ISMS-P 인증 기준 2.6.7.인터넷 접속 통제 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
17번째 줄: | 17번째 줄: | ||
*주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? | *주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? | ||
**(가상자산사업자) 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을 때에는 전원을 OFF 또는, 네트워크 접속을 차단하고 있는가?(목적 외 SW설치 및 인터넷 사용 금지) | **(가상자산사업자) 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을 때에는 전원을 OFF 또는, 네트워크 접속을 차단하고 있는가?(목적 외 SW설치 및 인터넷 사용 금지) | ||
*관련 법령에 따라 | *관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
41번째 줄: | 41번째 줄: | ||
*망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자 | *망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자 | ||
** | **전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등 | ||
** | **개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우 | ||
*다음 사항을 고려하여 안전한 방식으로 망분리 적용 | *다음 사항을 고려하여 안전한 방식으로 망분리 적용 | ||
**망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별 | **망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별 | ||
**망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정 | **망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정 | ||
**물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용 | **물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용 | ||
* | *망분리 우회 경로 파악 및 차단 조치 | ||
** | **망간 자료전송을 위한 통제 방안 마련 | ||
** | **망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등 | ||
==증거 자료== | ==증거 자료== | ||
62번째 줄: | 61번째 줄: | ||
==결함 사례== | ==결함 사례== | ||
*개인정보 | *개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우 | ||
* | *망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우 | ||
*DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우 | *DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우 | ||
*인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우 | *인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우 |