1.통제 목적
인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.
2.주요 확인사항
- 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC 의 인터넷 접속에 대한 통제 정책을 수립·이행하고 있는가?
- 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
- 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가?
3.결함사례
1)정보통신망법 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대해 망분리 적용이 누락된 경우
2)망분리 의무대상으로서 망분리를 적용하였으나 타 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기등이 가능한 경우
3)DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
4)인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
5)내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간동안만 호용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 2.7.2 암호키 관리 (0) | 2021.02.19 |
|---|---|
| 2.7.1 암호 정책 적용 (0) | 2021.02.19 |
| 2.6.6 원격 접근 통제 (0) | 2021.02.17 |
| 2.6.5 무선 네트워크 접근 (0) | 2021.02.16 |
| 2.6.4 데이터베이스 접근 (0) | 2021.02.16 |