1. 규정 적용 대상 및 절차
가. 규정 적용 대상
-금융회사, 전자금융업자
나. 규정 적용 절차
1) 자체 위험성 평가 실시
2) [별표7] 망분리 대체 정보보호통제 적용
3) 정보보호위원회 승인 후 적용
2. 망분리 관련 규정 개념도 및 현황
가. 금융회사의 망분리 적용 관련 규정 개념도
나. 금융회사의 망분리 적용 관련 규정 현황
| 구분 | 법령 | 내용 |
| 기본 원칙 | 전자금융감독규정 제15조제1항 | 제3호 내부통신망과 연결된 내부 업무용 시스템(정보처리시스템, 단말기, 프린터 등)은 인터넷(무선 인터넷 포함) 등 외부통신망과 분리, 차단, 접속 금지 |
| 제5호 전산실 내에 위치한 정보처리시스템와 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기는 외부통신망과 물리적 분리 |
||
| 예외 | 전자금융감독규정시행세칙 제2조의2 | 제1항 (전자금융감독규정 제15조제1항제3호에 대한 예외) 1. 내부통신망과 연결된 단말기가 업무상 필수적으로 외부기관과 연결하는 경우(필요한 서비스번호에 한하여 연결 가능) 2. 보안대책을 적용한 단말기가 전용회선과 동등한 보안수준을 갖춘 통신망을 이용하여 외부망으로부터 내부 업무용시스템으로 원격접속하는 경우 (재택근무 허용) |
| 제2항 (전자금융감독규정 제15조제1항제5호에 대한 예외) 1. 정보처리업무를 국외 소재 전산센터에 위탁 처리하는 경우 2. 업무상 외부통신망과 연결이 불가피한 경우(필요한 서비스번호에 한하여 연결 가능) 가. 전자금융업무의 처리를 위해 특정 외부기관과 데이터 송수신하는 정보처리시스템 나. DMZ 구간 내 정보처리시스템과 실시간 데이터 송수신하는 내부통신망의 정보처리시스템 다. 다른 계열사와 공동으로 사용하는 정보처리시스템 3. 비상대책에 따라 원격 접속 시 4. 전산실에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기와 [외부통신망과의 연결 구간, 내무업무용시스템과의 연결 구간]을 각각 차단 |
3. 재택근무 관련 규정 개념도 및 현황
가. 망분리 관련 예외 규정 개념도
-필요시 금융회사가 신속하고 안전하게 재택근무로 전환 가능하도록 개정 추진
나. 망분리 관련 예외 규정 현황
| 구분 | 규정 | 현행 | 개정 |
| 재택 근무 전환 관련 규정 | 전자금융감독규정시행세칙 제2조의2 금융권 상시 재택근무 허용 |
IT부문(개발, 보안, 운영 업무) 직원에 한하여 시스템 장애 발생 등 비상상황 시에만 원격접속 허용 | 일반 임직원(외주업체 포함)도 원격접속을 통해 상시 재택근무가 가능하도록 허용 |
| <별표7> 망분리 대체 정보보호통제 | 최소한의 보안 원칙을 제시하고, 금융회사가 필요한 사항을 자체적으로 수립·적용 | 내부 업무망과 동등한 보안수준으로 재택근무 인프라를 구축·운영할 수 있도록 단계별 보안사항을 구체화·명확화 |
4. [별표7] 망분리 대체 정보보호통제
| 구분 | 통제사항 | ||
| 공통 | - 외부망에서 내부망으로 전송되는 전산자료를 대상으로 악성코드 감염여부 진단·치료 - 지능형 해킹(APT)차단 대책 수립‧적용 - 전산자료 외부전송 시 정보유출 탐지·차단·사후 모니터링 |
||
| 메일 시스템 | - 본문과 첨부파일 포함하여 메일을 통한 악성코드 감염 예방 대책 수립‧적용 - 메일을 통한 정보유출 탐지·차단·사후 모니터링 대책 수립‧적용 |
||
| 업무용 단말기 | - 사용자의 관리자 권한 제거 - 승인된 프로그램만 설치·실행토록 대책 수립‧적용 - 전산자료 저장 시 암호화 |
||
| 원격 접속 | 외부단말기 | 공통 | - 백신 프로그램 설치, 실시간 업데이트 및 검사 수행 - 안전한 운영체제 사용 및 최신 보안패치 적용 - 로그인 비밀번호 및 화면 보호기 설정 - 화면 및 출력물 등으로 인한 정보유출 방지 대책 적용 |
| 업무용 단말기를 경유하여 접속하는 경우 (간접접속) |
- 외부 단말기와 업무용 단말기의 파일 송‧수신 차단 | ||
| 업무용 단말기를 내부망에 직접 접속하는 경우 (직접접속) |
- 인가되지 않은 S/W 설치 차단 - 보안 설정 임의 변경 차단 - USB 등 외부 저장장치 읽기/쓰기 차단 - 전산자료 (파일, 문서) 암호화 저장 - 단말기 분실 시 정보 유출 방지 대책 적용(하드 디스크 암호화, CMOS비밀번호 적용 등) |
||
| 내부망 접근통제 | - 업무상 필수적인 IP, Port에 한하여 연결 허용 - 원격접속 기록 및 저장(예: 접속자 ID, 접속일자, 접속 시스템 등) |
||
| 인증 | - 이중 인증 적용(예: ID/PW + OTP) - 일정 횟수(예 : 5회) 이상 인증 실패 시 접속 차단 |
||
| 통신 회선 | - 안전한 알고리즘으로 네트워크 구간 암호화 - 내부망 접속시 인터넷 연결 차단 (단, 직접 내부망으로 접속하는 원격 접속 단말기는 인터넷 연결 상시 차단) - 원격 접속 후 일정 유휴시간 경과 시 네트워크 연결 차단 |
||
| 기타 | - 원격접속자에 대한 보안서약서 징구 - 공공장소에서 원격 접속 금지 |
||
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| '암호화' 망분리 기술 인정 여부 전면 재검토...논란 확산에 타당성 재검토 (0) | 2022.10.14 |
|---|---|
| 개인정보위, ‘개인정보의 기술적·관리적 보호조치 기준 해설서’ 개정 (0) | 2022.08.26 |
| (ISMS-P) 결합 전문기관 및 데이터 전문기관 지정 현황 (22년 5월) (0) | 2022.06.29 |
| (ISMS-P) ISO/IEC 27559 프라이버시 강화 데이터 비식별화 프레임워크 표준 (0) | 2022.06.29 |
| 정보보호 공시 적용 대상 및 절차 (0) | 2022.05.06 |
댓글