ISMS-P 인증 기준 2.5.6.접근권한 검토 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
25번째 줄: | 25번째 줄: | ||
== 세부 설명== | == 세부 설명== | ||
====접근권한 관리 기록==== | ==== 접근권한 관리 기록 ==== | ||
정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다. | 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다. | ||
37번째 줄: | 37번째 줄: | ||
**「개인정보 보호법」에 따른 개인정보처리자 : 최소 3년간 보관 | **「개인정보 보호법」에 따른 개인정보처리자 : 최소 3년간 보관 | ||
====접근권한 기록 검토==== | ==== 접근권한 기록 검토 ==== | ||
정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다. | 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다. | ||
*접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립 | *접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | ||
'''※ 접근권한 부여의 적정성 검토 항목(예시)''' | |||
* 공식적인 절차에 따른 접근권한 부여 여부 | |||
* 접근권한 분류체계의 업무목적 및 보안정책 부합 여부 | |||
*공식적인 절차에 따른 접근권한 부여 여부 | * 접근권한 승인자의 적절성 | ||
*접근권한 분류체계의 업무목적 및 보안정책 부합 여부 | * 직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부 | ||
*접근권한 승인자의 적절성 | * 업무 목적 외 과도한 접근권한 부여 여부 | ||
*직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부 | * 특수권한 부여·변경·발급 현황 및 적정성 | ||
*업무 목적 외 과도한 접근권한 부여 여부 | * 협력업체 등 외부자 계정·권한 발급 현황 및 적정성 | ||
*특수권한 부여·변경·발급 현황 및 적정성 | * 접근권한 신청·승인 내역과 실제 접근권한 부여 현황의 일치 여부 | ||
*협력업체 등 외부자 계정·권한 발급 현황 및 적정성 | * 장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부 | ||
*접근권한 신청·승인 내역과 실제 접근권한 부여 현황의 일치 여부 | * 휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등</div> | ||
*장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부 | |||
*휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등 | |||
====접근권한 검토 결과에 대한 이행·사후관리==== | ==== 접근권한 검토 결과에 대한 이행·사후관리 ==== | ||
접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다. | 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다. | ||