하루에 하나씩

2. 보호대책 요구사항 > 2.7 암호화 적용 > 2.7.1 암호정책 적용항목상세내용2.7.1암호정책 적용개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장•전송•전달 시 암호화를 적용하여야 한다.주요 확인사항ㆍ개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 등이 포함된 암호정책을 수립하고 있는가? ㆍ암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?관련 법규ㆍ개인정보보호법 제24조의2(주민등록번호 처리의 제한) ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) ● 중요사안- 관..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.7 인터넷 접속 통제항목상세내용2.6.7인터넷 접속 통제인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립•이행하여야 한다.주요 확인사항ㆍ주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립•이행하고 있는가? ㆍ주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? ㆍ관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?관련 법규..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.6 원격접근 통제항목상세내용2.6.6원격접근 통제보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무•장애대응•원격헙업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립•이행하여야 한다.주요 확인사항ㆍ인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가? ㆍ내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가? ㆍ재택근무, 원격헙업, 스마트워크..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.5 무선 네트워크 접근항목상세내용2.6.5무선 네트워크 접근무선 네트워크를 사용하는 경우 사용자인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립•이행하여야 한다.주요 확인사항ㆍ무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립•이행하고 있는가? ㆍ인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립•이행하고 있는가? ㆍAD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지•차단 등 비인가된 무선네트워크에 대한..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.4 데이터베이스 접근항목상세내용2.6.4데이터베이스 접근테이블 목록 중 데이터베이스 내에서 저장•관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립•이행하여야 한다.주요 확인사항ㆍ데이터베이스의 테이블 목록 등 저장•관리되고 있는 정보를 식별하고 있는가? ㆍ데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?관련 법규  ● 중요사안- 데이터베이스 권한은 관리자, 개발자, 일반 사용자 등 사용자의 직무별로 구분하여 부여하고 직무에 맞는 접근통제 정책이 수립•이행되어야 한다.- 중요정보(개인정보, 기밀정보 등)를 저장..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.3 응용프로그램 접근항목상세내용2.6.3응용프로그램 접근사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.주요 확인사항ㆍ중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가? ㆍ중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? ㆍ일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? ㆍ관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 ..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.2 정보시스템 접근항목상세내용2.6.2정보시스템 접근서버, 네트워크 기기 등 정보시스템 기기에 접근이 허용되는 사용자, 접근제한 방식, 안전한 접근 수단 등을 정의하여 통제하여야 한다.주요 확인사항ㆍ서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? ㆍ정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? ㆍ정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가? ㆍ주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?관련 법규ㆍ개인정보 보호법 제29조(안전조치의무) ㆍ개인정보의 안전성..

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.1 네트워크 접근항목상세내용2.6.1네트워크 접근네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립 ㆍ이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.주요 확인사항ㆍ조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?ㆍ서비스 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?ㆍ네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 ..

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.6 접근권한 검토항목상세내용2.5.6접근권한 검토정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록ㆍ이용ㆍ삭제 및 접근권한의 부여ㆍ변경ㆍ삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.주요 확인사항ㆍ정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성ㆍ등록ㆍ부여ㆍ이용ㆍ변경ㆍ말소 등의 이력을 남기고 있는가?ㆍ정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주제, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?ㆍ접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립ㆍ..

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.5 특수 계정 및 권한 관리 항목 상세내용 2.5.5 특수 계정 및 권한 관리 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. 주요 확인사항 ㆍ관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립ㆍ이행하고있는가? ㆍ특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립ㆍ이행하고 있는가? 관련 법규 ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제) ● ..