티스토리 뷰
항목
2. 보호대책 요구사항
- 2.9. 시스템 및 서비스 운영관리
- 2.9.4 로그 및 접속기록 관리
인증기준
서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위·변조, 도난, 분실되지 않도록 안전하게 보존·관리하여야 한다.
세부설명
■ 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고, 이에 따라 필요한 로그를 생성하여 보관하여야 한다.
- 보존이 필요한 로그유형 및 대상시스템 식별
- 각 시스템 및 장비별 로그 형태, 보존기간, 로그 보존(백업) 방법 등 정의
- 로그관리 절차 수립 및 이에 따른 로그 생성·보관
■ 정보시스템의 로그기록은 위·변조 및 도난, 분실되지 않도록 안전하게 보관하고, 로그기록에 대한 접근권한은 최소화하여 부여하여야 한다.
- 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한 부여는 최소화하여 비인가자에 의한 로그기록 위·변조 및 삭제 등이 발생하지 않도록 하여야 함
■ 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 전자적으로 기록하고 일정기간 안전하게 보관하여야 한다.
- 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목
- 개인정보처리시스템 접속기록 보존기간 : 최소 1년 이상
(단, 아래의 경우 최소 2년 이상)
‧ 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우
‧ 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우
‧ 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우
- 개인정보 접속기록이 위·변조, 도난, 분실되지 않도록 안전하게 보관 필요
결함사례
‧ 사례 1 : 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우
‧ 사례 2 : 보안 이벤트 로그, 응용프로그램 및 서비스 로그(윈도우 2008 서버 이상) 등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록·보관되고 있지 않은 경우
‧ 사례 3 : 중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우
‧ 사례 4 : 개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기고 있으나, 처리한 정보주체 정보 및 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우
‧ 사례 5 : 로그 서버의 용량의 충분하지 않아서 개인정보처리시스템 접속기록이 2개월 밖에 남아 있지 않은 경우
‧ 사례 6 : 개인정보처리자가 정보주체 10만 명의 개인정보를 처리하는 개인정보처리시스템의 개인정보취급자 접속기록을 1년간만 보관하고 있는 경우
| "본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다." |
'ISMS-P | CPPG' 카테고리의 다른 글
| [ISMS-P인증기준] 2.9.6 시간 동기화 (0) | 2026.01.23 |
|---|---|
| [ISMS-P인증기준] 2.9.5 로그 및 접속기록 점검 (0) | 2026.01.21 |
| [ISMS-P인증기준] 2.9.3 백업 및 복구관리 (0) | 2026.01.16 |
| [ISMS-P인증기준] 2.9.2 성능 및 장애관리 (0) | 2026.01.14 |
| [ISMS-P인증기준] 2.9.1 변경관리 (1) | 2026.01.12 |
- Total
- Today
- Yesterday