2.5 인증 및 권한 관리
2.5.1 사용자 계정 관리
정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록, 해지 및 접근권한 부여, 변경, 말소 절차를 수립를 수립 이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.
2.5.2 사용자 식별
사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립,이행하여야 한다.
2.5.3 사용자 인증
정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립, 이행하여야 한다.
2.5.4 비밀번호 관리
법적 요구사항, 외부 위협요인 등을 고려하여 사용자(개인정보취급자, 관리자 등) 및 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립,이행하여야 한다.
2.5.5 특수 계정 및 권한 관리
정보시스템 관리, 개인정보 및 중요 정보 관리 등 특수 목적을 위하여 부여한 계정 및 권한을 최소한의 업무 수행자에게만 부여하고 별도로 식별하여 통제하여야 한다.
2.5.6 접근권한 검토
정보시스템과 개인정보 및 중요정보에 대한 사용자 및 접근권한 등록, 부여, 이용, 변경, 말소 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
'OLD > ISMS-P' 카테고리의 다른 글
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(7) (0) | 2021.12.01 |
|---|---|
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(6) (2) | 2021.11.25 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(4) (1) | 2021.11.24 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(3) (4) | 2021.11.18 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(2) (6) | 2021.11.17 |
2.4 물리보안
2.4.1 보호구역 지정
물리적 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 이행하여야 한다.
2.4.2 출입통제
보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
2.4.3 정보시스템 보호
정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
2.4.4 보호설비 운영
보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도 습도조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립 운영하여야 한다.
2.4.5 보호구역 내 작업
보호구역 내에서의 비인가 행위 및 권한 오남용 등을 방지하기 위한 작업 절차를 수립이행하고, 작업 기록을 주기적으로 검토하여야 한다.
2.4.6 반출입 기기 통제
보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제 절차를 수립 이행하고 주기적으로 검토하여야 한다.
2.4.7 업무환경 보안
공용으로 사용하는 사무용 기기(문서고, 공용PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립 이행하여야 한다.
'OLD > ISMS-P' 카테고리의 다른 글
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(6) (2) | 2021.11.25 |
|---|---|
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(5) (1) | 2021.11.25 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(3) (4) | 2021.11.18 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(2) (6) | 2021.11.17 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(1) (1) | 2021.11.16 |
2.3 외부자 보안
2.3.1 외부자 현황 관리
업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 및 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(직접정보통신시설, 클루아드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구 사항 및 외부 조직 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
2.3.2 외부자 계약 시 보안
외부 서비스를 이용하거나 외부자에게 업무를 위탁한느 경우 이에 따른 정보보호 및 개인정보보호 요구 사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
2.3.3 외부자 보안 이행 관리
계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리감독 하여야 한다.
2.3.4 외부자 계약 변경 및 만료 시 보안
외부자 계약 만료 , 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
'OLD > ISMS-P' 카테고리의 다른 글
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(5) (1) | 2021.11.25 |
|---|---|
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(4) (1) | 2021.11.24 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(2) (6) | 2021.11.17 |
| ISMS-P 인증기준에 대해 알아보자! 2.보호대책 요구사항(1) (1) | 2021.11.16 |
| ISMS-P 인증기준에 대해 알아보자! 1. 관리체계 수립 및 운영(4) (0) | 2021.11.16 |
