ISMS(정보보호관리체계) 인증 기준 2.5.4 비밀번호 관리

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.4 비밀번호 관리

항목		상세내용
2.5.4	비밀번호 관리	법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립ㆍ이행하여야 한다.
주요 확인사항		ㆍ정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립ㆍ이행하고 있는가? ㆍ정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립ㆍ이행하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제)

 

● 중요사안

- 정보시스템 및 정보보호시스템에 대한 안전한 사용자 패스워드를 법적요구사항, 외부 위협요인을 감안하여 수립하고 관리적, 기술적인 보호대책을 통하여 이행하여야 한다.

- 정보시스템의 도입 시부터 기술적 기능을 적용하여 패스워드 보호 대책을 수립하여야 하며 패스워드는 비밀등급 분류하여 비인가자의 접근을 통제하는 방안을 수립ㆍ이행하여야 한다.

- 각 기관의 법적 요구사항을 검토하여 개인정보취급자는 비밀번호 작성규칙을 수립하고, 이를 적용 운용하여야 한다.

※ '개인정보의 기술적ㆍ관리적 보호조치 기준(고시)' 제4조(접근통제) 1. 다음 각 목의 문자 종류 중 2종류 이상 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성    가. 영문(26개)    나. 숫자(10개)    다. 특수문자(32개) 2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고 3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 ※ 개인정보보호법 '개인정보 안전성 확보조치 기준 제4조(접근통제)' 5항에 대한 해설서 ㆍ비밀번호의 최소 길이 : 비밀번호는 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 하며, 이는 정보주체에 대한 비밀번호 작성규칙과는 달리 반드시 준수하여야 한다. ㆍ최소 10자리 이상 : 영문자(26개), 숫자(10개), 특수문자(32개) 중 2종류 이상으로 구성 ㆍ최소 8자리 이상 : 영문자(26개), 숫자(10개), 특수문자(32개) 중 3종류 이상으로 구성 ㆍ비밀번호의 주기적인 변경 : 비밀번호에 유효기간을 설정하고 적어도 6개월마다 변경함으로써 동일한 비밀번호를 장기간 사용하지 않는다. ㆍ동일한 비밀번호 사용 제한 : 2개의 비밀번호를 교대로 사용하지 않는다.

- 서비스 이용자 계정 및 패스워드의 도용을 방지하기 위하여 안전한 패스워드 사용에 대한 안내를 제공하고 패스워드 작성 규칙, 패스워드 변경 시 본인 인증 절차, 마스킹 처리 등을 기술적으로 적용하여 안전한 패스워드를 사용할 수 있도록 유도하여야 한다.

- 패스워드에 관리 지침을 홈페이지 상에 공지하여 이용자가 쉽게 확인할 수 있도록 하고, 패스워드의 변경주기에 대해서는 로그인시 안내, 메일을 통한 변경유도 등의 방법으로 이용자에게 통보해야 한다.

 

 

● 확인 포인트

- 내부임직원, 정보주체의 계정 패스워드 정책을 수립하고 그에 부합하는 기능을 설정하고 있어야 한다.

- 임시 또는 초기 패스워드를 변경없이 사용하면 안된다.

- 비밀번호는 최소 90일마다 변경하도록 하여야하며, 변경되지 않은 계정은 잠금 또는 비활성화 처리해야한다.

 

 

● 운영현황

- 법적요구사항을 반영하여 다음과 같은 패스워드 복잡성 규칙을 수립하고 적용하고 있음.

   * 문자, 숫자, 특수문자 포함 최소 8자리 이상

   * 분기 1회 이상 비밀번호 변경

- 사규 및 정보보호교육을 통해 임직원에 패스워드 관리책임이 있음을 주지시키고 있음.

 

 

● 기록(증적자료)

- 정보시스템 및 개인정보처리시스템 비밀번호 설정화면

- 비밀번호 관리 정책 및 절차