ciso-daily

1.통제 목적 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근 권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. 2.주요 확인 사항 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가? 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가? 3.결함 사례 1)응용프로그램의 개인정보 처리화면 중 일부 화면의 권..

1.통제 목적 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식,안전한 접근수단 등을 정의하여 통제하여야 한다. 2.주요 확인사항 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능위치, 접근 수단 등을 정의하여 통제하고 있는가? 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가? 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가? 3.결함 사례 1)사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나 터미널 서비스에 대한 Session Timeout..

1.통제 목적 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. 2.주요 확인사항 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있더록 통제하고 있는가? 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가? 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가? 물리적으로 떨어진 IDC, 지사..

1.통제 목적 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다. 2.주요 확인 사항 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용 ·변경·말소 등의 이력을 남기고 있는가? 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가? 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오 ·남용등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가? 3.결함 사례 1)접근권한 검토와 관련된 방법, 점검주기, 보고체계,..

1.통제 목적 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. 2.주요 확인 사항 관리자 권한 등 특수권한은 최소한의 인원에게만 부여 될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하고 있는가? 특수목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제 절차를 수립·이행하고 있는가? 3.결함 사례 1)정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나 , 승인 이력과 특수권한 내역이 서로 일치하지 않는 경우 2)내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관..

1.통제 목적 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. 2.주요 확인 사항 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립·이행하고 있는가? 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립·이행하고 있는가? 3.결함 사례 1)정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 2)비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나,..

1.통제 목적 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도경고등 비인가자 접근 통제방안을 수립·이행하여야 한다. 2.주요 확인사항 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가? 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? 3.결함 사례 1)개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디·비밀번호 방식으로만 인증하..

1.통제 목적 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다. 2.주요 확인 사항 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가? 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가? 3.결함 사례 1)정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 ..

1.통제 목적 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한 부영 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 2.주요확인 사항 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록·변경·삭제에 관한 공식적인 절차를 수립·이행하고 있는가? 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성·등록·변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에..

1.통제 목적 공용으로 사용하는 사무용 기기(문서고, 공용PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다. 2.주요 확인사항 문서고, 공용PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가? 업무용PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행 하고 있는가? 개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가? 3.결함사례 1)개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영..