ISMS-P 인증 기준, 응용프로그램 접근

 

ISMS-P 인증 

2.6 접근통제

2.6.1 네트워크 접근

2.6.2 정보시스템 접근

2.6.3 응용프로그램 접근

2.6.4 데이터베이스 접근

2.6.5 무선 네트워크 접근

2.6.6 원격접근 통제

2.6.7 인터넷 접속 통제

 

ISMS-P 간편인증(7의2)

2.5 접근통제

2.5.1 네트워크 접근

2.5.2 정보시스템 접근

2.5.3 원격접근 통제

2.5.4 인터넷 접속 통제

 

ISMS-P 간편인증(7의3) 

2.6 접근통제

2.6.1 네트워크 접근

2.6.2 정보시스템 접근

2.6.3 원격접근 통제

2.6.4 인터넷 접속 통제

 

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.

 

주요확인사항

* 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
* 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
* 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?
* 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?
* 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?

 

관련법규

개인정보 보호법 제29조(안전조치의무)
개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제), 제12조 (출력·복사시 안전조치)

세부 설명

1. 접근권한 차등 부여
중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다.

* 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
* 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
* 최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련
* 중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할 수 있도록 응용프로그램 기능 구현
* 식별된 응용프로그램 및 개인정보처리시스템에 대한 계정 및 권한을 부여하는 절차 수립·이행
* 권한 부여·변경·삭제 관련 기록을 보관하여 접근권한의 타당성 검토

2. 보안강화를 위한 세션 제한 조치
일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하여야 한다.

* 응용프로그램 및 업무별 특성, 위험의 크기 등을 고려하여 접속유지 시간 결정 및 적용
* 개인정보처리시스템의 경우 법적 요구사항에 따라 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치
* 동일 계정으로 동시 접속 시 경고 문자 표시 및 접속 제한

 

3. 관리자 전용 기능 접근 통제
관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제 하여야 한다.

* 관리자 전용 응용프로그램의 외부 공개 차단 및 IP주소 등을 통한 접근제한 조치
* 불가피하게 외부 공개가 필요한 경우 안전한 인증수단(OTP 등) 또는 안전한 접속수단(VPN 등) 적용
* 관리자(사용자), 개인정보취급자의 접속 로그 및 이벤트 로그에 대한 정기적 모니터링
* 이상징후 발견 시 세부조사, 내부보고 등 사전에 정의된 절차에 따라 이행

4. 개인정보 및 중요정보 표시제한 일관성 위한 기준 수립, 적용
개인정보 및 중요정보 표시제한 조치 기준 예시

* 성명: 성명의 가운데 글자(단, 성명이 2글자인 경우 뒷글자, 성명이 4글자 이상인 경우 첫 번째 글자와 마지막 글자를 제외한 글자)
* 주민등록번호: 13자리 중 뒤 7자리
* 전화번호, 휴대전화: 국번
* 주소: 도로명 이하의 건물번호 및 상세주소의 숫자
* 이메일주소: ID 중 앞 2자를 제외한 나머지
* 카드번호: 7번째 번호부터 6자리
* IP주소: 17~24비트(Ver. 4), 113~128비트(Ver. 6) 등

5. 개인정보 및 중요정보 노출(조회, 화면표시, 인쇄, 다운로드 등) 최소화 구현

* 응용프로그램(개인정보처리시스템 등)에서 개인정보 및 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
* 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보 출력
* 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치
* 개인정보 검색 시에는 불필요하거나 과도한 정보가 조회되지 않도록 일치검색(equal검색) 또는 두 가지 항목 이상의 검색조건 사용 등
* 오피스 파일(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치
* 웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등

증거자료

* 응용프로그램 접근권한 분류 체계
* 응용프로그램 계정/권한 관리 화면
* 응용프로그램 사용자/관리자 화면(개인정보 조회 등)
* 응용프로그램 세션 타임 및 동시접속 허용 여부 내역
* 응용프로그램 관리자 접속로그 모니터링 내역
* 정보자산 목록 개인정보처리시스템의 개인정보 조회, 검색 화면
* 개인정보 마스킹 표준
* 개인정보 마스킹 적용 화면

결함사례

* 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
* 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
* 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
* 응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
* 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 성씨만으로도 전체 고객 정보를 조회할 수 있는 경우
* 개인정보 표시제한 조치 기준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면별로 서로 다른 마스킹 기준이 적용된 경우
* 개인정보처리시스템의 화면상에는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우

 

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB