ISMS-P 인증 기준 2.5.4.비밀번호 관리: Difference between revisions
From IT위키
(→세부 설명) |
No edit summary |
||
| Line 14: | Line 14: | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* | * 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립∙이행하고 있는가? | ||
*정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 | * 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가? | ||
* 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가? | |||
|- | |- | ||
|'''관련 법규''' | |'''관련 법규''' | ||
Revision as of 21:39, 1 November 2023
- 영역: 2.보호대책 요구사항
- 분류: 2.5.인증 및 권한관리
개요
| 항목 | 2.5.4.비밀번호 관리 |
|---|---|
| 인증기준 | 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다. |
| 주요 확인사항 |
|
| 관련 법규 |
세부 설명
내부 사용자 비밀번호 관리 규칙 수립·이행
사용자, 관리자 및 개인정보취급자가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 관리절차 및 작성규칙을 수립·이행하여야 한다.
※ 비밀번호 관리절차 예시
|
이용자 비밀번호 관리 규칙 수립·이행
정보주체(이용자)가 안전한 비밀번호를 설정하여 사용할 수 있도록 비밀번호 작성규칙을 수립·이행하여야 한다.
- 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용
- 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등
증거 자료
- 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
- 비밀번호 관리 정책 및 절차
결함 사례
- 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
- 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우
- 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
