ISMS(정보보호관리체계) 인증 기준 2.6.7 인터넷 접속 통제

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.7 인터넷 접속 통제

항목		상세내용
2.6.7	인터넷 접속 통제	인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립•이행하여야 한다.
주요 확인사항		ㆍ주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립•이행하고 있는가? ㆍ주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? ㆍ관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?
관련 법규

 

● 중요사안

- 인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립•이행하여야 함
- 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 함
- 망분리 의무 대상자인지를 식별하고 안전한 방식으로 망분리를 적용하여야 함

 

● 운영현황

- 물리적(또는 논리적) 망분리 환경을 구성하여 내부망/외부망으로 네트워크 대역을 명확히 구분하고 있음
- 주요 정보시스템(DB서버 등)이 위치한 내부망에서는 외부 인터넷 연결을 완전 차단하고 있음
- 외부 인터넷 접속이 가능한 외부망 환경에서는 유해사이트차단 솔루션을 운영하여 사전에 인가되지 않은 사이트의 자유로운 접속을 차단/통제하고 접속이 필요한 경우 별도의 내부 승인을 거치고 있음

 

● 기록(증적자료)

- 망분리 구성도
- 네트워크 연결 정책 리스트
- 유해사이트차단 솔루션 보안정책 현황
- 인터넷 사용 승인 내역
- 사이트 예외허용 리스트

 

● 주요 결함사례

- 외부 인터넷 통신이 가능한 웹서버에서 외부로 나가는 아웃바운드 정책을 금지하지 않거나 무분별한 인터넷 통신을 허용하고 있는 경우
- 정보통신망법 등 관련 법규에 따라 망분리 하여야 하는 주요 직무자(개인정보취급자, 시스템 관리자 등)를 식별하지 않거나 해당 직무자 PC에서 불필요한 인터넷 접속(웹하드, SNS 등)을 제한하고 있지 않은 경우
- DMZ에 위치한 일부 서버에서 업데이트 등의 필요 목적 이외의 불필요한 인터넷 접속을 적절히 통제하고 있지 않은 경우
- 인터넷 PC와 내부 업무용 PC를 망분리하고 망간자료전송 시스템을 구축하여 운영하고 있으나 승인 및 자료전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
- 유해사이트차단 솔루션을 도입하여 운영하고 있으나, 특정 웹하드 서비스 도메인이 차단되지 않아 전 직원이 특정 웹하드 사이트를 사용할 수 있는 경우