ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 9번째 줄: | 9번째 줄: | ||
!2.10.6.업무용 단말기기 보안 | !2.10.6.업무용 단말기기 보안 | ||
|- | |- | ||
| style="text-align:center | | style="text-align:center" |'''인증기준''' | ||
| PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다. | |PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |||
| | | | ||
*PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 | *PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립‧이행하고 있는가? | ||
*업무용 단말기를 | *업무용 단말기를 통해 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립‧이행하고 있는가? | ||
*업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유‧노출을 방지하기 위하여 보안대책을 적용하고 있는가? | |||
*업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 | *업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가? | ||
*업무용 단말기기에 대한 접근통제 대책의 적절성에 | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
| 43번째 줄: | 37번째 줄: | ||
*업무용 기기의 오·남용 여부를 파악할 수 있는 모니터링 대책 | *업무용 기기의 오·남용 여부를 파악할 수 있는 모니터링 대책 | ||
*업무용 기기에 설치되는 소프트웨어의 안전성 점검대책 | *업무용 기기에 설치되는 소프트웨어의 안전성 점검대책 | ||
* 업무용 기기 악성코드 방지 대책 | *업무용 기기 악성코드 방지 대책 | ||
* 인터넷, 공개된 무선망 등을 통한 개인정보 유·노출을 방지하기 위한 업무용기기 접근통제 조치 | *인터넷, 공개된 무선망 등을 통한 개인정보 유·노출을 방지하기 위한 업무용기기 접근통제 조치 | ||
</blockquote> | </blockquote> | ||
====업무용 단말기를 통한 정보 유출 방지를 위한 정책 수립·이행 ==== | ==== 업무용 단말기를 통한 정보 유출 방지를 위한 정책 수립·이행 ==== | ||
업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립·이행하여야 한다. | 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립·이행하여야 한다. | ||
| 55번째 줄: | 49번째 줄: | ||
*WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 무선망 이용 등 | *WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 무선망 이용 등 | ||
====업무용 | ==== 업무용 단말기 보안 대책 적용 ==== | ||
업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 비밀번호 설정 등의 보안대책을 적용하여야 한다.<blockquote>※ 업무용 모바일 기기 분실·도난 대책(예시) | 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 비밀번호 설정 등의 보안대책을 적용하여야 한다.<blockquote>※ 업무용 모바일 기기 분실·도난 대책(예시) | ||
*비밀번호, 패턴, PIN, 지문, 홍채 등을 사용하여 화면 잠금 설정 | *비밀번호, 패턴, PIN, 지문, 홍채 등을 사용하여 화면 잠금 설정 | ||
*디바이스 암호화 기능 등을 사용하여 애플리케이션, 데이터 등 암호화 | *디바이스 암호화 기능 등을 사용하여 애플리케이션, 데이터 등 암호화 | ||
* 모바일 기기 제조사 또는 이동통신사에서 제공하는 기능을 이용한 원격 잠금, 원격 데이터 삭제(킬 스위치 서비스 등) | *모바일 기기 제조사 또는 이동통신사에서 제공하는 기능을 이용한 원격 잠금, 원격 데이터 삭제(킬 스위치 서비스 등) | ||
*중요한 개인정보를 처리하는 모바일 기기는 MDM(Mobile Device Management) 등 모바일 단말 관리 프로그램을 설치하여 원격 잠금, 원격 데이터 삭제, 접속통제 등 | *중요한 개인정보를 처리하는 모바일 기기는 MDM(Mobile Device Management) 등 모바일 단말 관리 프로그램을 설치하여 원격 잠금, 원격 데이터 삭제, 접속통제 등 | ||
</blockquote> | </blockquote> | ||
====업무용 단말기 접근통제 대책 적절성 검토==== | ==== 업무용 단말기 접근통제 대책 적절성 검토 ==== | ||
업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하여야 한다. | 업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하여야 한다. | ||
| 76번째 줄: | 70번째 줄: | ||
*업무용 단말기 보안설정 | *업무용 단말기 보안설정 | ||
*업무용 단말기 기기인증 및 승인 이력 | *업무용 단말기 기기인증 및 승인 이력 | ||
* 업무용 단말기 보안점검 현황 | *업무용 단말기 보안점검 현황 | ||
==결함 사례== | ==결함 사례== | ||
* 업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우 | *업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우 | ||
*모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보 시스템 접속이 가능한 경우 | *모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보 시스템 접속이 가능한 경우 | ||
*개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우 | *개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우 | ||
| 93번째 줄: | 87번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ||
