ISMS 망분리 관련하여 아시는 분들께 문의 드립니다.
저희 회사에는 약 40명 내외의 개인정보취급자가 있고, ISMS인증의무대상으로 선정되어 개인정보취급자 PC를 망분리해야 하는 상황입니다.
개인정보의 기술적/관리적 보호조치에는, "개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다."고 되어 있던데요.
저희 회사 개인정보 DB는 전부 AWS에 위치하고 있기 때문에, 개인정보취급자들이 업무를 보려면 외부 인터넷망에 접속해야만 가능합니다.
1. 개인정보취급자 PC는 AWS DB/Web Console만 접근 가능하도록 적용하고, 그 외 다른 인터넷 사이트는 접근할 수 없도록 방화벽에서 차단하면 망분리로 인정받을 수 있나요?
2. AWS 외에도 업무상 접근해야 하는 외부 사이트들이 있습니다. 개인정보취급자PC에서 업무상 꼭 필요한 외부 사이트만 통신 가능하도록 방화벽에서 화이트리스트 방식으로 설정하고 나머지 사이트는 다 차단할 경우, 망분리로 인정받을 수 있나요?
3. 방화벽 설정만으로는 부족하고 망분리 솔루션을 적용해야 한다면, 괜찮은 솔루션 추천 부탁 드리겠습니다.
저희 회사에는 약 40명 내외의 개인정보취급자가 있고, ISMS인증의무대상으로 선정되어 개인정보취급자 PC를 망분리해야 하는 상황입니다.
개인정보의 기술적/관리적 보호조치에는, "개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다."고 되어 있던데요.
저희 회사 개인정보 DB는 전부 AWS에 위치하고 있기 때문에, 개인정보취급자들이 업무를 보려면 외부 인터넷망에 접속해야만 가능합니다.
1. 개인정보취급자 PC는 AWS DB/Web Console만 접근 가능하도록 적용하고, 그 외 다른 인터넷 사이트는 접근할 수 없도록 방화벽에서 차단하면 망분리로 인정받을 수 있나요?
2. AWS 외에도 업무상 접근해야 하는 외부 사이트들이 있습니다. 개인정보취급자PC에서 업무상 꼭 필요한 외부 사이트만 통신 가능하도록 방화벽에서 화이트리스트 방식으로 설정하고 나머지 사이트는 다 차단할 경우, 망분리로 인정받을 수 있나요?
3. 방화벽 설정만으로는 부족하고 망분리 솔루션을 적용해야 한다면, 괜찮은 솔루션 추천 부탁 드리겠습니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
6개의 답변이 있습니다.
1. 가능합니다. 정보통신서비스제공자의 경우 방화벽 등을 이용한 논리적망분리가 하용됩니다.
2. 허용된 사이트의 종류에 따라 이견소지가 있습니다. 특히 그룹웨어 등의 접속이 가능하면 문제소지가 있습니다. (금융권은 안됨)
3. 2pc가 제일 깔끔합니다.
덩실덩실 | 약 5년 전
즉 PC1대로도 물리적인 분리가가능하게해둔셈이죠.
VDI 가상화 또는 PC2대와 같은 개념입니다
덩실덩실 | 약 5년 전
---------------------------------------------------------------------------
개인정보의 기술적?관리적 보호조치 기준(이하 ‘고시’) 제2조(정의)제5호에서 망분리는 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다고 규정하고 있습니다.
또한, 고시 제4조(접근통제)제6항에서는 (이전 생략) 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다고 규정하고 있습니다.
귀 기관의 개인정보취급자 PC 대상으로 적용하고자 하는 망분리 적용 방식이 ①외부 인터넷망을 통한 불법적인 접근과 ②내부정보 유출을 차단할 수 있도록 ③업무망과 외부 인터넷망을 분리한 것이라면 해당 규정을 위반하였다고 보기는 어려울 것입니다.
따라서, AWS DB/Web 콘솔만 접근 가능하도록 방화벽을 통해 차단하는 조치를 하는 경우, 위에 설명한 바와 같이 해당 규정을 위반하였다고 보기 어려울 것이며, 업무상 필요에 의하여 접근하여야 한다면, 보안적용 및 통제 등 귀 기관이 관리할 수 있는 범위에 한하여 가능 할 것입니다.
씨크릿 | 약 5년 전
덩실덩실 | 약 5년 전
아시겠지남 이들에 대한 주관은 KISA이니 KISA의 ISMS사이트에서 자료나 문의 등을 알아보시는 것이 먼저일것 같습니다.
사이트는 https://isms.kisa.or.kr/
자료실은 https://isms.kisa.or.kr/main/ispims/notice/
이미 아시는 내용일것 같지만 혹시나해서 적어봅니다~
망분리/연계 관련한 솔루션업체는 소개할 곳이 있으나 먼저 법률적 해석부터 확실히 하시는 것이 좋겠습니다. 업종에 따라서도
적용규정이 좀 다르지 않던가요?
덩실덩실 | 약 5년 전
차바라기 | 약 5년 전
물리적 PC 2대를 줄수도 있고 , 가상화(VDI) 를 활용하여 물리 PC 에서 가상 PC 사용해서 분리 시키는 방법도 있습니다.
개인정보를 취급하는 PC 에서는 인터넷, 사내 이메일, 화일서버 등 모든 망에 접근이 되면 안됩니다. 업무적으로 필요한 사이트 접근 안됩니다.
오로지 개인정보를 취급하는 시스템에만 접근이 되어야 합니다.
쉽지 않은 일이죠.
AWS 에 있다면 그 PC는 AWS에서 서비스하는 해당 서비스만 접근이 가능하게 해야합니다.
이메일, 다른 AWS 서비스, 인터넷, 업무 사이트, 화일서버 등은 다른 PC에서 접근이 되어야 합니다.
덩실덩실 | 약 5년 전
한그루 | 약 5년 전
한그루 | 약 5년 전
덩실덩실 | 약 5년 전
하드웨어적으로는 연결되어 있지만, 논리적(소프트웨어적)으로 접속하지 못하게 한다는 의미라고 보면 될 것 같은데요.
업무상 클라우드에 연결해야만 된다면 클라우드는 업무망의 부분이라고 봐야 하지 않을까 하는 생각이 드네요.
다른 인터넷은 모두 차단 시켜 버리고, 업무상 연결해야 하는 해당 클라우드만 접속 허용시켜 둔다면 논리적 망분리가 된다고 생각되는데...
개인적인 생각이고요... 법적으로 어떤지는 확신시켜 드리기는 어렵네요~
덩실덩실 | 약 5년 전