반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.5 인증 및 권한관리 | 2.5.1 사용자 계정 관리 |
| 2.5.2 사용자 식별 | |
| 2.5.3 사용자 인증 | |
| 2.5.4 비밀번호 관리 | |
| 2.5.5 특수 계정 및 권한관리 | |
| 2.5.6 접근권한 검토 |
영수특 2/10 3/8 반일
비밀번호 관리절차를 수립 · 이행
$1 : MD5(안전하지 않음), $5 : SHA-256, $6 : SHA-512, $y : yescrypt
핵심 키워드 & 내용
정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립 · 이행
안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립 · 이행
사용자 비밀번호 관리절차 및 작성규칙 수립 · 이행
정보주체(이용자) 비밀번호 작성규칙 수립 · 이행
연관 두음
▶ 비밀번호 조합 규칙
[두음] 영수특 2/10, 3/8 반일
영문, 숫자, 특수문자, 2종류 이상 조합 10자리 이상, 3종류 이상 조합 8자리 이상
변경주기 반기별 1회 이상
인증기준
법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등
정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립 · 이행하여야 한다.
주요 확인사항
* 정보시스템 및 개인정보처리시스템에 대한
안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립 · 이행하고 있는가?
* 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립 · 이행하고 있는가?
세부 설명
□ 사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록
비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.
▶ 비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화 필요)
비밀번호 조합 규칙
[두음] 영수특 2/10, 3/8 반일
영문, 숫자, 특수문자, 2종류 이상 조합 10자리 이상, 3종류 이상 조합 8자리 이상
변경주기 반기별 1회 이상
□ 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록
비밀번호 작성규칙을 수립 · 이행하여야 한다.
결함사례
사례 1 :
정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나,
일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
사례 2 :
비밀번호 관련 내부 규정에는 비밀번호를 초기화 시
임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나,
실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
사례 3 :
사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고
변경하지 않고 그대로 사용하고 있는 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.5.6 접근권한 검토 (0) | 2023.01.10 |
|---|---|
| 2.5.5 특수 계정 및 권한관리 (0) | 2023.01.10 |
| 2.5.3 사용자 인증 (0) | 2023.01.09 |
| 2.5.2 사용자 식별 (0) | 2023.01.09 |
| 2.5.1 사용자 계정 관리 (0) | 2023.01.09 |
댓글