ISMS-P 인증 기준 2.5.2.사용자 식별 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
== 개요 ==
{| class="wikitable"
!항목
!2.5.2.사용자 식별
|-
| style="text-align:center"|'''인증기준'''
|사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다.
|-
|'''주요 확인사항'''
|
* 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
* 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
|}
== 세부 설명 ==

* 정보시스템 및 개인정보처리시스템에 대한 사용자 등록 시 사용자 및 개인정보취급자별로 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다.
** 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보
** 계정 공유 및 공용 계정 사용 제한
** 시스템이 사용하는 운영계정은 일반 사용자의 접근 제한
** 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)
** 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한
* 업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
** 업무 분장상 정·부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여하고 사용자 계정으로 로그인 후 관리자 계정으로 변경
** 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경
** 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받고 책임추적성을 보장할 추가 통제방안 적용
== 증거 자료 ==
* 정보시스템 및 개인정보처리시스템 로그인 화면
* 정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록
* 예외 처리에 대한 승인 내역
== 결함 사례 ==
* 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
* 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우
* 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
@@ 1번째 줄: / 1번째 줄: @@
 [[분류: ISMS-P 인증 기준]]
+* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
-*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
+* '''분류''': [[ISMS-P 인증기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
-*'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
+== 개요 ==
-==개요==
 {| class="wikitable"
 !항목
 !2.5.2.사용자 식별
 |-
-| style="text-align:center" |'''인증기준'''
+| style="text-align:center"|'''인증기준'''
 |사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다.
 |-
 |'''주요 확인사항'''
 |
-*정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
+* 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
-*불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
+* 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
-|-
-|'''관련 법규'''
-|
-* [https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제29조 개인정보 보호법 제29조(안전조치의무)]
-* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2020-2,20200811)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리])
 |}
-==세부 설명==
+== 세부 설명 ==
-==== 사용자별 1인1계정 발급 ====
-*정보시스템 및 개인정보처리시스템에 대한 사용자 등록 시 사용자 및 개인정보취급자별로 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다.
-**1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보
-**계정 공유 및 공용 계정 사용 제한
-**시스템이 사용하는 운영계정은 일반 사용자의 접근 제한
-**시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)
-**관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한
-==== 계정 공유 시 보호조치 ====
-업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
-*업무 분장상 '''정·부의 역할이 구분'''되어 관리자 계정을 공유하는 경우에도 '''사용자 계정을 별도로 부여'''하고 사용자 계정으로 로그인 후 관리자 계정으로 변경
-*유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경
-*업무상 불가피하게 공용계정 사용이 필요한 경우 그 '''사유와 타당성을 검토'''하여 '''책임자의 승인'''을 받고 책임추적성을 보장할 '''추가 통제방안 적용'''
-==증거 자료==
-*정보시스템 및 개인정보처리시스템 로그인 화면
-*정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록
-*예외 처리에 대한 승인 내역
-==결함 사례==
-*정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, '''제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용'''하고 있는 경우
-*개발자가 개인정보처리시스템 '''계정을 공용으로 사용'''하고 있으나, 타당성 검토 또는 '''책임자의 승인 등이 없이''' 사용하고 있는 경우
-*'''외부직원이 유지보수'''하고 있는 정보시스템의 '''운영계정'''을 별도의 '''승인 절차 없이 개인 계정처럼 사용'''하고 있는 경우
-==같이 보기==
-*[[정보보호 및 개인정보보호관리체계 인증]]
-*[[ISMS-P 인증 기준]]
-*[[ISMS-P 인증 기준 세부 점검 항목]]
-==참고 문헌==
-*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
+* 정보시스템 및 개인정보처리시스템에 대한 사용자 등록 시 사용자 및 개인정보취급자별로 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다.
+** 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보
+** 계정 공유 및 공용 계정 사용 제한
+** 시스템이 사용하는 운영계정은 일반 사용자의 접근 제한
+** 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)
+** 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한
+* 업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
+** 업무 분장상 정·부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여하고 사용자 계정으로 로그인 후 관리자 계정으로 변경
+** 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경
+** 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받고 책임추적성을 보장할 추가 통제방안 적용
+== 증거 자료 ==
+* 정보시스템 및 개인정보처리시스템 로그인 화면
+* 정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록
+* 예외 처리에 대한 승인 내역
+== 결함 사례 ==
+* 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
+* 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우
+* 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우
+== 같이 보기 ==
+* [[정보보호 및 개인정보보호관리체계 인증]]
+* [[ISMS-P 인증 기준]]
+* [[ISMS-P 인증 기준 세부 점검 항목]]
+== 참고 문헌 ==
+* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)