ISMS-P 인증심사원 주요 암기사항 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
595번째 줄: | 595번째 줄: | ||
*통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | *통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | ||
*[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | *[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | ||
*서버관리 시스템의 비밀번호 작성 규칙과 | *서버관리 시스템의 비밀번호 작성 규칙과 개인정초 처리시스템의 비밀번호 작성 규칙이 다른 경우 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1 정책의 유지관리]] 결함이다.<ref>그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.</ref> | ||
*정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | *정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | ||
*여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> | *여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> |