ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리 편집하기 (부분)

==세부 설명==

====특수 권한 최소한으로 부여====
관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하여야 한다.

*정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의

{| class="wikitable"
|'''※ 특수권한(예시)'''
*관리자 권한(Root, Administrator, admin, sys, system, sa 등 최상위 권한)
*배치프로그램 실행이나 모니터링을 위하여 부여된 권한
*보안시스템 관리자 권한
*계정 생성 및 접근권한을 설정할 수 있는 권한 등
|}

*특수 계정 및 권한이 필요한 경우 '''공식적인 절차에 따라 신청 및 승인'''이 이루어질 수 있도록 ʻ특수 계정·권한 발급·변경·해지 절차ʼ를 수립·이행
*특수 계정·권한을 최소한의 업무 수행자에게만 부여할 수 있도록 '''일반 사용자 계정·권한 발급 절차보다 엄격한 기준''' 적용(임원 또는 보안책임자 승인 등)

====특수 목적 권한 별도 관리====
특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립·이행하여야 한다.

*특수권한자 목록 작성·관리
*특수권한자에 대해서는 예외조치 최소화, 모니터링 강화 등의 통제절차 수립·이행
*정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용
*특수권한자 현황을 정기적으로 검토하여 목록 현행화