[ISMS-P인증기준] 2.10.6 업무용 단말기기 보안

항목

---

2. 보호대책 요구사항

  - 2.10. 시스템 및 서비스 보안관리

  - 2.10.6 업무용 단말기기 보안

 

인증기준

---

PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.

2.10.6 업무용 단말기기 보안

 

세부설명

---

■ PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하여야 한다.

 

- 업무용 단말기 허용기준

- 업무용 단말기 통한 업무 사용범위

- 업무용 단말기 사용 시 승인 절차 및 방법

- 업무망 연결 시 인증 방안 : 기기인증, MAC 인증 등

- 백신 설치, 보안프로그램 설치 등 업무용 단말기 사용에 따른 보안 설정 정책

- 업무용 단말기 사용에 따른 보안 설정 정책 및 오·남용 모니터링 대책 등

 

■ 업무용 단말기를 통하여 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립·이행하여야 한다.

 

- 불가피하게 공유설정 등을 할 때에는 업무용 단말기에 접근권한 비밀번호를 설정하고, 사용이 완료된 후에는 공유설정 제거

- 파일 전송이 주된 목적일 때에는 읽기 권한만을 부여하고 상대방이 쓰기를 할 때만 개별적으로 쓰기 권한 설정

- P2P 프로그램, 상용 웹메일, 웹하드, 메신저, SNS 서비스 등을 통하여 고의·부주의로 인한 개인정보 및 중요정보의 유·노출 방지

- WPA2(Wi-Fi Protected Access 2) 등 보안 프로토콜이 적용된 무선망 이용 등

 

 

■ 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 비밀번호 설정 등의 보안대책을 적용하여야 한다.

 

■ 업무용 단말기기에 대한 접근통제 대책의 적절성에 대하여 주기적으로 점검하여야 한다.

- 업무용 단말기 신청·승인, 등록·해제, 기기인증 이력

- 업무용 단말기 보안설정 현황 등

 

결함사례

---

‧ 사례 1 : 업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우

 

‧ 사례 2 : 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우

 

‧ 사례 3 : 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우

 

‧ 사례 4 : 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."