ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안

From IT Wiki


개요[edit | edit source]

항목 2.10.6.업무용 단말기기 보안
인증기준 PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.
주요 확인사항
  • PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하고 있는가?
  • 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립· 이행하고 있는가?
    • (가상자산사업자) 가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립‧이행하고 있는가?
  • 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 보안대책을 적용하고 있는가?
  • 업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제6조(접근통제)

세부 설명[edit | edit source]

업무용 단말기 사용 정책 수립·이행[edit | edit source]

PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하여야 한다.

  • 업무용 단말기 허용기준
  • 업무용 단말기 통한 업무 사용범위
  • 업무용 단말기 사용 시 승인 절차 및 방법
  • 업무망 연결 시 인증 방안: 기기인증, MAC 인증 등
  • 백신 설치, 보안프로그램 설치 등 업무용 단말기 사용에 따른 보안 설정 정책
  • 업무용 단말기 사용에 따른 보안 설정 정책 및 오·남용 모니터링 대책 등

※ 업무용 단말기 사용에 따른 보안관리 및 모니터링 대책(예시)

  • 업무용 단말기에 대한 사용자 보안 설정 정책(백신설치, 보안패치, 공공장소에서의 사용주의, 분실 시 데이터초기화 등)
  • 개인정보 및 내부자료 유출 방지를 위한 정책, 교육, 책임부여, 처벌기준
  • 업무용 기기의 오·남용 여부를 파악할 수 있는 모니터링 대책
  • 업무용 기기에 설치되는 소프트웨어의 안전성 점검대책
  • 업무용 기기 악성코드 방지 대책
  • 인터넷, 공개된 무선망 등을 통한 개인정보 유·노출을 방지하기 위한 업무용기기 접근통제 조치

업무용 단말기를 통한 정보 유출 방지를 위한 정책 수립·이행[edit | edit source]

업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립·이행하여야 한다.

  • 불가피하게 공유설정 등을 할 때에는 업무용 단말기에 접근권한 비밀번호를 설정하고, 사용이 완료된 후에는 공유설정 제거
  • 파일 전송이 주된 목적일 때에는 읽기 권한만을 부여하고 상대방이 쓰기를 할 때만 개별적으로 쓰기권한 설정
  • P2P 프로그램, 상용 웹메일, 웹하드, 메신저, SNS 서비스 등을 통하여 고의·부주의로 인한 개인정보 및 중요정보의 유·노출 방지
  • WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 무선망 이용 등

업무용 모바일기기 보안 대책 적용[edit | edit source]

업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 비밀번호 설정 등의 보안대책을 적용하여야 한다.

※ 업무용 모바일 기기 분실·도난 대책(예시)

  • 비밀번호, 패턴, PIN, 지문, 홍채 등을 사용하여 화면 잠금 설정
  • 디바이스 암호화 기능 등을 사용하여 애플리케이션, 데이터 등 암호화
  • 모바일 기기 제조사 또는 이동통신사에서 제공하는 기능을 이용한 원격 잠금, 원격 데이터 삭제(킬 스위치 서비스 등)
  • 중요한 개인정보를 처리하는 모바일 기기는 MDM(Mobile Device Management) 등 모바일 단말 관리 프로그램을 설치하여 원격 잠금, 원격 데이터 삭제, 접속통제 등

업무용 단말기 접근통제 대책 적절성 검토[edit | edit source]

업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하여야 한다.

  • 업무용 단말기 신청·승인, 등록·해제, 기기인증 이력
  • 업무용 단말기 보안설정 현황 등

증거 자료[edit | edit source]

  • 업무용 단말기 보안통제 지침 및 절차
  • 업무용 단말기 등록현황
  • 업무용 단말기 보안설정
  • 업무용 단말기 기기인증 및 승인 이력
  • 업무용 단말기 보안점검 현황

결함 사례[edit | edit source]

  • 업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우
  • 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보 시스템 접속이 가능한 경우
  • 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우
  • 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)