ISMS-P 인증 기준 2.6.2.정보시스템 접근 편집하기 (부분)

==세부 설명==

==== 정보시스템별 접근 통제 ====
서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다.

*계정 및 권한 신청·승인 절차
*사용자별로 개별 계정 부여 및 공용 계정 사용 제한
*계정 사용 현황에 대한 정기 검토 및 현행화 관리
**장기 미사용 계정, 불필요한 계정 존재 여부 등
*접속 위치 제한
**접속자 IP주소 제한 등
*관리자 등 특수권한에 대한 강화된 인증수단 고려
**인증서, [[OTP]] 등
*안전한 접근수단 적용
**[[SSH]], [[SFTP]]
*동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등

==== 세션 타임아웃 설정 ====
정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치 하여야 한다.

*서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정

==== 취약한 서비스 및 포트 관리 ====
정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.

*안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현
*Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 서비스를 보호하기 위하여 SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용

{| class="wikitable"
|'''※ 주요 OS별 서비스 확인 방법(예시)'''
*리눅스: /etc/xinetd.conf 파일의 서비스 목록 확인 또는 /etc/xinetd.d 디렉터리에 서비스 파일 사용 여부 확인
*윈도우: [시작] → [제어판] → [관리 도구] → [서비스]에서 서비스별로 사용 여부 점검
|}

==== 주요 서비스 독립 운영 ====
주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다.

*외부에 직접 서비스를 제공하거나 민감한 정보를 보관·처리하고 있는 웹서버, 데이터베이스 서버, 응용 프로그램 등은 공용 장비로 사용하지 않고 독립된 서버 사용