익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
ISMS-P 인증 기준 2.5.6.접근권한 검토
편집하기
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
[[분류: ISMS-P 인증 기준]] *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] *'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] ==개요== {| class="wikitable" !항목 !2.5.6.접근권한 검토 |- | style="text-align:center" |'''인증기준''' |정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다. |- |'''주요 확인사항''' | *정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성‧등록‧부여‧이용‧변경‧말소 등의 이력을 남기고 있는가? *정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가? *접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립‧이행하고 있는가? |- |'''관련 법규''' | * [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)] * [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제6조 개인정보의 안전성 확보조치 기준 제6조(접근통제)] * [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의기술적·관리적보호조치기준/(2021-3,20210915)/제4조 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)] |} ==세부 설명== ====접근권한 관리 기록==== 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다. *사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록 **계정·접근권한 신청정보: 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등 *계정·접근권한 승인정보: 승인자, 승인 또는 거부 여부, 사유 및 일시 등 **계정·접근권한 등록정보: 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등) *계정·접근권한 정보: 대상 시스템명, 권한명, 권한 내역 등 *접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 동안 보관 **개인정보 보호법에 따른 '''개인정보처리자''': 최소 3년간 보관 **개인정보 보호법 특례조항에 따른 '''정보통신서비스''' '''제공자''' 등: 최소 5년간 보관 ====접근권한 기록 검토==== 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다. *접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립 {| class="wikitable" |'''※ 접근권한 부여의 적정성 검토 항목(예시)''' *공식적인 절차에 따른 접근권한 부여 여부 *접근권한 분류체계의 업무목적 및 보안정책 부합 여부 *접근권한 승인자의 적절성 *직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부 *업무 목적 외 과도한 접근권한 부여 여부 *특수권한 부여·변경·발급 현황 및 적정성 *협력업체 등 외부자 계정·권한 발급 현황 및 적정성 *접근권한 신청·승인 내역과 실제 접근권한 부여 현황의 일치 여부 *장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부 *휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등 |} ====접근권한 검토 결과에 대한 이행·사후관리==== 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다. *접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행 *접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지 *유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립 ==증거 자료== *접근권한 검토 기준 및 절차 *접근권한 검토 이력 *접근권한 검토 결과보고서 및 후속조치 내역 ==결함 사례== *접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우 *내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우) *접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우 ==같이 보기== *[[정보보호 및 개인정보보호관리체계 인증]] *[[ISMS-P 인증 기준]] *[[ISMS-P 인증 기준 세부 점검 항목]] ==참고 문헌== *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록
