반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.6 접근통제 | 2.6.1 네트워크 접근 |
| 2.6.2 정보시스템 접근 | |
| 2.6.3 응용프로그램 접근 | |
| 2.6.4 데이터베이스 접근 | |
| 2.6.5 무선 네트워크 접근 | |
| 2.6.6 원격접근 통제 | |
| 2.6.7 인터넷 접속 통제 |
사용자별 응용프로그램 접근권한 차등 부여,
중요정보의 불필요한 노출 최소화 (like 금지)
세션 차단, 동시 세션 수 제한
핵심 키워드 & 내용
- 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여
- 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등) 최소화를 위한 응용프로그램 구현 · 운영
- 응용프로그램 세션 타임아웃 설정 및 사용자의 동시 세션수 제한
- 관리자 전용 응용프로그램 비인가자 접근통제 수행
연관 두음
인증기준
사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고,
불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
주요 확인사항
* 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라
응용프로그램 접근권한을 차등 부여하고 있는가?
* 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록
응용프로그램을 구현하여 운영하고 있는가?
* 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
* 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록
접근을 통제하고 있는가?
세부 설명
□ 중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다.
□ 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록
응용프로그램을 구현하여 운영하여야 한다.
▶ 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나
두 가지 조건 이상의 검색조건 사용 등
□ 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하여야 한다.
□ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은
비인가자가 접근할 수 없도록 접근을 통제 하여야 한다.
결함사례
사례 1 :
응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여
개인 정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
사례 2 :
응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서
안전한 인증수단이 적용되어 있지 않은 경우
사례 3 :
응용프로그램에 대하여 타당한 사유 없이
세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
사례 4 :
응용프로그램을 통하여 개인정보를 다운로드받는 경우
해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
사례 5 :
응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어,
모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.6.5 무선 네트워크 접근 (0) | 2023.01.11 |
|---|---|
| 2.6.4 데이터베이스 접근 (0) | 2023.01.11 |
| 2.6.2 정보시스템 접근 (0) | 2023.01.11 |
| 2.6.1 네트워크 접근 (0) | 2023.01.10 |
| 2.5.6 접근권한 검토 (0) | 2023.01.10 |
댓글