ISMS-P 인증 기준 2.5.3.사용자 인증 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
== 개요 ==
{| class="wikitable"
!항목
!2.5.3.사용자 인증
|-
| style="text-align:center"|'''인증기준'''
|정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.
|-
|'''주요 확인사항'''
|
* 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
* 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
|}
== 세부 설명 ==

* 정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다.
** 사용자 인증 수단 예시<table><thead><tr><th>구분</th><th>인증 수단</th><th>비고</th></tr></thead><tbody><tr><td>지식 기반</td><td>비밀번호</td><td>안전한 비밀번호 작성규칙 및 주기적 변경 필요<br>비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요<br>시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀 번호 사용정지 또는 변경 필요</td></tr><tr><td rowspan="3">소유 기반</td><td><a href="https://itwiki.kr/w/%EA%B3%B5%EA%B0%9C%ED%82%A4_%EA%B8%B0%EB%B0%98_%EA%B5%AC%EC%A1%B0">인증서(PKI)</a></td><td>개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고)</td></tr><tr><td><a href="https://itwiki.kr/w/OTP">OTP</a></td><td>OTP토큰, 모바일OTP 등 다양한 방식 존재</td></tr><tr><td>기타</td><td>스마트 카드 방식<br>물리적 보안토큰 방식 등</td></tr><tr><td>생체 기반</td><td>지문, 홍채, 얼굴 등</td><td>생체 정보의 안전한 관리 필요<br>* ※ 참고 : <a href="https://itwiki.kr/w/FIDO">FIDO(Fast Identity Online)</a></td></tr><tr><td rowspan="4">기타 방식</td><td>IP주소</td><td>특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식</td></tr>I448<tr><td>MAC주소</td><td>단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식</td></tr><tr><td>기기 일련번호</td><td>특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식</td></tr><tr><td>기타</td><td>위치 정보, 디바이스 이용 패턴 등</td></tr></tbody></table>
** 계정 도용 및 불법적인 인증시도 통제방안 예시<table><thead><tr><th>구분</th><th>설명</th></tr></thead><tbody><tr><td>로그인 실패횟수 제한</td><td>계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한<br>* ※ 개인정보의 안전성 확보조치 기준 제5조제6항</td></tr><tr><td>접속 유지시간 제한</td><td>접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등)<br>* ※ 개인정보의 안전성 확보조치 기준 제6조제5항<br>* ※ 개인정보의 기술적·관리적 보호조치 기준 제4조제10항</td></tr><tr><td>동시 접속 제한</td><td>동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등</td></tr><tr><td>불법 로그인 시도 경고</td><td>국외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지<br>주말, 야간 접속 시 문자 알림<br>관리자 등 특수권한 로그인 시 알림 등</td></tr></tbody></table>
** 업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련
* 인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다.
** 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
** 안전한 접속수단 : 가상사설망(VPN), 전용망 등
== 증거 자료 ==
* 정보시스템 및 개인정보처리시스템 로그인 화면
* 로그인 횟수 제한 설정 화면
* 로그인 실패 메시지 화면
* 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
== 결함 사례 ==
* 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우
* 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
@@ 1번째 줄: / 1번째 줄: @@
 [[분류: ISMS-P 인증 기준]]
+* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
-*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
+* '''분류''': [[ISMS-P 인증기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
-*'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
+== 개요 ==
-==개요==
 {| class="wikitable"
 !항목
 !2.5.3.사용자 인증
 |-
-| style="text-align:center" |'''인증기준'''
+| style="text-align:center"|'''인증기준'''
 |정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.
 |-
 |'''주요 확인사항'''
 |
-*정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
+* 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
-*정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
+* 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
-|-
-|'''관련 법규'''
-|
-* [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)]
-* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)], [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제6조 제6조(접근통제)]
-* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의기술적·관리적보호조치기준/(2021-3,20210915)/제4조 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)]
-|}
-==세부 설명==
-==== 안전한 사용자 인증 절차 마련 ====
-정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다.
-*사용자 인증 수단 예시
-{| class="wikitable"
-!구분
-!인증 수단
-!비고
-|-
-!지식 기반
-|'''비밀번호'''
-|안전한 비밀번호 작성규칙 및 주기적 변경 필요<br>비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요<br>시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀 번호 사용정지 또는 변경 필요
-|-
-! rowspan="3" |소유 기반
-|[[공개키 기반 구조|'''인증서(PKI)''']]
-|개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고)
-|-
-|'''[[OTP]]'''
-|OTP토큰, 모바일OTP 등 다양한 방식 존재
-|-
-|'''기타'''
-|스마트 카드 방식<br>물리적 보안토큰 방식 등
-|-
-!생체 기반
-|'''지문, 홍채, 얼굴 등'''
-|생체 정보의 안전한 관리 필요
-* 참고: [[FIDO|FIDO(Fast Identity Online)]]
-|-
-! rowspan="4" |기타 방식
-|'''IP주소'''
-|특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식
-|-
-|'''MAC주소'''
-|단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식
-|-
-|'''기기 일련번호'''
-|특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식
-|-
-|'''기타'''
-|위치 정보, 디바이스 이용 패턴 등
-|}
-*계정 도용 및 불법적인 인증시도 통제방안 예시
-{| class="wikitable"
-!구분
-!설명
-|-
-|'''로그인 실패횟수 제한'''
-|계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한
-* [[개인정보의 안전성 확보조치 기준 제5조]]제6항
-|-
-|'''접속 유지시간 제한'''
-|접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등)
-* [[개인정보의 안전성 확보조치 기준 제6조]]제5항
-* [[개인정보의 기술적·관리적 보호조치 기준 제4조]]제10항
-|-
-|'''동시 접속 제한'''
-|동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등
-|-
-|'''불법 로그인 시도 경고'''
-|
-* 국외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지
-* 주말, 야간 접속 시 문자 알림
-* 관리자 등 특수권한 로그인 시 알림 등
 |}
+== 세부 설명 ==
-==== SSO 활용 시 보호대책 마련 ====
+* 정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다.
-업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련
+** 사용자 인증 수단 예시<table><thead><tr><th>구분</th><th>인증 수단</th><th>비고</th></tr></thead><tbody><tr><td>지식 기반</td><td>비밀번호</td><td>안전한 비밀번호 작성규칙 및 주기적 변경 필요<br>비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요<br>시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀 번호 사용정지 또는 변경 필요</td></tr><tr><td rowspan="3">소유 기반</td><td><a href="https://itwiki.kr/w/%EA%B3%B5%EA%B0%9C%ED%82%A4_%EA%B8%B0%EB%B0%98_%EA%B5%AC%EC%A1%B0">인증서(PKI)</a></td><td>개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고)</td></tr><tr><td><a href="https://itwiki.kr/w/OTP">OTP</a></td><td>OTP토큰, 모바일OTP 등 다양한 방식 존재</td></tr><tr><td>기타</td><td>스마트 카드 방식<br>물리적 보안토큰 방식 등</td></tr><tr><td>생체 기반</td><td>지문, 홍채, 얼굴 등</td><td>생체 정보의 안전한 관리 필요<br>* ※ 참고 : <a href="https://itwiki.kr/w/FIDO">FIDO(Fast Identity Online)</a></td></tr><tr><td rowspan="4">기타 방식</td><td>IP주소</td><td>특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식</td></tr>I448<tr><td>MAC주소</td><td>단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식</td></tr><tr><td>기기 일련번호</td><td>특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식</td></tr><tr><td>기타</td><td>위치 정보, 디바이스 이용 패턴 등</td></tr></tbody></table>
+** 계정 도용 및 불법적인 인증시도 통제방안 예시<table><thead><tr><th>구분</th><th>설명</th></tr></thead><tbody><tr><td>로그인 실패횟수 제한</td><td>계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한<br>* ※ 개인정보의 안전성 확보조치 기준 제5조제6항</td></tr><tr><td>접속 유지시간 제한</td><td>접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등)<br>* ※ 개인정보의 안전성 확보조치 기준 제6조제5항<br>* ※ 개인정보의 기술적·관리적 보호조치 기준 제4조제10항</td></tr><tr><td>동시 접속 제한</td><td>동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등</td></tr><tr><td>불법 로그인 시도 경고</td><td>국외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지<br>주말, 야간 접속 시 문자 알림<br>관리자 등 특수권한 로그인 시 알림 등</td></tr></tbody></table>
-==== 외부 접속 시 안전한 인증·접속수단 마련 ====
+** 업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련
-인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다.
+* 인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다.
+** 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
-*'''안전한 인증수단:''' 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
+** 안전한 접속수단 : 가상사설망(VPN), 전용망 등
-*'''안전한 접속수단:''' 가상사설망(VPN), 전용망 등
+== 증거 자료 ==
+* 정보시스템 및 개인정보처리시스템 로그인 화면
-==증거 자료==
+* 로그인 횟수 제한 설정 화면
+* 로그인 실패 메시지 화면
-*정보시스템 및 개인정보처리시스템 로그인 화면
+* 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
-*로그인 횟수 제한 설정 화면
+== 결함 사례 ==
-*로그인 실패 메시지 화면
+* 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우
-*외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
+* 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우
+== 같이 보기 ==
-==결함 사례==
+* [[정보보호 및 개인정보보호관리체계 인증]]
+* [[ISMS-P 인증 기준]]
-*개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우
+* [[ISMS-P 인증 기준 세부 점검 항목]]
-*정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우
+== 참고 문헌 ==
+* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
-==같이 보기==
-*[[정보보호 및 개인정보보호관리체계 인증]]
-*[[ISMS-P 인증 기준]]
-*[[ISMS-P 인증 기준 세부 점검 항목]]
-==참고 문헌==
-*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)