ISMS-P 인증 기준 2.6.6.원격접근 통제 편집하기 (부분)

==세부 설명==

====주요 시스템에 대한 원격접속 대책 수립·이행====
인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 '''원격운영은 원칙적으로 금지'''하고 '''부득이하게 허용하는 경우''' 다음과 같은 '''대책을 수립·이행'''하여야 한다.
*원격 운영 및 접속에 대한 책임자의 승인
*안전한 인증수단(인증서, OTP 등) 적용
*안전한 접속수단(VPN 등) 적용
*'''한시적 접근권한 부여''' 및 권한자 '''현황 관리'''
*백신 설치, 보안패치 등 접속 단말 보안
*원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)
*원격접속 기록 로깅 및 주기적 분석
*원격 운영 관련 보안인식 교육 등

====내부 네트워크 경유 시 단말 제한====
내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하여야 한다.
*접속 가능한 단말을 IP주소, MAC주소 등으로 제한
*정상적인 원격접속 경로를 우회한 접속경로 차단 등

====원격업무 수행 보호대책 수립·이행====
재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하여야 한다.
*스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
*스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
*스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
*원격접근에 필요한 기술적 보호대책 : 전송구간 암호화(VPN 등), 강화된 사용자 인증(OTP 등)
*접속 단말(PC, 모바일 기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실·도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요시 암호화 조치) 등
*스마트워크 업무환경 정보보호지침 수립 및 교육 등

==== 개인정보처리시스템 관리용 단말기 보호====
개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 접속하는 단말기(관리용 단말기 또는 중요단말기)에 대하여 다음과 같은 보호조치를 적용하여야 한다.
*관리용 단말기 지정 및 목록관리
*인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
*등록된 관리용 단말기 이외에는 접근하지 못하도록 조치
*본래 목적 외로 사용되지 않도록 조치
*관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용