[ISMS-P인증기준] 2.5.6 접근권한 검토

항목

---

2. 보호대책 요구사항

  - 2.5. 인증 및 권한관리

  - 2.5.6 접근권한 검토

 

인증기준

---

정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

2.5.6 접근권한 검토

 

세부설명

---

■ 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 한다.

 

- 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록

‧ 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등

‧ 계정·접근권한 승인정보 : 승인자, 승인 또는 거부 여부, 사유 및 일시 등

‧ 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)

‧ 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등

 

- 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 이상 보관

‧ ｢개인정보 보호법｣에 따른 개인정보처리자 : 최소 3년간 보관

 

 

■ 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다.

 

- 접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립

 

■ 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하여야 한다.

 

- 접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오·남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립·이행

- 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지

- 유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립 등

 

결함사례

---

‧ 사례 1 : 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우

 

‧ 사례 2 : 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)

 

‧ 사례 3 : 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."