본문 바로가기
ISMS-P 인증 기준/보호대책 요구사항

ISMS-P 인증 준비, 비밀번호 관리

by 세진파파 2025. 1. 23.
반응형



ISMS-P 인증 

2.5 인증 및 권한관리

2.5.1 사용자 계정 관리

2.5.2 사용자 식별

2.5.3 사용자 인증

2.5.4 비밀번호 관리

2.5.5 특수 계정 및 권한 관리

2.5.6 접근권한 검토

2.4.7 업무환경 보안

 

ISMS-P 간편인증(7의2)

2.4 인증 및 권한관리

2.4.1 사용자 계정 관리

2.4.2 사용자 식별

2.4.3 사용자 인증

2.4.4 비밀번호 관리

 

ISMS-P 간편인증(7의3) 

2.5 인증 및 권한관리

2.5.1 사용자 계정 관리

2.5.2 사용자 식별

2.5.3 사용자 인증

2.5.4 비밀번호 관리

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체 (이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.

 

주요확인사항

* 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립·이행하고 있는가? 정보주체(이용자)가 * 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립· 이행하고 있는가?
* 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가?

 

관련법규

* 개인정보 보호법 제29조(안전조치의무)
* 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)

 

세부 설명

1. 내부 사용자 비밀번호 관리 규칙 수립·이행
사용자 및 관리자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.

비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화)

구분내 용

구분 내용
조합 규칙 적용
  • 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 8자리 이상
  • 문자로만 구성한 경우 최소 10자리 이상(단, 숫자로만 구성할 경우 취약할 수 있음)
변경주기 설정
  • 비밀번호 유효기간을 설정하여 주기적으로 변경(단, 주기적 변경 여부 및변경주기는 위험평가 결과 등을 고려하여 자체적으로 결정)
추측하기 쉬운 비밀번호 설정 제한
  • 동일한 문자 반복, 키보드 상에서 나란히 있는 문자열, 일련번호, 연속적인 숫자, 생일, 전화번호 등 추측하기 쉬운 개인정보 및 ID와 비슷한 비밀번호 사용 제한
동일한 비밀번호 재사용 제한
  • 비밀번호 변경 시 이전에 사용한 비밀번호 재사용 제한

 

※ 비밀번호 관리절차 예시

* 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용
* 비밀번호 처리(입력, 변경) 시 마스킹 처리
* 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우  암호화 등의 보호대책 적용
* 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
* 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행
* 관리자 비밀번호는 비밀등급에 준하여 관리 등


2.2  이용자 비밀번호 관리 규칙 수립·이행
정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.

* 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 위험도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
* 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등

 

3. 인증수단의 안전한 적용 및 관리
개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.

 

* 개인정보취급자 또는 정보주체의 인증수단으로 비밀번호를 사용할 경우 안전한 비밀번호 작성규칙을 수립·적용
( 비밀번호 외의 인증수단(인증서, PIN, 생체인식, 보안토큰 등)을 사용할 경우 해당 인증수단이 비인가자에게 탈취되거나 도용되지 않도록 보호대책 적용

증거자료

* 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
* 비밀번호 관리 정책 및 절차

결함사례

* 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
* 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
* 비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf
8.11MB

반응형

'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글

ISMS-P 인증 준비, 사용자 인증  (0) 2025.01.22
ISMS-P 인증 준비, 사용자 식별  (0) 2025.01.21
ISMS-P 인증 준비, 사용자 계정 관리  (0) 2025.01.20
ISMS-P 인증 준비, 업무환경 보안  (1) 2025.01.17
ISMS-P 인증 준비, 반출입 기기 통제  (1) 2025.01.16

관련글

티스토리툴바