분류 전체보기40 단계별 내부통제항목 - 예방(7) 8) 접근통제 조직 내의 중요 자산 및 중요 정보를 보호하기 위하여 비인가자의 접근을 통제할 수 있는 접근통제 정책을 수립하고 접근통제 정책에 따라 직무 별·역할별 권한을 부여하여야 한다. 사용자 인증은 안전한 사용자 인증 절차에 의하여 통제하고 사용자의 고유 식별자를 할당 및 패스워드 보호 대책에 의거한 패스워드를 관리하여야 한다. 또한 중요자산에 대하여는 별도의 접근 통제를 실시하여 관리하여야 한다. ① 직무 별·역할별 권한 관리 조직 내의 중요 자산 및 중요 정보를 보호하기 위하여 “직무별”, “역할별” 접근권한을 관리하여야 하며, “정보시스템 영역별”로 사용자 계정을 관리하여야 한다. 접근권한의 “등록”, “변경”, “삭제” 시에 “적절한 승인 절차”에 따라 이행되어야 하며, “사용자 계정” 및 .. 2022. 7. 22. 단계별 내부통제항목 - 예방(6) 7) 암호통제 개인정보 및 중요정보를 보호하기 위하여 “저장” 및 “전송” 시 “암호화”를 적용하여야 하며, “암호키”는 “생성”, “이용”, “보관”, “배포”, “파기”에 관한 “안전한 절차를 수립”하여야 한다. ① 개인정보 및 중요정보 암호화 개인정보 및 중요정보를 보호하기 위하여 암호 정책을 수립 및 이행하여야 하며, “저장” 및 “송·수신” 시 “암호화”를 적용하여야 한다. 개인정보보호법의 “개인정보의 안전성 확보 조치 기준” “제7조(개인정보의 암호화)” 조항에 다음과 같이 개인정보 암호화를 규정하고 있다. 『제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조 제 1항 제3호에 따라 암호화하여야 하는 개인정보는 고유 식별정보, 비밀번호 및 바이오 정보를 말한다. ② 개인정보처리자는 제1.. 2022. 7. 21. 단계별 내부통제항목 - 예방(5) ⑤ 개발과 운영 환경 분리 “개발 및 테스트 환경”은 “운영 환경”과 분리하여야 한다. 환경 분리는 개발 및 테스트 서버와 운영 서버를 분리하는 것뿐만 아니라 네트워크의 분리도 함께 이루어져야 한다. 만약 불가피하게 분리할 수 없을 경우에는 “모니터링 강화”, “개발 및 변경 사항 승인”, “책임추적성(Accountability) 확보”를 위한 “변경 내용 저장” 등과 같은 “보완통제”를 마련하여야 한다. 관련표준 및 지침 K-ISMS 8.2.2 개발과 운영 환경 분리 ISO/IEC 27002:2013 A.12.1.4 Separation of development, testing and operational environments NIST SP 800-53 CM-2, CM-4, CM-9, SA-10 ⑥ .. 2022. 7. 20. 단계별 내부통제항목 - 예방(4) ⑤ 사무실 환경 보안 사무실 내에서의 중요 자산 보호 및 정보보호에 대한 대책을 수립하고 이행하여야 한다. 사무실 환경 보안은 “개인 업무 환경 보안”과 “공용업무 환경 보안”으로 분리해서 수행할 수 있다. “개인 업무 환경 보안”은 “이석 시 컴퓨터 화면 보호기 및 패스워드 설정”, “중요문서 및 저장매체 방치 금지”, “개인용컴퓨터 보안 설정”, “중요문서 파기” 등의 대책이 필요하며 “공용업무 환경 보안”은 공용으로 사용하는 사무 장비에 대한 보호 대책을 의미하며 “공용 사무기기”, “공용 컴퓨터”, “파일서버”, “문서고”, “공용 사무실” 등에 대한 중요 자산 및 정보보호에 대한 대책을 수립하여야 한다. 관련표준 및 지침 K-ISMS 7.3.1 개인업부 환경 보안 7.3.2 공용업무 환경 보안 .. 2022. 7. 19. 이전 1 2 3 4 5 6 ··· 10 다음
