ISMS-P 인증 기준 2.2.2.직무 분리: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
(One intermediate revision by one other user not shown) | |||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | * '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
* '''분류''': [[ISMS-P | * '''분류''': [[ISMS-P 인증 기준 2.2.인적 보안|2.2.인적 보안]] | ||
== 개요 == | == 개요 == | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 17: | Line 17: | ||
== 세부 설명 == | == 세부 설명 == | ||
==== 직무 분리 기준 수립 및 적용 ==== | |||
권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여 적용하여야 한다. | |||
* 개발과 운영 직무 분리 | |||
* 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리 | |||
* 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리 | |||
* 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리 | |||
* 개인정보보호 관리와 개인정보처리시스템 운영직무 분리 | |||
* 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등 | |||
* 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한부여 금지(다만 불가피한 경우 보완통제 적용) | |||
==== 예외 시 보완통제 방안 마련 ==== | |||
조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다. | |||
* 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리 | |||
* 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등 | |||
== 증거 자료 == | == 증거 자료 == | ||
* 직무 분리 관련 지침(인적 보안 지침 등) | * 직무 분리 관련 지침(인적 보안 지침 등) | ||
Line 35: | Line 38: | ||
* 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우 | * 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우 | ||
* 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우 | * 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우 | ||
== 관련 인증 기준 == | |||
'''[[ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리|2.2.1.주요 직무자 지정 및 관리]]''' | |||
* 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]''' | |||
* 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]''' | |||
* 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]''' | |||
* 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]''' | |||
* 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. | |||
== 같이 보기 == | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | * [[정보보호 및 개인정보보호관리체계 인증]] |
Latest revision as of 11:41, 16 July 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.2.인적 보안
개요[edit | edit source]
항목 | 2.2.2.직무 분리 |
---|---|
인증기준 | 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
직무 분리 기준 수립 및 적용[edit | edit source]
권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여 적용하여야 한다.
- 개발과 운영 직무 분리
- 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리
- 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리
- 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리
- 개인정보보호 관리와 개인정보처리시스템 운영직무 분리
- 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등
- 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한부여 금지(다만 불가피한 경우 보완통제 적용)
예외 시 보완통제 방안 마련[edit | edit source]
조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.
- 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리
- 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등
증거 자료[edit | edit source]
- 직무 분리 관련 지침(인적 보안 지침 등)
- 직무기술서(시스템 운영·관리, 개발·운영 등)
- 직무 미분리 시 보완통제 현황
결함 사례[edit | edit source]
- 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우
- 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
관련 인증 기준[edit | edit source]
- 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
- 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
- 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
- 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
- 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)