ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 14번째 줄: | 14번째 줄: | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*관리자 권한 등 | *관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립‧이행하고 있는가? | ||
**(가상자산사업자) 가상자산 노드서버, 키관리 시스템, 월렛서버, | **(가상자산사업자) 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛관련 어플리케이션 등 주요 직무에 필요한 정보시스템에 접속할 수 있는 계정·권한을 특수 계정·권한으로 식별하고 있는가? | ||
*특수 목적을 | *특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립‧이행하고 있는가? | ||
|- | |- | ||
|'''관련 법규''' | |'''관련 법규''' | ||
| 22번째 줄: | 22번째 줄: | ||
* [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)] | * [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)] | ||
* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)] | * [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)] | ||
* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의기술적·관리적보호조치기준/(2021-3,20210915)/제4조 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)] | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====특수 권한 최소한으로 부여==== | ====특수 권한 최소한으로 부여==== | ||
관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 | 관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하여야 한다. | ||
*정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의 | *정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의 | ||
| 38번째 줄: | 39번째 줄: | ||
|} | |} | ||
*특수 계정 및 권한이 필요한 경우 공식적인 절차에 따라 신청 및 | *특수 계정 및 권한이 필요한 경우 '''공식적인 절차에 따라 신청 및 승인'''이 이루어질 수 있도록 ʻ특수 계정·권한 발급·변경·해지 절차ʼ를 수립·이행 | ||
*특수 계정·권한을 최소한의 업무 수행자에게만 부여할 수 있도록 일반 사용자 계정·권한 발급 절차보다 엄격한 기준 적용(임원 또는 보안책임자 승인 등) | *특수 계정·권한을 최소한의 업무 수행자에게만 부여할 수 있도록 '''일반 사용자 계정·권한 발급 절차보다 엄격한 기준''' 적용(임원 또는 보안책임자 승인 등) | ||
====특수 목적 권한 별도 관리==== | ====특수 목적 권한 별도 관리==== | ||
| 71번째 줄: | 72번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ||
