ISMS-P 인증 기준 2.2.2.직무 분리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
17번째 줄: | 17번째 줄: | ||
== 세부 설명 == | == 세부 설명 == | ||
* 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여적용하여야 한다. | |||
권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 | ** 개발과 운영 직무 분리 | ||
* 개발과 운영 직무 분리 | ** 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리 | ||
* 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리 | ** 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리 | ||
* 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리 | ** 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리 | ||
* 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리 | ** 개인정보보호 관리와 개인정보처리시스템 운영직무 분리 | ||
* 개인정보보호 관리와 개인정보처리시스템 운영직무 분리 | ** 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등 | ||
* 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등 | ** 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한부여 금지(다만 불가피한 경우 보완통제 적용) | ||
* 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한부여 금지(다만 불가피한 경우 보완통제 적용) | * 조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다. | ||
** 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리 | |||
** 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등 | |||
조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다. | |||
* 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리 | |||
* 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등 | |||
== 증거 자료 == | == 증거 자료 == | ||
* 직무 분리 관련 지침(인적 보안 지침 등) | * 직무 분리 관련 지침(인적 보안 지침 등) | ||
38번째 줄: | 35번째 줄: | ||
* 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우 | * 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우 | ||
* 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우 | * 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우 | ||
== 같이 보기 == | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | * [[정보보호 및 개인정보보호관리체계 인증]] |