[ISMS-P] 비밀번호 관리 관련된 인증기준 정리

비밀번호 관리 관련된 인증기준 정리

• 2.2.5 퇴직 및 직무변경 관리
  • 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 및 직무변경 시 불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경
• 2.3.4 외부자 계약 변경 및 만료 시 보안
  • 외부자 계약만료, 업무 종료, 담당자 변경 시 공용 계정 비밀번호 변경
• 2.4.7 업무환경 보안
  • 이석 시 화면보호기 비밀번호 설정 및 비밀번호 노출 금지
• 2.5.2 사용자 식별
  • 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경
• 2.5.3 사용자 인증
  • 결함 사례 : 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우
• 2.5.4 비밀번호 관리
  • 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경
• 2.6.5 무선 네트워크 접근
  • 결함 사례 : 업무 목적으로 내부망에 연결된 무선AP에 대하여 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우
• 2.7.1 암호정책 적용
  • 개인정보취급자 및 정보주체의 비밀번호에 대하여 안전한 일방향 암호화 알고리즘 적용
  • 결함 사례 : 정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우
• 2.10.3 공개서버 보안
  • 결함 사례 : 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우
• 2.10.6 업무용 단말기기 보안
  • 업무용 단말기에 불가피하게 공유설정 등을 할 때에는 접근권한 비밀번호를 설정하고, 사용이 완료된 후에는 공유설정 제거
  • 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 비밀번호 설정 등의 보안대책을 적용
  • 결함 사례 : 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우