본문 바로가기
반응형

도전! ISMS-P 인증 심사원129

2.5.6 접근권한 검토 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.5 인증 및 권한관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 권개삼정오 이력 보관(3 · 5년), 분기 1회 이상 검토 주기, 문제점 발견 시 조치 절차 수립 · 이행 적정성 여부 점검(퇴직자 계정, 장기 미접속 사용자 계정의 활성화 등) 핵심 키워드 & 내용 사용자 계정 및 접근권한 생성 · 등록 · 부여 · 이용 · 변경 · 말소 등의 이력 관리 사용자 계정 및 접근권한의 적정성 검토 정기적 이행 접근권한 검토 결과 문제점 발견 시 조치 절차 수립 이행 연관 두음 ▶ 접근권한 기록 보관 [두음] 권개삼정오 □.. 2023. 1. 10.
2.5.5 특수 계정 및 권한관리 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.5 인증 및 권한관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 특수 목적의 계정 및 권한 최소한 부여, 별도 식별 · 통제 관리자 계정 및 권한 핵심 키워드 & 내용 특수권한은 최소한의 인원에게만 부여, 공식적인 권한 신청 및 승인 절차를 수립 · 이행 특수 목적을 위하여 부여한 계정 및 권한을 식별 별도의 목록으로 관리하는 등 통제절차를 수립 · 이행 최소한의 인원에게만 부여하기 위한 공식적인 권한 신청 및 승인 절차 수립 · 이행 특수 계정 및 권한 식별, 목록관리 등 통제 절차 수립 · 이행 연관 두음 인증기.. 2023. 1. 10.
2.5.4 비밀번호 관리 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.5 인증 및 권한관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 영수특 2/10 3/8 반일 비밀번호 관리절차를 수립 · 이행 $1 : MD5(안전하지 않음), $5 : SHA-256, $6 : SHA-512, $y : yescrypt 핵심 키워드 & 내용 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립 · 이행 안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립 · 이행 사용자 비밀번호 관리절차 및 작성규칙 수립 · 이행 정보주체(이용자) 비밀번호 작성규칙 수립 · 이행 연관 두음 ▶ 비밀번호 조합 규칙 [.. 2023. 1. 10.
정보통신망법, 정보보호 최고책임자(CISO) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 ) 제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다. ② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다. ③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4.. 2023. 1. 9.
2.5.3 사용자 인증 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.5 인증 및 권한관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 지소생기, 실시동경, 인투비전 안전한 인증절차, 강화된 인증방식 개인정보처리시스템 외부에서 접속 시 안전한 인증수단 또는 안전한 접속수단을 적용 핵심 키워드 안전한 인증절차, 강화된 인증방식 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행 정보시스템에 대한 접근 시 안전한 인증절차에 의해 통제 외부에서 정보시스템에 접속 시 안전한 인증수단 또는 접속수단 적용 연관 두음 ▶ 사용자 인증 수단 예시 [두음] 지소생기 지식 .. 2023. 1. 9.
2.5.2 사용자 식별 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.5 인증 및 권한관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 사용자 계정 식별자 할당, 추측 가능한 식별자 사용 제한 (root, admin, administrator 등) 식별자 공유 사용 경우 사유 · 타당성 검토, 보완대책 수립 · 이행 핵심 키워드 & 내용 - 사용자 계정, 식별자 할당 - 식별자 공유 사용하는 경우, 사유와 타당성 검토 - 책임자의 승인 및 책임추적성 확보, 보완대책 수립 · 이행 - 사용자별 유일 식별자 할당 및 추측 가능한 식별자 사용 제한 - 동일한 식별자 공유 사용 시 책임자 승인.. 2023. 1. 9.
2.5.1 사용자 계정 관리 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.5 인증 및 권한관리 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수 계정 및 권한관리 2.5.6 접근권한 검토 계생등변삭 사용자 계정 및 접근권한 생성, 등록, 변경, 삭제, 해지, 계정 및 접근권한 부여 절차 수립 · 이행, 최소한의 권한, 사용자의 보안책임 규정 및 인식 핵심 키워드 & 내용 비인가 접근 통제, 접근권한 최소한 부여 사용자 계정 및 접근권한 등록 · 변경 · 삭제 · 해지 절차 수립 · 이행 직무별 접근권한 분류체계에 따라 최소한의 권한만을 부여 계정에 대한 보안책임 본인임을 인식시킴 (보안책임 인식) 연관 두음 ▶ 사용자 계정 관리 핵심 키.. 2023. 1. 9.
2.4.7 업무환경 보안 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.4 물리 보안 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 공용 사무용 기기, 개인 업무 환경 클린데스크, 정기점검 등 업무환경 보호대책 수립 · 이행 핵심 키워드 & 내용 - 공용 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등), 개인 업무 환경(업무용 PC, 책상 등) - 클린데스크, 정기점검 등 업무환경 보호대책을 수립 · 이행 - 공용시설 및 사무용기기 보호 대책 수립 · 이행 - 개인업무 환경 내 중요정보 유 · 노출 방지 보호대책 수립 · 이행 - 개인 및 공공업무 환경에서의 정.. 2023. 1. 9.
2.4.6 반출입 기기 통제 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.4 물리 보안 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 보호구역 내 정보시스템, 모바일 기기, 저장매체 반출입 통제절차 수립 · 이행, 주기적 검토 핵심 키워드 & 내용 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립 · 이행, 주기적 검토 보호구역 내 정보기기 반출입 시 통제 절차 수립 · 이행 반출입 기록 관리 및 이력 주기적 점검 연관 두음 인증기준 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립 · 이행하고 주기적으로 검.. 2023. 1. 9.
2.4.5 보호구역 내 작업 2. 보호대책 요구사항 (64개) [두음] 정인외물재 인접 암개 운보사 2.4 물리 보안 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 보호구역 내 작업 절차 수립 · 이행 작업 기록 주기적 검토 핵심 키워드 - 보호구역 내 작업 절차 수립 · 이행, 작업 기록 주기적 검토 - 보호구역 내 작업 신청 및 수행 절차 수립 · 이행 - 보호구역 내 작업 기록 주기적 검토 연관 두음 인증기준 보호구역 내에서의 비인가행위 및 권한 오 · 남용 등을 방지하기 위한 작업 절차를 수립 · 이행하고, 작업 기록을 주기적으로 검토하여야 한다. 주요 확인사항 * 정보시스템 도입, 유지보수 등.. 2023. 1. 9.
반응형

티스토리툴바