2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.6 접근통제 | 2.6.1 네트워크 접근 |
| 2.6.2 정보시스템 접근 | |
| 2.6.3 응용프로그램 접근 | |
| 2.6.4 데이터베이스 접근 | |
| 2.6.5 무선 네트워크 접근 | |
| 2.6.6 원격접근 통제 | |
| 2.6.7 인터넷 접속 통제 |
인망 망삼백백 다파접
망분리, 인터넷 접속 또는 서비스 제한(P2P, 웹하드, 메신저 등)
다운로드, 파기, 접근권한
망연계 시스템, 망간 자료전송
핵심 키워드 & 내용
- 망분리
- 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등
- 인터넷 접속 또는 서비스 제한(P2P, 웹하드, 메신저 등)
- 인터넷 접속 통제 정책을 수립 · 이행
- 업무용 PC의 인터넷 접속에 대한 통제 정책
- 주요 정보시스템에서 불필요한 외부 인터넷 접속 통제
- 망분리 의무 대상자를 안전한 방식으로 망분리 적용
연관 두음
▶ 인터넷 접근 통제 핵심 키워드
[두음] 인망
인터넷 접근 통제, 망분리
▶ 망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
[두음] 망삼백백
망분리, 삼개월, 백만명 이상, 백억원 이상
망분리 의무(개인정보취급자), 전년도 말 직전 3개월간,
일일평균 이용자 수 100만 명 이상,
정보통신서비스부문 전년도 매출액 100억 원 이상 (정보통신서비스 제공자 등)
[두음] 다파접
다운로드, 파기, 접근권한
인증기준
인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여
주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한
인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등
인터넷 접속 통제 정책을 수립 · 이행하여야 한다.
주요 확인사항
* 주요 직무 수행 및 개인정보 취급 단말기 등
업무용 PC의 인터넷 접속에 대한 통제 정책을 수립 · 이행하고 있는가?
* 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
* 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우
망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가?
세부 설명
□ 인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여
주요 직무 수행 및 개인정보 취급 단말기 등
업무용 PC의 인터넷 접속에 대한 통제정책을 수립 · 이행 하여야 한다.
□ 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.
□ 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우
망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.
▶ 망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
[두음] 망삼백백
망분리, 삼개월, 백만명 이상, 백억원 이상
[두음] 다파접
다운로드, 파기, 접근권한
전년도 말 직전 3개월간 개인정보가 저장 · 관리하고 있는 이용자 수가 일일평균 100만 명 이상
또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등
개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우
▶ 다음 사항을 고려하여 안전한 방식으로 망분리 적용
- 물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
결함사례
사례 1 :
개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나,
개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우
사례 2 :
망분리 의무대상으로서 망분리를 적용하였으나,
다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서
개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
사례 3 :
DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
사례 4 : ★★
인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축 · 운영하고 있으나,
자료 전송에 대한 승인 절차가 부재하고
자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
사례 5 :
내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시
책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나,
승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
가상자산 사업자 대상 주요 확인사항
콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고,
사용하지 않을때에는 전원을 OFF 또는, 네트워크의 접속을 차단하고 있는가?
(목적외 SW 설치 및 인터넷 사용 금지)
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.7.2 암호키 관리 (0) | 2023.01.12 |
|---|---|
| 2.7.1 암호정책 적용 (0) | 2023.01.12 |
| 2.6.6 원격접근 통제 (0) | 2023.01.11 |
| 2.6.5 무선 네트워크 접근 (0) | 2023.01.11 |
| 2.6.4 데이터베이스 접근 (0) | 2023.01.11 |
댓글