지정, 접근 허용범위 및 기간 설정 강화된 인증 구간 암호화 접속 단말보안(백신, 패치 등) 등 보호대책을 수립 이행하여야 한다.

< 주요확인사항 >

인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가

내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가

재택근무 원격 협업 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출 해킹 등 침해사고 예방을 위한 보호대책을 수립 이행하고 있는가

개인정보처리시스템의 관리 운영 개발 보안 등 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의 조작 및 목적 외 사용 금지 등 안전 조치를 적용하고 있는가

2.6.7 인터넷 접속 통제

< 인증기준 >

인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템 주요직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립 이행하여야 한다.

< 주요확인 사항>

주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제 정책을 수립 이행하고 있는가

주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가

관련법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가