ISMS-P 인증 기준 2.5.1.사용자 계정 관리: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.5.1.사용자 계정 관리 | !2.5.1.사용자 계정 관리 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. | |정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록‧변경‧삭제에 관한 공식적인 절차를 수립‧이행하고 있는가? | *정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록‧변경‧삭제에 관한 공식적인 절차를 수립‧이행하고 있는가? | ||
* 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성‧등록‧변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? | *정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성‧등록‧변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? | ||
* 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가? | *사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 접근권한 관리 절차 수립·이행 ==== | |||
정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하기 위하여 다음 사항을 고려하여 공식적인 사용자 계정 및 접근권한 등록·변경·삭제·해지 절차를 수립·이행하여야 한다. | |||
*사용자 및 개인정보취급자별로 고유한 사용자 계정 발급 및 공유 금지 | |||
*사용자 및 개인정보취급자에 대한 계정 발급 및 접근권한 부여·변경 시 승인 절차 등을 통한 적절성 검토 | |||
*전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소(계정 삭제 또는 비활성화 포함) | |||
*정보시스템 설치 후 제조사 또는 판매사의 기본 계정, 시험 계정 등은 제거하거나 추측하기 어려운 계정으로 변경 | |||
*사용자 계정 및 접근권한의 등록·변경·삭제·해지 관련 기록의 유지·관리 등 | |||
==== 직무에 따른 필요최소한의 권한 부여 ==== | |||
정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성·등록·변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하여야 한다. | |||
*정보시스템 및 개인정보처리시스템에 대한 접근권한은 업무 수행 목적에 따라 최소한의 범위로 업무 담당자에게 차등 부여 | |||
*중요 정보 및 개인정보에 대한 접근권한은 알 필요(need-to-know), 할 필요(need-to-do)의 원칙에 따라 업무적으로 꼭 필요한 범위에 한하여 부여 | |||
*불필요하거나 과도하게 중요 정보 또는 개인정보에 접근하지 못하도록 권한 세분화 | |||
*권한 부여 또는 변경 시 승인절차 등을 통하여 적절성 검토 등 | |||
==== 계정 보안 인식 제고 ==== | |||
사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시켜야 한다. | |||
*정보보호 및 개인정보보호 정책, 서약서 등에 계정에 대한 책임과 의무를 명기(타인에게 본인 계정 및 비밀번호 공유 대여 금지, 공공장소에서 로그인 시 주의사항 등) | |||
*서약서, 이메일, 시스템 공지, 교육 등 다양한 방법 활용 | |||
==증거 자료== | |||
*사용자 계정 및 권한 신청서 | |||
*사용자 계정 및 권한 관리대장 또는 화면 | |||
*정보시스템 및 개인정보처리시스템별 접근권한 분류표 | |||
*정보시스템 및 개인정보처리시스템별 사용자, 관리자, 개인정보취급자 목록 | |||
==결함 사례== | |||
*사용자 및 개인정보취급자에 대한 계정·권한에 대한 사용자 등록, 해지 및 승인절차 없이 '''구두 요청, 이메일 등으로 처리'''하여 이에 대한 승인 및 처리 '''이력이 확인되지 않는 경우''' | |||
*개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정보취급자로 '''지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우''' | |||
*정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 '''업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우''' | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |
Revision as of 23:25, 27 June 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.5.인증 및 권한관리
개요
항목 | 2.5.1.사용자 계정 관리 |
---|---|
인증기준 | 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. |
주요 확인사항 |
|
세부 설명
접근권한 관리 절차 수립·이행
정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하기 위하여 다음 사항을 고려하여 공식적인 사용자 계정 및 접근권한 등록·변경·삭제·해지 절차를 수립·이행하여야 한다.
- 사용자 및 개인정보취급자별로 고유한 사용자 계정 발급 및 공유 금지
- 사용자 및 개인정보취급자에 대한 계정 발급 및 접근권한 부여·변경 시 승인 절차 등을 통한 적절성 검토
- 전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소(계정 삭제 또는 비활성화 포함)
- 정보시스템 설치 후 제조사 또는 판매사의 기본 계정, 시험 계정 등은 제거하거나 추측하기 어려운 계정으로 변경
- 사용자 계정 및 접근권한의 등록·변경·삭제·해지 관련 기록의 유지·관리 등
직무에 따른 필요최소한의 권한 부여
정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성·등록·변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하여야 한다.
- 정보시스템 및 개인정보처리시스템에 대한 접근권한은 업무 수행 목적에 따라 최소한의 범위로 업무 담당자에게 차등 부여
- 중요 정보 및 개인정보에 대한 접근권한은 알 필요(need-to-know), 할 필요(need-to-do)의 원칙에 따라 업무적으로 꼭 필요한 범위에 한하여 부여
- 불필요하거나 과도하게 중요 정보 또는 개인정보에 접근하지 못하도록 권한 세분화
- 권한 부여 또는 변경 시 승인절차 등을 통하여 적절성 검토 등
계정 보안 인식 제고
사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시켜야 한다.
- 정보보호 및 개인정보보호 정책, 서약서 등에 계정에 대한 책임과 의무를 명기(타인에게 본인 계정 및 비밀번호 공유 대여 금지, 공공장소에서 로그인 시 주의사항 등)
- 서약서, 이메일, 시스템 공지, 교육 등 다양한 방법 활용
증거 자료
- 사용자 계정 및 권한 신청서
- 사용자 계정 및 권한 관리대장 또는 화면
- 정보시스템 및 개인정보처리시스템별 접근권한 분류표
- 정보시스템 및 개인정보처리시스템별 사용자, 관리자, 개인정보취급자 목록
결함 사례
- 사용자 및 개인정보취급자에 대한 계정·권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
- 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우
- 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)