주요사항
보안통제 정책 수립·이행 및 주기적 점검, 개인·중요정보 유·노출 방지대책 적용
인증기준
PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.
확인사항
- PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립·이행하고 있는가?
- 업무용 단말기를 통해 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립·이행하고 있는가?
- 업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유·노출을 방지하기 위하여 보안대책을 적용하고 있는가?
- 업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가?
가상자산 사업자 확인사항
- 가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립·이행하고 있는가?
결함사례
- 업무적인 목적으로 노트북, 태블릿PC 등 모바일기기를 사용하고 있으나 업무용 모바일 기 기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않는 경우
- 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요 시 승인 절차를 통해 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우
- 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우
- 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우
스와이프(Swipe)로 이전/다음 항목으로 이동