ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리: 두 판 사이의 차이
IT위키
Maintenance script (토론 | 기여) (Imported from text file) |
편집 요약 없음 |
||
(사용자 4명의 중간 판 5개는 보이지 않습니다) | |||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | |||
* '''분류''': [[ISMS-P | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.5.5.특수 계정 및 권한 관리 | !2.5.5.특수 계정 및 권한 관리 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. | |정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 관리자 권한 등 | *관리자 권한 등 특수 권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하고 있는가? | ||
* 특수 목적을 | **(가상자산사업자) 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가? | ||
*특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등 통제절차를 수립·이행하고 있는가? | |||
|- | |||
|'''관련 법규''' | |||
| | |||
* [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)] | |||
* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제5조 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)] | |||
|} | |||
==세부 설명== | |||
====특수 권한 최소한으로 부여==== | |||
관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립· 이행하여야 한다. | |||
*정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의 | |||
{| class="wikitable" | |||
|'''※ 특수권한(예시)''' | |||
*관리자 권한(Root, Administrator, admin, sys, system, sa 등 최상위 권한) | |||
*배치프로그램 실행이나 모니터링을 위하여 부여된 권한 | |||
*보안시스템 관리자 권한 | |||
*계정 생성 및 접근권한을 설정할 수 있는 권한 등 | |||
|} | |} | ||
*특수 계정 및 권한이 필요한 경우 공식적인 절차에 따라 신청 및 승인이 이루어질 수 있도록 ʻ특수 계정·권한 발급·변경·해지 절차ʼ를 수립·이행 | |||
*특수 계정·권한을 최소한의 업무 수행자에게만 부여할 수 있도록 일반 사용자 계정·권한 발급 절차보다 엄격한 기준 적용(임원 또는 보안책임자 승인 등) | |||
====특수 목적 권한 별도 관리==== | |||
특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립·이행하여야 한다. | |||
*특수권한자 목록 작성·관리 | |||
*특수권한자에 대해서는 예외조치 최소화, 모니터링 강화 등의 통제절차 수립·이행 | |||
*정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용 | |||
*특수권한자 현황을 정기적으로 검토하여 목록 현행화 | |||
==증거 자료== | |||
*특수권한 관련 지침 | |||
*특수권한 신청·승인 내역 | |||
== 증거 자료 == | *특수권한자 목록 | ||
* 특수권한 관련 지침 | *특수권한 검토 내용 | ||
* 특수권한 신청·승인 내역 | |||
* 특수권한자 목록 | ==결함 사례== | ||
* 특수권한 검토 내용 | |||
== 결함 사례 == | *정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우 | ||
* 정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우 | *내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별· 관리되지 않는 경우 | ||
* 내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별· 관리되지 않는 경우 | *정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우 | ||
* 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우 | *관리자 및 특수권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우 | ||
* 관리자 및 특수권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우 | |||
== 같이 보기 == | ==같이 보기== | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | |||
* [[ISMS-P 인증 기준]] | *[[정보보호 및 개인정보보호관리체계 인증]] | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | *[[ISMS-P 인증 기준]] | ||
== 참고 문헌 == | *[[ISMS-P 인증 기준 세부 점검 항목]] | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) |
2024년 1월 29일 (월) 23:44 기준 최신판
- 영역: 2.보호대책 요구사항
- 분류: 2.5.인증 및 권한관리
개요[편집 | 원본 편집]
항목 | 2.5.5.특수 계정 및 권한 관리 |
---|---|
인증기준 | 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. |
주요 확인사항 |
|
관련 법규 |
세부 설명[편집 | 원본 편집]
특수 권한 최소한으로 부여[편집 | 원본 편집]
관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립· 이행하여야 한다.
- 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의
※ 특수권한(예시)
|
- 특수 계정 및 권한이 필요한 경우 공식적인 절차에 따라 신청 및 승인이 이루어질 수 있도록 ʻ특수 계정·권한 발급·변경·해지 절차ʼ를 수립·이행
- 특수 계정·권한을 최소한의 업무 수행자에게만 부여할 수 있도록 일반 사용자 계정·권한 발급 절차보다 엄격한 기준 적용(임원 또는 보안책임자 승인 등)
특수 목적 권한 별도 관리[편집 | 원본 편집]
특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립·이행하여야 한다.
- 특수권한자 목록 작성·관리
- 특수권한자에 대해서는 예외조치 최소화, 모니터링 강화 등의 통제절차 수립·이행
- 정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용
- 특수권한자 현황을 정기적으로 검토하여 목록 현행화
증거 자료[편집 | 원본 편집]
- 특수권한 관련 지침
- 특수권한 신청·승인 내역
- 특수권한자 목록
- 특수권한 검토 내용
결함 사례[편집 | 원본 편집]
- 정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우
- 내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별· 관리되지 않는 경우
- 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우
- 관리자 및 특수권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)