ISMS-P 인증 기준 2.9.5.로그 및 접속기록 점검: Difference between revisions
From IT Wiki
(Imported from text file) |
(1. 주요확인사항에 '금융'쪽 내용 반영, 2. 참고문서 현행화) |
||
(2 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.9.5.로그 및 접속기록 점검 | !2.9.5.로그 및 접속기록 점검 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|정보시스템의 정상적인 사용을 보장하고 사용자 오·남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다. | |정보시스템의 정상적인 사용을 보장하고 사용자 오·남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보시스템 관련 오류, 오‧남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립‧이행하고 있는가? | *정보시스템 관련 오류, 오‧남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립‧이행하고 있는가? | ||
* 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가? | **(가상자산사업자) 월렛 서버, 가상자산 노드서버 등 취급업소에 특화된 정보시스템에 대해서도 로그 및 접속기록에 대한 검토정책을 누락없이 운영하고 있는가? | ||
* 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가? | ***특히, 월렛 관련 정보시스템에 대한 로그는 개인키, 암호화키, 패스프레이즈 등이 포함될 수 있으므로 암호화하거나, 불필요한 정보가 과다하게 남지 않도록 저장해야 함 | ||
**(가상자산사업자) 전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행시 책임자가 이중확인 하고 있는가? | |||
*중요정보 및 주요 정보시스템에 대한 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가? | |||
*개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가? | |||
*(금융) 개인신용정보취급자의 개인신용정보 처리기록을 확인할 수 있는 수단 및 이의 점검・감사체제를 갖추고 개인신용정보 이상 과다 조회에 대해 수시 점검을 실시하고 있는가? | |||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 로그 검토 및 모니터링 절차 수립 ==== | |||
정보시스템 관련 오류, 오·남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립·이행하여야 한다. | |||
*검토 주기 | |||
*검토 대상 | |||
*검토 기준 및 방법 | |||
*검토 담당자 및 책임자 | |||
*이상징후 발견 시 대응절차 등 | |||
==== 검토 및 모니터링 결과 보고 및 대응 ==== | |||
로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하여야 한다. | |||
*로그 검토 및 모니터링 기준에 따라 검토를 수행한 후 이상징후 발견 여부 등 그 결과를 관련 책임자에게 보고 | |||
*이상징후 발견 시 정보유출, 해킹, 오·남용, 부정행위 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응 | |||
*개인정보를 다운로드한 것이 확인된 경우 내부관리계획 등 로그검토 기준에서 정하는 바에 따라 그 사유를 확인하고, 개인정보의 오·남용이나 유출 목적으로 다운로드한 것이 확인되었다면 지체 없이 개인정보취급자가 다운로드한 개인정보를 회수하여 파기하는 등의 필요한 조치 이행 | |||
==== 법에서 정한 점검 주기 준수 ==== | |||
개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하여야 한다. | |||
*법령에 따른 개인정보 접속기록 점검 주기: '''월 1회''' 이상 | |||
==증거 자료== | |||
*로그 검토 및 모니터링 절차 | |||
*로그 검토 및 모니터링 결과(검토 내역, 보고서 등) | |||
*개인정보 접속기록 점검 내역 | |||
*개인정보 다운로드 시 사유 확인 기준 및 결과 | |||
*이상징후 발견 시 대응 증적 | |||
==결함 사례== | |||
*중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적·연속적 조회 등)에 대한 모니터링 및 경고·알림 정책(기준)이 수립되어 있지 않은 경우 | |||
*내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검·모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우 | |||
*개인정보처리자 또는 정보통신서비스제공자가 개인정보처리시스템의 접속기록 점검 주기를 반기 1회로 정하고 있는 경우 | |||
*개인정보처리자의 내부관리계획에는 1,000명 이상의 정보주체에 대한 개인정보를 다운로드한 경우에는 사유를 확인하도록 기준이 책정되어 있는 상태에서 1,000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
* | *정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서 (KISA, 2023.11) | ||
*정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 점검항목 (금융보안원, 2023.12) | |||
* | |||
Latest revision as of 13:45, 8 February 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.9.시스템 및 서비스 운영관리
개요[edit | edit source]
항목 | 2.9.5.로그 및 접속기록 점검 |
---|---|
인증기준 | 정보시스템의 정상적인 사용을 보장하고 사용자 오·남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
로그 검토 및 모니터링 절차 수립[edit | edit source]
정보시스템 관련 오류, 오·남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립·이행하여야 한다.
- 검토 주기
- 검토 대상
- 검토 기준 및 방법
- 검토 담당자 및 책임자
- 이상징후 발견 시 대응절차 등
검토 및 모니터링 결과 보고 및 대응[edit | edit source]
로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하여야 한다.
- 로그 검토 및 모니터링 기준에 따라 검토를 수행한 후 이상징후 발견 여부 등 그 결과를 관련 책임자에게 보고
- 이상징후 발견 시 정보유출, 해킹, 오·남용, 부정행위 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응
- 개인정보를 다운로드한 것이 확인된 경우 내부관리계획 등 로그검토 기준에서 정하는 바에 따라 그 사유를 확인하고, 개인정보의 오·남용이나 유출 목적으로 다운로드한 것이 확인되었다면 지체 없이 개인정보취급자가 다운로드한 개인정보를 회수하여 파기하는 등의 필요한 조치 이행
법에서 정한 점검 주기 준수[edit | edit source]
개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하여야 한다.
- 법령에 따른 개인정보 접속기록 점검 주기: 월 1회 이상
증거 자료[edit | edit source]
- 로그 검토 및 모니터링 절차
- 로그 검토 및 모니터링 결과(검토 내역, 보고서 등)
- 개인정보 접속기록 점검 내역
- 개인정보 다운로드 시 사유 확인 기준 및 결과
- 이상징후 발견 시 대응 증적
결함 사례[edit | edit source]
- 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적·연속적 조회 등)에 대한 모니터링 및 경고·알림 정책(기준)이 수립되어 있지 않은 경우
- 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검·모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우
- 개인정보처리자 또는 정보통신서비스제공자가 개인정보처리시스템의 접속기록 점검 주기를 반기 1회로 정하고 있는 경우
- 개인정보처리자의 내부관리계획에는 1,000명 이상의 정보주체에 대한 개인정보를 다운로드한 경우에는 사유를 확인하도록 기준이 책정되어 있는 상태에서 1,000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서 (KISA, 2023.11)
- 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 점검항목 (금융보안원, 2023.12)