ISMS(정보보호관리체계) 인증 기준 2.6.1 네트워크 접근

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.1 네트워크 접근

항목		상세내용
2.6.1	네트워크 접근	네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립 ㆍ이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.
주요 확인사항		ㆍ조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? ㆍ서비스 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가? ㆍ네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가? ㆍ물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?
관련 법규

 

● 중요사안

- 전반적인 네트워크 구성을 확인하여 외부, 내부 사용자 구간, 외부 공개서버 구간, DB서버 구간 등이 서로 다른 네트워크 구간에 위치하며 자산의 중요도, 업무 목적, 역할에 따라 적절한 접근통제가 이뤄지고 있는지 살펴보아야 한다.

- 네트워크 접근 통제 시의 기준이 되는 업무 규정 및 절차를 수립하고 절차에 따라 책임자의 승인에 따라 통제 되어야 한다.

- 침입차단시스템 등 보안장비의 정책을 확인하여 구간 별 정책에 취약점이 있는지 확인하고, IDC, 지사 등 외부에서 내부업무 시스템으로 접근 시에는 VPN 등을 통한 통신 구간에 대한 보안대책을 수립하여야 한다.

- '정보통신망법' 및 '개인정보보호법', '전자금융감독규정' 등 해당기관의 법적인 요건을 검토하여 망분리 의무화 대상 기관인지에 대한 확인을 한다.

 

 

● 확인 포인트

- 개발/테스트 목적의 시스템과 사용자 구간, 또는 기타 서비스 구간과는 구분하여야 한다.

- 서비스 구간의 네트워크 구성도를 상세히 도식화하여야 한다.

 

 

● 운영현황

- 전사 물리적 망분리 환경을 구성하고 있으며 네트워크 접근통제를 수행하여 인가되지 않은 사용자의 내부 접근을 차단하고 있음.

- 대외서비스의 경우 서비스의 목적 및 중요도, 유형별로 네트워크가 분리되어 있으며, DMZ, DB, 서버팜 등 방화벽을 통해 존(Zone)을 구분하여 접근통제하고 있음.

 

 

● 기록(증적자료)

- 네트워크 구성도

- IP관리대장

- 정보시스템 자산 목록

- 네트워크 접근통제 정책/절차/설계서