| 통제항목 | 10.3.5. 이용자 패스워드 관리 고객, 회원 등 외부 이용자가 접근하는 클라우드시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차를 마련하고 관련 내용을 공지하여야 한다. |
| 점검항목 | 2) 이용자 계정 및 패스워드 관리절차 관련 내용을 홈페이지 또는 메일 등을 통하여 이용자가 쉽게 확인하고 이해할 수 있도록 공지하고 있는가? |
| 설명 | o 고객, 회원 등 서비스 이용자가 접근하는 클라우드시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드의 관리절차를 마련하고, 관련 내용을 홈페이지 또는 메일 등을 통하여 이용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다. |
CSAP의 통제항목 중 설명이 부족한 '10.3.5. 이용자 패스워드 관리'의 두번째 점검항목에 대해 추가 설명을 하고자 한다.
해당 항목은 '개인정보의 기술적 관리적 보호조치 기준'의 제4조(접근통제) 제7항의 '정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.'와 관련이 있다.
정보통신서비스제공자등은 이용자가 해당 서비스를 이용할 때 사용되는 ID 및 PW의 이용 절차를 마련해야 하며 절차에는 다음 그림과 같이 3가지 단계로 구분할 수 있다.
| ID 및 PW 발급 | -사용자를 유일하게 구분할 수 있는 식별자를 사용하도록 유효한 규칙 수립 (예) 영문, 숫자 만 사용하여 8~12자 이내 -안전한 패스워드 작성 규칙 수립 -연속 숫자, 생일, 전화번호, 아이디 등 추측하기 쉬운 개인 신상정보를 활용한 취약 패스워드 사용 제한 - 초기/임시 패스워드를 발급할 경우, 최초 로그인 시 변경 |
| PW 변경 | - 주기적인 패스워드 변경 유도 - 이용자 패스워드 분실 ∙ 도난 시, 안전한 재발급 절차(본인인증 등)를 수립하여 재발급을 통한 도용 방지 등 (임시 패스워드 발급 시 안전한 전송 및 로그인 후 변경) |
| ID 및 PW 폐기 | -이용자의 서비스 이용 해지 시 관련된 정보 완전 삭제 단, 법률 등에서 요구하거나 사전에 회원 가입 시에 합당한 목적을 사전 고지하고 동의를 받은 경우에는 예외 |
정보통신서비스 제공자들이 이용자에게 홈페이지를 통해 패스워드 생성 규칙 및 안전한 패스워드 관리방법에 대해 설명하고 있다.
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
| (ISMS-P) 금융보안원의 클라우드 안전성 평가 (0) | 2022.01.10 |
|---|---|
| (ISMS-P) 금융분야 클라우드컴퓨팅 서비스 이용 가이드 (0) | 2022.01.10 |
| (CSAP) 정보보호시스템 등 도입/운용 관련 보안성 검증 (0) | 2021.08.31 |
| (CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 (2) | 2021.08.24 |
| (CSAP) 금융사 CSP 안전성 평가와 비교 (0) | 2021.07.30 |
댓글