ISMS-P 인증 기준 2.5.6.접근권한 검토: Difference between revisions

From CS Wiki
(Imported from text file)
 
 
(5 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.5.6.접근권한 검토
!2.5.6.접근권한 검토
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
|정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성‧등록‧부여‧이용‧변경‧말소 등의 이력을 남기고 있는가?
*정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남기고 있는가?
* 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
*정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
* 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립‧이행하고 있는가?
*접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가?
|-
|'''관련 법규'''
|
* [https://www.law.go.kr/LSW//lsLinkProc.do?lsNm=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95&chrClsCd=010202&joNo=0029000000&mode=10&gubun=admRul&datClsCd=010102 개인정보 보호법 제29조(안전조치의무)]
 
* [https://www.law.go.kr/LSW//admRulLsInfoP.do?admRulSeq=2100000229672 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)]
|}
|}
== 세부 설명 ==
== 세부 설명==


* 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다.
====접근권한 관리 기록====
** 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록
정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다.
*** 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등
 
** 계정·접근권한 승인정보 : 승인자, 승인 또는 거부 여부, 사유 및 일시 등
*사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록
*** 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)
** 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등
** 계정·접근권한 승인정보: 승인자, 승인 또는 거부 여부, 사유 및 일시 등
** 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)
** 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등
** 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등
** 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 동안 보관
 
*** 「개인정보 보호법」에 따른 개인정보처리자 : 최소 3년간 보관
*접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 이상 보관  
** 「개인정보 보호법」 특례조항에 따른 정보통신서비스 제공자 등 : 최소 5년간 보관
**「개인정보 보호법」에 따른 개인정보처리자 : 최소 3년간 보관
* 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다.
 
** 접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립
====접근권한 기록 검토====
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다.
* ※ 접근권한 부여의 적정성 검토 항목(예시)
 
* 공식적인 절차에 따른 접근권한 부여 여부
*접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립
* 접근권한 분류체계의 업무목적 및 보안정책 부합 여부
 
* 접근권한 승인자의 적절성
{| class="wikitable"
* 직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부
|'''※ 접근권한 부여의 적정성 검토 항목(예시)'''
* 업무 목적 외 과도한 접근권한 부여 여부
*공식적인 절차에 따른 접근권한 부여 여부
* 특수권한 부여·변경·발급 현황 및 적정성
*접근권한 분류체계의 업무목적 및 보안정책 부합 여부
* 협력업체 등 외부자 계정·권한 발급 현황 및 적정성
*접근권한 승인자의 적절성
* 접근권한 신청·승인 내역과 실제 접근권한 부여 현황의 일치 여부
*직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부
* 장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부
*업무 목적 외 과도한 접근권한 부여 여부
* 휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등</div>
*특수권한 부여·변경·발급 현황 및 적정성
* 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다.
*협력업체 등 외부자 계정·권한 발급 현황 및 적정성
** 접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행
*접근권한 신청·승인 내역과 실제 접근권한 부여 현황의 일치 여부
** 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지
*장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부
** 유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립
*휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등
== 증거 자료 ==
|}
* 접근권한 검토 기준 및 절차
 
* 접근권한 검토 이력
====접근권한 검토 결과에 대한 이행·사후관리====
* 접근권한 검토 결과보고서 및 후속조치 내역
접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다.
== 결함 사례 ==
 
* 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
*접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행
* 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
*접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지
* 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우
*유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립
== 같이 보기 ==
 
* [[정보보호 및 개인정보보호관리체계 인증]]
==증거 자료==
* [[ISMS-P 인증 기준]]
 
* [[ISMS-P 인증 기준 세부 점검 항목]]
*접근권한 검토 기준 및 절차
== 참고 문헌 ==
*접근권한 검토 이력
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*접근권한 검토 결과보고서 및 후속조치 내역
 
== 결함 사례==
 
*접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
*내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
*접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 23:41, 28 August 2024


개요[edit | edit source]

항목 2.5.6.접근권한 검토
인증기준 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
주요 확인사항
  • 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남기고 있는가?
  • 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
  • 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가?
관련 법규

세부 설명[edit | edit source]

접근권한 관리 기록[edit | edit source]

정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다.

  • 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록
    • 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등
    • 계정·접근권한 승인정보: 승인자, 승인 또는 거부 여부, 사유 및 일시 등
    • 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)
    • 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등
  • 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 이상 보관
    • 「개인정보 보호법」에 따른 개인정보처리자 : 최소 3년간 보관

접근권한 기록 검토[edit | edit source]

정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다.

  • 접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립
※ 접근권한 부여의 적정성 검토 항목(예시)
  • 공식적인 절차에 따른 접근권한 부여 여부
  • 접근권한 분류체계의 업무목적 및 보안정책 부합 여부
  • 접근권한 승인자의 적절성
  • 직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부
  • 업무 목적 외 과도한 접근권한 부여 여부
  • 특수권한 부여·변경·발급 현황 및 적정성
  • 협력업체 등 외부자 계정·권한 발급 현황 및 적정성
  • 접근권한 신청·승인 내역과 실제 접근권한 부여 현황의 일치 여부
  • 장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부
  • 휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등

접근권한 검토 결과에 대한 이행·사후관리[edit | edit source]

접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다.

  • 접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행
  • 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지
  • 유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립 등

증거 자료[edit | edit source]

  • 접근권한 검토 기준 및 절차
  • 접근권한 검토 이력
  • 접근권한 검토 결과보고서 및 후속조치 내역

결함 사례[edit | edit source]

  • 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
  • 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
  • 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)