ISMS-P 인증 기준 2.6.7.인터넷 접속 통제: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제 ]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.7.인터넷 접속 통제
!2.6.7.인터넷 접속 통제
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.
|인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립‧이행하고 있는가?
*주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립‧이행하고 있는가?
* 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
*주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
* 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?
*관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 업무용 PC 인터넷 접속 통제 ====
인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행하여야 한다.
 
*인터넷 연결 시 네트워크 구성 정책
*외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책
*유해사이트(성인, 오락 등) 접속 차단 정책
*정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책
*망분리 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등)
*인터넷 접속내역 검토(모니터링) 정책 등
 
==== 정보시스템 서버 등 인터넷 접속 통제 ====
주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.
 
*악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(데이터베이스 서버, 파일서버 등)에서 외부 인터넷 접속 제한
*불가피한 사유가 있는 경우 위험분석을 통하여 보호대책을 마련하고 책임자의 승인 후 허용
 
==== 망분리 규제 준수 ====
관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.
 
*망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
**전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등
**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우
*다음 사항을 고려하여 안전한 방식으로 망분리 적용
**망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
**망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
**물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
*망분리 우회 경로 파악 및 차단 조치
**망간 자료전송을 위한 통제 방안 마련
**망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등
 
==증거 자료==
 
*비업무사이트(P2P 등) 차단정책(비업무사이트 차단시스템 관리화면 등)
*인터넷 접속내역 모니터링 이력
*망분리 대상자 목록
*망간 자료 전송 절차 및 처리내역(신청·승인내역 등)
*네트워크 구성도
 
==결함 사례==
 
*개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우
*망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
*DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
*인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
*내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 인터넷 연결 시 네트워크 구성 정책
** 외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책
** 유해사이트(성인, 오락 등) 접속 차단 정책
** 정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책
** 망분리 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등)
** 인터넷 접속내역 검토(모니터링) 정책 등
* 주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.
** 악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(데이터베이스 서버, 파일서버 등)에서 외부 인터넷 접속 제한
** 불가피한 사유가 있는 경우 위험분석을 통하여 보호대책을 마련하고 책임자의 승인 후 허용
* 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.
** 망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
*** 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등
** 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우
** 다음 사항을 고려하여 안전한 방식으로 망분리 적용
*** 망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
** 망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
*** 물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
** 망분리 우회 경로 파악 및 차단 조치
*** 망간 자료전송을 위한 통제 방안 마련
** 망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등
== 증거 자료 ==
* 비업무사이트(P2P 등) 차단정책(비업무사이트 차단시스템 관리화면 등)
* 인터넷 접속내역 모니터링 이력
* 망분리 대상자 목록
* 망간 자료 전송 절차 및 처리내역(신청·승인내역 등)
* 네트워크 구성도
== 결함 사례 ==
* 개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우
* 망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
* DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
* 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
* 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 21:38, 28 June 2022


개요

항목 2.6.7.인터넷 접속 통제
인증기준 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.
주요 확인사항
  • 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립‧이행하고 있는가?
  • 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
  • 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?

세부 설명

업무용 PC 인터넷 접속 통제

인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행하여야 한다.

  • 인터넷 연결 시 네트워크 구성 정책
  • 외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책
  • 유해사이트(성인, 오락 등) 접속 차단 정책
  • 정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책
  • 망분리 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등)
  • 인터넷 접속내역 검토(모니터링) 정책 등

정보시스템 서버 등 인터넷 접속 통제

주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.

  • 악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(데이터베이스 서버, 파일서버 등)에서 외부 인터넷 접속 제한
  • 불가피한 사유가 있는 경우 위험분석을 통하여 보호대책을 마련하고 책임자의 승인 후 허용

망분리 규제 준수

관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.

  • 망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
    • 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등
    • 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우
  • 다음 사항을 고려하여 안전한 방식으로 망분리 적용
    • 망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
    • 망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
    • 물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
  • 망분리 우회 경로 파악 및 차단 조치
    • 망간 자료전송을 위한 통제 방안 마련
    • 망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등

증거 자료

  • 비업무사이트(P2P 등) 차단정책(비업무사이트 차단시스템 관리화면 등)
  • 인터넷 접속내역 모니터링 이력
  • 망분리 대상자 목록
  • 망간 자료 전송 절차 및 처리내역(신청·승인내역 등)
  • 네트워크 구성도

결함 사례

  • 개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우
  • 망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
  • DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
  • 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
  • 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)