ISMS-P 인증 기준 2.5.4.비밀번호 관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
10번째 줄: | 10번째 줄: | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체 (이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. | |법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* | *정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립‧이행하고 있는가? | ||
*정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 | *정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립‧이행하고 있는가? | ||
|- | |- | ||
|'''관련 법규''' | |'''관련 법규''' | ||
| | | | ||
* [https://www.law.go.kr/법령/개인정보보호법/( | * [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)] | ||
*[https://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준/( | * [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)] | ||
* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의기술적·관리적보호조치기준/(2021-3,20210915)/제4조 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)] | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====내부 사용자 비밀번호 관리 규칙 수립·이행==== | ====내부 사용자 비밀번호 관리 규칙 수립·이행==== | ||
사용자 및 | 사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다. | ||
*비밀번호 | *비밀번호 관리절차 예시 | ||
{| class="wikitable" | {| class="wikitable" | ||
| | | | ||
*시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용 | *시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용 | ||
*비밀번호 처리(입력, 변경) 시 마스킹 처리 | *비밀번호 처리(입력, 변경) 시 마스킹 처리 | ||
60번째 줄: | 37번째 줄: | ||
*침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경 | *침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경 | ||
*비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행 | *비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행 | ||
*관리자 비밀번호는 비밀등급에 준하여 관리 등 | *관리자 비밀번호는 비밀등급에 준하여 관리 등 | ||
|} | |||
==== 이용자 비밀번호 관리 규칙 수립·이행==== | ====이용자 비밀번호 관리 규칙 수립·이행==== | ||
정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다. | 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다. | ||
*사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 | *사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용 | ||
*비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등 | *비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등 | ||
==증거 자료== | ==증거 자료== | ||
88번째 줄: | 55번째 줄: | ||
*정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 | *정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 | ||
*비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우 | *비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우 | ||
* | *사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우 | ||
==같이 보기== | ==같이 보기== | ||
98번째 줄: | 65번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |