2. 보호대책 요구사항(3)

2.5 인증 및 권한 관리

2.5.1 사용자 계정 관리

- 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록/해지(1) 및 접근권한 부여 /변경/말소 절차를 수립/이행(2)하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식(3)시켜야 함

 

2.5.2 사용자 식별

- 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유해 사용하는 경우 그 사유와 타당성을 검토해 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립/이행하여야 함

 

2.5.3 사용자 인증

- 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 함 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립/이행해야 함

 

2.5.4 비밀번호 관리

- 법적 요구사항, 외부 위협요인 등을 고려해 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립/이행하여야 함

• 비밀번호 관리절차 및 작성 규칙

2.5.5 특수 계정 및 권한 관리

- 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위해 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별해 통제해야함

• 관리자 권한 등 특수 권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립/이행하고 있는가?
• 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등의 통제절차를 수립/이행하고 있는가?

2.5.6 접근권한 검토

- 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록/이용/삭제 및 접근권한의 부여/변경/삭제 이력을 남기고 주기적으로 검토해 적정성 여부를 점검해야 함

 

2.6 접근통제

2.6.1 네트워크 접근

- 네트워크에 대한 비인가 접근을 통제하기 위해 IP관지, 단말인증 등 관리절차를 수립/이행하고, 업무목적 및 중요도에 따라 네트워크 분리[DMZ, 서버팜, 데이터베이스존, 개발존 등]와 접근통제를 적용해야 함

• 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?

2.6.2 정보시스템 접근

- 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안정한 접근 수단 등을 정의하여 통제해야함

 

2.6.3 응용프로그램 접근 

- 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립해 적용해야 함

 

2.6.4 데이터베이스 접근

- 테이블 목록 등 데이터베이스 내에서 저장/관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립/이행해야 함

• 데이터베이스의 테이블 목록 등 저장/관리되고 있는 정보를 식별하고 있는가?
• 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?

 

2.6.5 무선 네트워크 접근

- 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용해야 함

또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립/이행해야 함

• 인가된 임직원만이 무선 네트워크를 사용할 수 있도록 해야함
• 무선 네트워크 구간 보안 필요
• 비인가된 무선네트워크에 대한 보호대책 수립/이행 필요

2.6.6 원격접근 통제

- 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무/장애대응/원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말보안 등 보호대책을 수립/이행해야 함

 

2.6.7 인터넷 접속 통제

- 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위해 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스를 제한하는 인터넷 접속 통제 정책을 수립/이행해야 함