2.10.6 업무용 단말기기 보안

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.6 업무용 단말기기 보안

항목		상세내용
2.10.6	업무용 단말기기 보안	PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.
주요 확인사항		ㆍPC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립•이행하고 있는가? ㆍ업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용통제 등의 정책을 수립•이행하고 있는가? ㆍ업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유•노출을 방지하기 위하여 보안대책을 적용하고 있는가? ㆍ업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제6조(접근통제)

 

● 중요사안

- 모바일 기기의 무선 네트워크 사용에 따른 침해사고 발생 절차를 수립•운영하여야 한다.

 

● 운영현황

- 업무용 단말기의 사용 정책을 수립하고 있음
  > 업무용 단말기 사용 범위
  > 업무용 단말기 사용 시 승인 절차
  > 업무용 단말기 인증 방안 : 기기인증, MAC인증 등
  > 업무용 단말기 보안설정 정책
  > 업무용 단말기 모니터링 방안
- 업무용 단말기의 보안 대책을 수립하고 있음
  > 보안 프로그램 설치 확인
  > 비밀번호, 패턴, PIN, 지문, 홍채 등의 잠금설정
  > 안전한 암호화 프로토콜 통신 적용

 

● 기록(증적자료)

- 업무용 단말기 보안통제 지침 및 절차
- 업무용 단말기 등록현황
- 업무용 단말기 보안설정
- 업무용 단말기 보안점검 현황
- 보안S/W 설치 대장
- 모바일 사용서약서

 

● 주요 결함사례

- 업무적인 목적으로 모바일기기를 사용하고 있으나 모바일 기기에 대한 허용 기준, 사용범위, 승인절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우
- 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난•분실에 대한 보호대책이 적용되어있지 않은 경우
- 모바일 기기에 대한 허용 기준, 사용범위, 승인 절차, 인증 방법, 보안설정, 모니터링 등에 관한 정책이 수립되어있지 않거나 이행이 미흡한 경우