ISMS-P 인증 기준 2.5.4.비밀번호 관리: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.5.4.비밀번호 관리
!2.5.4.비밀번호 관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및  고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.
|법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및  고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립‧이행하고 있는가?
*정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립‧이행하고 있는가?
* 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립‧이행하고 있는가?
*정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립‧이행하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 내부 사용자 비밀번호 관리 규칙 수립·이행 ====
사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.
 
*비밀번호 관리절차 예시<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
*시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용
*비밀번호 처리(입력, 변경) 시 마스킹 처리
*종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용
*침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
*비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행
*관리자 비밀번호는 비밀등급에 준하여 관리 등</div>
 
==== 이용자 비밀번호 관리 규칙 수립·이행 ====
정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.
 
*사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
*비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등
 
==증거 자료==
 
*웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
*비밀번호 관리 정책 및 절차
 
==결함 사례==
 
*정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
*비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
*사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 비밀번호 관리절차 예시
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용
* 비밀번호 처리(입력, 변경) 시 마스킹 처리
* 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용
* 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
* 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행
* 관리자 비밀번호는 비밀등급에 준하여 관리 등</div>
* 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.
** 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
** 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등
== 증거 자료 ==
* 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
* 비밀번호 관리 정책 및 절차
== 결함 사례 ==
* 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
* 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
* 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 23:09, 27 June 2022


개요

항목 2.5.4.비밀번호 관리
인증기준 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.
주요 확인사항
  • 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립‧이행하고 있는가?
  • 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립‧이행하고 있는가?

세부 설명

내부 사용자 비밀번호 관리 규칙 수립·이행

사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.

  • 비밀번호 관리절차 예시
  • 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용
  • 비밀번호 처리(입력, 변경) 시 마스킹 처리
  • 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용
  • 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
  • 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행
  • 관리자 비밀번호는 비밀등급에 준하여 관리 등

이용자 비밀번호 관리 규칙 수립·이행

정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.

  • 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
  • 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등

증거 자료

  • 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
  • 비밀번호 관리 정책 및 절차

결함 사례

  • 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
  • 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
  • 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)