ISMS-P 인증 기준 2.5.6.접근권한 검토 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
14번째 줄: | 14번째 줄: | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 | *정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성‧등록‧부여‧이용‧변경‧말소 등의 이력을 남기고 있는가? | ||
*정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가? | *정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가? | ||
*접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 | *접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립‧이행하고 있는가? | ||
|- | |- | ||
|'''관련 법규''' | |'''관련 법규''' | ||
| | | | ||
* [https://www.law.go.kr/법령/개인정보보호법/( | * [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제29조 개인정보 보호법 제29조(안전조치의무)] | ||
*[https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/( | * [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의안전성확보조치기준/(2021-2,20210915)/제6조 개인정보의 안전성 확보조치 기준 제6조(접근통제)] | ||
* [https://www.law.go.kr/행정규칙/(개인정보보호위원회)개인정보의기술적·관리적보호조치기준/(2021-3,20210915)/제4조 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)] | |||
|} | |} | ||
== 세부 설명== | ==세부 설명== | ||
====접근권한 관리 기록==== | ====접근권한 관리 기록==== | ||
29번째 줄: | 30번째 줄: | ||
*사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록 | *사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록 | ||
** 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등 | **계정·접근권한 신청정보: 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등 | ||
*계정·접근권한 승인정보: 승인자, 승인 또는 거부 여부, 사유 및 일시 등 | |||
** 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등) | **계정·접근권한 등록정보: 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등) | ||
*계정·접근권한 정보: 대상 시스템명, 권한명, 권한 내역 등 | |||
*접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 동안 보관 | |||
*접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 | **개인정보 보호법에 따른 '''개인정보처리자''': 최소 3년간 보관 | ||
** | **개인정보 보호법 특례조항에 따른 '''정보통신서비스''' '''제공자''' 등: 최소 5년간 보관 | ||
====접근권한 기록 검토==== | ====접근권한 기록 검토==== | ||
61번째 줄: | 62번째 줄: | ||
*접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행 | *접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행 | ||
*접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지 | *접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지 | ||
*유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립 | *유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립 | ||
==증거 자료== | ==증거 자료== | ||
69번째 줄: | 70번째 줄: | ||
*접근권한 검토 결과보고서 및 후속조치 내역 | *접근권한 검토 결과보고서 및 후속조치 내역 | ||
== 결함 사례== | ==결함 사례== | ||
*접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우 | *접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우 | ||
83번째 줄: | 84번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |