ISMS-P 인증 기준 2.5.4.비밀번호 관리: Difference between revisions
From CS Wiki
(Imported from text file) |
|||
(7 intermediate revisions by 5 users not shown) | |||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.5.4.비밀번호 관리 | !2.5.4.비밀번호 관리 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 | |법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체 (이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* | * 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립·이행하고 있는가? | ||
* 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 | *정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립· 이행하고 있는가? | ||
*개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가? | |||
|- | |||
|'''관련 법규''' | |||
| | |||
* [https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제29조 개인정보 보호법 제29조(안전조치의무)] | |||
*[https://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준/(2023-6,20230922)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)] | |||
|} | |||
==세부 설명== | |||
====내부 사용자 비밀번호 관리 규칙 수립·이행==== | |||
사용자 및 관리자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다. | |||
*비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화) | |||
{| class="wikitable" | |||
!구분 | |||
!내 용 | |||
|- | |||
| style="text-align:center" |'''조합 규칙 적용''' | |||
| | |||
*영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 8자리 이상 | |||
*문자로만 구성한 경우 최소 10자리 이상(단, 숫자로만 구성할 경우 취약할 수 있음) | |||
|- | |||
| style="text-align:center" |'''변경주기 설정''' | |||
| | |||
*비밀번호 유효기간을 설정하여 주기적으로 변경(단, 주기적 변경 여부 및변경주기는 위험평가 결과 등을 고려하여 자체적으로 결정) | |||
|- | |||
| style="text-align:center" |'''추측하기 쉬운 비밀번호 설정 제한''' | |||
| | |||
*동일한 문자 반복, 키보드 상에서 나란히 있는 문자열, 일련번호, 연속적인 숫자, 생일, 전화번호 등 추측하기 쉬운 개인정보 및 ID와 비슷한 비밀번호 사용 제한 | |||
|- | |||
| style="text-align:center" |'''동일한 비밀번호 재사용 제한''' | |||
| | |||
*비밀번호 변경 시 이전에 사용한 비밀번호 재사용 제한 | |||
|} | |} | ||
※ 비밀번호 관리절차 예시 | |||
<div style= | <div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px; width:80%"> | ||
* 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용 | *시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용 | ||
* 비밀번호 처리(입력, 변경) 시 마스킹 처리 | *비밀번호 처리(입력, 변경) 시 마스킹 처리 | ||
* 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용 | *종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용 | ||
* 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경 | *침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경 | ||
* 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행 | *비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행 | ||
* 관리자 비밀번호는 비밀등급에 준하여 관리 등</div> | *관리자 비밀번호는 비밀등급에 준하여 관리 등</div> | ||
==== 이용자 비밀번호 관리 규칙 수립·이행==== | |||
정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다. | |||
== 증거 자료 == | |||
* 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면 | *사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 위험도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용 | ||
* 비밀번호 관리 정책 및 절차 | *비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등 | ||
== 결함 사례 == | |||
* 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 | ====인증수단의 안전한 적용 및 관리==== | ||
* 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우 | 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다. | ||
* 사용자 및 개인정보취급자의 비밀번호 | |||
== 같이 보기 == | *개인정보취급자 또는 정보주체의 인증수단으로 비밀번호를 사용할 경우 안전한 비밀번호 작성규칙을 수립·적용 | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | *비밀번호 외의 인증수단(인증서, PIN, 생체인식, 보안토큰 등)을 사용할 경우 해당 인증수단이 비인가자에게 탈취되거나 도용되지 않도록 보호대책 적용 | ||
* [[ISMS-P 인증 기준]] | |||
* [[ISMS-P 인증 기준 세부 점검 항목]] | <div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px; width:80%"> | ||
== 참고 문헌 == | ★[참고] 개인정보취급자 또는 정보주체의 인증수단 적용·관리(개인정보의 안전성 확보조치 기준 제5조제5항) | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | |||
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.</div> | |||
==증거 자료== | |||
*웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면 | |||
*비밀번호 관리 정책 및 절차 | |||
==결함 사례== | |||
*정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 | |||
*비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우 | |||
*비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) |
Latest revision as of 08:52, 30 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.5.인증 및 권한관리
개요[edit | edit source]
항목 | 2.5.4.비밀번호 관리 |
---|---|
인증기준 | 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체 (이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. |
주요 확인사항 |
|
관련 법규 |
세부 설명[edit | edit source]
내부 사용자 비밀번호 관리 규칙 수립·이행[edit | edit source]
사용자 및 관리자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.
- 비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화)
구분 | 내 용 |
---|---|
조합 규칙 적용 |
|
변경주기 설정 |
|
추측하기 쉬운 비밀번호 설정 제한 |
|
동일한 비밀번호 재사용 제한 |
|
※ 비밀번호 관리절차 예시
- 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용
- 비밀번호 처리(입력, 변경) 시 마스킹 처리
- 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고, 부득이하게 기록·저장하여야 하는 경우 암호화 등의 보호대책 적용
- 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
- 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행
- 관리자 비밀번호는 비밀등급에 준하여 관리 등
이용자 비밀번호 관리 규칙 수립·이행[edit | edit source]
정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.
- 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 위험도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
- 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등
인증수단의 안전한 적용 및 관리[edit | edit source]
개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.
- 개인정보취급자 또는 정보주체의 인증수단으로 비밀번호를 사용할 경우 안전한 비밀번호 작성규칙을 수립·적용
- 비밀번호 외의 인증수단(인증서, PIN, 생체인식, 보안토큰 등)을 사용할 경우 해당 인증수단이 비인가자에게 탈취되거나 도용되지 않도록 보호대책 적용
★[참고] 개인정보취급자 또는 정보주체의 인증수단 적용·관리(개인정보의 안전성 확보조치 기준 제5조제5항)
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.증거 자료[edit | edit source]
- 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
- 비밀번호 관리 정책 및 절차
결함 사례[edit | edit source]
- 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
- 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
- 비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)