반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.6 접근통제 | 2.6.1 네트워크 접근 |
| 2.6.2 정보시스템 접근 | |
| 2.6.3 응용프로그램 접근 | |
| 2.6.4 데이터베이스 접근 | |
| 2.6.5 무선 네트워크 접근 | |
| 2.6.6 원격접근 통제 | |
| 2.6.7 인터넷 접속 통제 |
데이터베이스 내 정보 식별, 접근통제 정책 수립 · 이행,
DB 내 정보 목록 현행화 · 관리
데이터베이스 접근제어 솔루션, 세션타임아웃 설정
핵심 키워드 & 내용
- 데이터베이스 내에서 저장·관리되고 있는 정보를 식별
- 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행
- 데이터베이스 정보를 식별하고 지속적 현행화 관리
- 데이터베이스 내 정보에 접근 대상 식별 및 접근 통제
연관 두음
인증기준
테이블 목록 등 데이터베이스 내에서 저장 · 관리되고 있는 정보를 식별하고,
정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립 · 이행하여야 한다.
주요 확인사항
* 데이터베이스의 테이블 목록 등 저장 · 관리되고 있는 정보를 식별하고 있는가?
* 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고
접근통제 정책에 따라 통제하고 있는가?
세부 설명
□ 데이터베이스의 테이블 목록 등 저장 · 관리되고 있는 정보를 식별하고
지속적으로 현행화하여 관리하여야 한다.
□ 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고
접근통제 정책에 따라 통제하여야 한다.
결함사례
사례 1 :
대량의 개인정보를 보관 · 처리하고 있는 데이터베이스를
인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고
물리적으로 동일한 서버에서 운영하고 있는 경우
사례 2 :
개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여
운영 데이터베이스에 접속하고 있는 경우
사례 3 :
내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나,
데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어
개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
사례 4 :
데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나,
데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아
데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
사례 5 : ★
개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아,
임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
가상자산 사업자 대상 주요 확인사항
가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의
테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.6.6 원격접근 통제 (0) | 2023.01.11 |
|---|---|
| 2.6.5 무선 네트워크 접근 (0) | 2023.01.11 |
| 2.6.3 응용프로그램 접근 (0) | 2023.01.11 |
| 2.6.2 정보시스템 접근 (0) | 2023.01.11 |
| 2.6.1 네트워크 접근 (0) | 2023.01.10 |
댓글