ISMS-P 인증 기준 2.2.2.직무 분리

From CS Wiki
Revision as of 09:12, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)

개요

항목 2.2.2.직무 분리
인증기준 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
주요 확인사항
  • 권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?
  • 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?

세부 설명

  • 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여적용하여야 한다.
    • 개발과 운영 직무 분리
    • 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리
    • 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리
    • 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리
    • 개인정보보호 관리와 개인정보처리시스템 운영직무 분리
    • 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등
    • 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한부여 금지(다만 불가피한 경우 보완통제 적용)
  • 조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.
    • 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리
    • 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등

증거 자료

  • 직무 분리 관련 지침(인적 보안 지침 등)
  • 직무기술서(시스템 운영·관리, 개발·운영 등)
  • 직무 미분리 시 보완통제 현황

결함 사례

  • 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우
  • 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)