ISMS(정보보호관리체계) 인증 기준 2.9.5 로그 및 접속기록 점검

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.5 로그 및 접속기록 점검

항목		상세내용
2.9.5	로그 및 접속기록 점검	정보시스템의 정상적인 사용을 보장하고 사용자 오•남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다.
주요 확인사항		ㆍ정보시스템 관련 오류, 오•남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립•이행하고 있는가? ㆍ중요정보 및 주요 정보시스템에 대한 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가? ㆍ개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치 의무) ㆍ개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)

 

● 중요사안

- 접근로그 기록에 대한 주기적 검토로 오남용 등 이상징후를 확인해야 한다.
  > 검토대상 : 로그기록 중 모니터링 대상 선별
  > 검토주기 : 월 1회 이상
  > 검토기준 : 승인받은 업무목적 외 처리(조회/변경/삭제), 업무시간 외 접속, 비정상적 접속 등
  > 검토 담당자 및 책임자 지정
- 검토 기준에 따른 이상징후 여부 등의 결과를 책임자에게 보고해야 한다.
  > 이상징후 발견 시 내부의 정보유출, 외부의 해킹 등 발생여부 확인절차 수행

 

● 운영현황

- 정보시스템 접근기록의 적정성 및 이상징후를 검토하기 위한 기준과 절차를 문서로 수립하고 있음
- 정보시스템의 사용자 접속기록을 보관하고 있으며 기록의 적정성 및 이상징후를 검토하여 책임자에게 보고하고 있음
  * 개인정보처리시스템 접속기록 : 월 1회
  * 시스템/네트워크 장비 접근로그 : 분기 1회
- 접속기록 중 개인정보의 다운로드 이력이 확인된 경우 사전에 사유를 확인하거나 사후 검토를 통해 적정성을 검토하고 그 이력을 남기고 있음

 

● 기록(증적자료)

- 로그 검토 및 모니터링 절차서
- 접속기록 검토 기준
- 접속기록 검토 및 결과 보고서
- 개인정보 다운로드 시 사유 확인 문서

 

● 주요 결함사례

- 개인정보처리시스템의 접속기록 검토에 대한 대상, 주기, 방법, 보고체계 등에 대한 세부적인 내용이 정책, 지침 등에 정의되어 있지 않은 경우
- 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회 경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적, 연속적 조회 등)에 대한 모니터링 및 경고•알림 정책(기준)이 수립되어있지 않거나 그 정책(기준)의 수준이 적절하지 않은 경우
- 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검•모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토•내역이 확인되지 않는 경우