국가 정보보안 기본지침 제75조

IT 위키

내용

제75조(계정 관리)
  • ① 각급기관의 장은 개별사용자에게 소관 정보통신망 또는 공용(公用) 정보시스템의 접속에 필요한 사용자 계정(아이디)을 부여하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.
    • 1. 개별사용자별 또는 그룹별 접근권한 부여
    • 2. 외부인에게 계정을 부여하지 아니하되 업무상 불가피한 경우 기관의 장 책임 하에 보안조치 후 필요한 업무에 한하여 일정기간 동안 접속 허용
    • 3. 특별한 사유가 없는 한 용역업체 인원에게 관리자 계정 부여 금지
    • 4. 비밀번호 등 식별 및 인증 수단이 없는 사용자 계정은 사용 금지
  • ② 공용(公用) 정보시스템 관리자는 개별사용자가 시스템 접속(로그온)에 5회 이상 실패할 경우 접속이 중단되도록 시스템을 설정하고 비(非)인가자의 침입여부를 점검하여야 한다.
  • ③ 공용(公用) 정보시스템 관리자는 개별사용자의 보직변경, 퇴직, 계약종료 등 변동사항이 발생할 경우 신속히 사용자 계정을 삭제하거나 부여된 접근권한을 회수하여야 한다.
  • ④ 공용(公用) 정보시스템 관리자는 사용자 계정 부여 및 관리의 적절성을 연2회 이상 점검하고 그 결과를 정보보안담당관에게 통보하여야 한다
  • ⑤ 공용(公用) 정보시스템 관리자는 제1항 및 제3항에 의한 접근권한 부여, 변경, 회수 또는 삭제 등에 대한 내역을 기록하고 3년 이상 보관하여야 한다.

해설