|
항목
|
2.6.2. 정보시스템 접근
|
|
키워드
|
서버, NW, 보안시스템 OS 접근통제, 세션 타임아웃, 불필요서비스 제거, 주요서비스 독립서버
|
|
인증기준
|
서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.
|
|
주요 확인사항
|
서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
정보시스템의 사용목적과 관계 없는 서비스를 제거하고 있는가?
주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?
|
|
관련 법규
|
개인정보 보호법 제29조(안전조치의무)
개인정보의 안전성 확보조치 기준 제6조(접근통제)
개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
|
|
증거자료
(예시)
|
정보시스템 운영체제 계정 목록
서버 보안 설정
서버접근제어 정책(SecureOS 관리화면 등)
서버 및 네트워크 구성도
정보자산 목록
|
|
결함사례
|
사례 1 : 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우
사례 2 : 서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
사례 3 : 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
|
'▶ ISMS-P 인증심사원 (정보보호 및 개인정보보호 관리체계) > └ ISMS-P 인증기준' 카테고리의 다른 글
| 2.6.4. 데이터베이스 접근 (0) | 2023.04.02 |
|---|---|
| 2.6.3. 응용프로그램 접근 (0) | 2023.04.02 |
| 2.6.1. 네트워크 접근 (0) | 2023.04.02 |
| 2.5.6. 접근권한 검토 (0) | 2023.04.02 |
| 2.5.5. 특수 계정 및 권한 관리 (0) | 2023.04.02 |
댓글