2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.9 시스템 및 서비스 운영관리 | 2.9.1 변경관리 |
| 2.9.2 성능 및 장애관리 | |
| 2.9.3 백업 및 복구관리 | |
| 2.9.4 로그 및 접속기록 관리 | |
| 2.9.5 로그 및 접속기록 점검 | |
| 2.9.6 시간 동기화 | |
| 2.9.7 정보자산의 재사용 및 폐기 |
개일 오민고이 정일 기이,
계일지정수, 조변입삭출다
로그 관리 절차 수립 · 로그 생성 보관, 로그기록 별도 백업
로그 보관 위한 적정 용량 확보
정보시스템 가동기록(1년), 이용자 중요원장 (5년) 보관
핵심 키워드
사용자 접속 기록, 시스템로그, 권한부여 내역 등
로그유형, 보존기간, 보존방법 등을 정하고 안전하게 보존 · 관리
로그관리 절차 수립 및 로그 생성 · 보관
로그기록을 별도 저장장치를 통해 백업 및 로그기록 접근권한 최소화
개인정보처리시스템 접속기록은 법적 요구사항 준수
연관 두음
▶ 개인정보 접속기록 보존기간
[두음] 개일 오민고이 정일기이
* 개인정보처리자 : 최소 1년 이상.
다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나,
고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상
* 정보통신서비스 제공자 등 : 최소 1년 이상 (월 1회 이상 정기적 확인 · 감독)
※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상
▶ 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목
[두음] 계일지정수
계정, 접속일시, 접속지 정보(접속자 IP주소 등), 처리한 정보주체 정보, 수행업무
▶ 접속기록에 포함되어야 하는 수행업무
[두음] 조변입삭출다
조회, 변경, 입력, 삭제, 출력, 다운로드
인증기준
서버, 응용프로그램, 보안시스템, 네트워크시스템 등
정보시스템에 대한 사용자 접속 기록, 시스템로그, 권한부여 내역 등의
로그유형, 보존기간, 보존방법 등을 정하고
위·변조, 도난, 분실되지 않도록 안전하게 보존 · 관리하여야 한다.
주요 확인사항
* 서버, 응용프로그램, 보안시스템, 네트워크시스템 등
정보시스템에 대한 로그관리 절차를 수립하고
이에 따라 필요한 로그를 생성하여 보관하고 있는가?
* 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고,
로그기록에 대한 접근 권한은 최소화하여 부여하고 있는가?
* 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록
필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?
세부 설명
□ 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고,
이에 따라 필요한 로그를 생성하여 보관하여야 한다.
▶ 보존이 필요한 로그유형 및 대상시스템 식별
□ 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고,
로그기록에 대한 접근권한은 최소화하여 부여하여야 한다.
□ 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록
필요한 항목을 모두 포함하여 일정기간 안전하게 보관하여야 한다.
▶ 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목
[두음] 계일지정수
계정, 접속일시, 접속지 정보(접속자 IP주소 등), 처리한 정보주체 정보, 수행업무
▶ 접속기록에 포함되어야 하는 수행업무
[두음] 조변입삭출다
조회, 변경, 입력, 삭제, 출력, 다운로드
▶ 개인정보 접속기록 보존기간
[두음] 개일 오민고이 정일기이
* 개인정보처리자 : 최소 1년 이상.
다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나,
고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상
* 정보통신서비스 제공자 등 : 최소 1년 이상
※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상
결함사례
사례 1 :
로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한
세부 기준 및 절차가 수립되어 있지 않은 경우
사례 2 :
보안 이벤트 로그, 응용 프로그램 및 서비스 로그(윈도우 2008 서버 이상) 등
중요 로그에 대한 최대 크기를 충분하게 설정하지 않아
내부 기준에 정한 기간 동안 기록 · 보관되고 있지 않은 경우
사례 3 :
중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아
사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우
사례 4 : ★
개인정보처리시스템에 접속한 기록을 확인한 결과
접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기고 있으나,
처리한 정보주체 정보 및
수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우
사례 5 : ★
로그 서버의 용량의 충분하지 않아서
개인정보처리시스템 접속기록이 3개월밖에 남아 있지 않은 경우
사례 6 :
공공기관 등 개인정보처리자가
정보주체 10만 명의 개인정보를 처리하는 개인정보처리 시스템의 접속기록을
1년간만 보관하고 있는 경우
가상자산 사업자 대상 주요 확인사항
월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록
관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록하고 있는가?
- 행위이력과 책임추적성과 달리 개인키값 등 과도하게 불필요한 정보가
로그기록에 저장된 채로 방치되지 않도록 기록항목을 검토하였는가?
정보시스템 가동기록을 1년 이상 유지하고 있는가?
이용자 중요원장에 직접 접근하여 조회 · 수정 · 삭제 · 삽입한 경우
작업자 및 작업내용 등을 기록하여 5년간 보존하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.9.6 시간 동기화 (0) | 2023.01.14 |
|---|---|
| 2.9.5 로그 및 접속기록 점검 (0) | 2023.01.14 |
| 2.9.3 백업 및 복구관리 (0) | 2023.01.14 |
| 2.9.2 성능 및 장애관리 (0) | 2023.01.14 |
| 2.9.1 변경관리 (0) | 2023.01.13 |
댓글