2.9.5 로그 및 접속기록 점검

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.9 시스템 및 서비스 운영관리	2.9.1 변경관리
	2.9.2 성능 및 장애관리
	2.9.3 백업 및 복구관리
	2.9.4 로그 및 접속기록 관리
	2.9.5 로그 및 접속기록 점검
	2.9.6 시간 동기화
	2.9.7 정보자산의 재사용 및 폐기

---

---

로그 검토기준 수립, 주기적 검토,

개인정보 접속기록 점검 주기 : 월 1회 이상

핵심 키워드 

 

접근 및 사용에 대한 로그 검토기준 수립,
주기적 점검, 문제 발생 시 사후조치 적시 수행
이상접속 및 이상행위에 대한 모니터링 및 경고·알림 정책(기준)이 수립
로그 검토 및 모니터링 절차 수립 · 이행
로그 검토 및 모니터링 결과 보고 및 이상징후 발견 시 대응
개인정보처리시스템 접속기록 정기적 점검
다운로드 사유 확인

 

연관 두음

 

---

 

인증기준

 

정보시스템의 정상적인 사용을 보장하고
사용자 오 · 남용(비인가접속, 과다조회 등)을 방지하기 위하여
접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며,
문제 발생 시 사후조치를 적시에 수행하여야 한다.

 

주요 확인사항

 

* 정보시스템 관련 오류, 오 · 남용(비인가접속, 과다조회 등), 부정행위 등
  이상징후를 인지할 수 있도록
  로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립 · 이행하고 있는가?

* 로그 검토 및 모니터링 결과를 책임자에게 보고하고
  이상징후 발견 시 절차에 따라 대응하고 있는가?

* 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?

 

세부 설명

 

□ 정보시스템 관련 오류, 오 · 남용(비인가접속, 과다조회 등), 부정행위 등

   이상징후를 인지할 수 있도록

   로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립 · 이행하여야 한다.

 

□ 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하여야 한다.

 

□ 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하여야 한다.

 

▶ 법령에 따른 개인정보 접속기록 점검 주기 : 월 1회 이상

 

결함사례

 

사례 1 :
중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등)
또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적 · 연속적 조회 등)에 대한
모니터링 및 경고 · 알림 정책(기준)이 수립되어 있지 않은 경우

사례 2 :
내부 지침 또는 시스템 등에 접근 및 사용에 대한
주기적인 점검·모니터링 기준을 마련하고 있으나
실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우

사례 3 :
개인정보처리자 또는 정보통신서비스제공자가
개인정보처리시스템의 접속기록 점검 주기를 반기 1회로 정하고 있는 경우

사례 4 :
개인정보처리자의 내부관리계획에는
1,000명 이상의 정보주체에 대한 개인정보를 다운로드한 경우에는
사유를 확인하도록 기준이 책정되어 있는 상태에서
1,000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우

---

가상자산 사업자 대상 주요 확인사항

 

월렛 서버, 가상자산 노드서버 등 취급업소에 특화된 정보시스템에 대해서도 
로그 및 접속기록에 대한 검토정책을 누락없이 운영하고 있는가?

- 특히, 월렛 관련 정보시스템에 대한 로그는 
  개인키, 암호화키, 패스프레이즈 등이 포함될 수 있으므로
  암호화하거나, 불필요한 정보가 과다하게 남지 않도록 저장해야 함

 

전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 
책임자가 이중확인하고 있는가?

---

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)