티스토리 뷰
항목
2. 보호대책 요구사항
- 2.5. 인증 및 권한관리
- 2.5.4 비밀번호 관리
인증기준
법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체 (이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.
세부설명
■ 사용자 및 관리자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.
- 비밀번호 작성규칙은 불가피한 경우를 제외하고는 시스템적으로 강제화
■ 정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.
- 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 위험도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
- 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등
■ 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.
- 개인정보취급자 또는 정보주체의 인증수단으로 비밀번호를 사용할 경우 안전한 비밀번호 작성규칙을 수립·적용
- 비밀번호 외의 인증수단(인증서, PIN, 생체인식, 보안토큰 등)을 사용할 경우 해당 인증수단이 비인가자에게 탈취되거나 도용되지 않도록 보호대책 적용
결함사례
‧ 사례 1 : 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
‧ 사례 2 : 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
‧ 사례 3 : 비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우
| "본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다." |
- Total
- Today
- Yesterday