항목 : 2.2.2 직무 분리
■ 인증기준 : 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
■ 주요 확인사항
- 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?
- 직무 분리가 어려운 경우 직무자 간 상호 검토, 상위관리자 정기 모니터링 및 변경 사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?
■ 관련 법규(금융분야 추가확인사항)
- 전자금융감독규정 제26조(직무의 분리)
■ 세부 설명
① 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여 적용하여야 한다.
- 개발과 운영 직무 분리
- 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리
- 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리
- 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리
- 개인정보보호 관리와 개인정보처리시스템 운영직무 분리
- 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등
- 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한 부여 금지(다만 불가피한 경우 보완통제 적용)
금융회사 추가확인사항
② 금융회사 및 전자금융업자는 전자금융거래의 안정성 확보 및 이용자 보호를 위해 법령에 따른 직무분리 법적요건을 준수하여야 한다.
- 프로그래머와 오퍼레이터
- 응용프로그래머와 시스템프로그래머
- 시스템보안관리자와 시스템프로그래머
- 전산자료관리자(librarian)와 그 밖의 업무 담당자
- 업무운영자와 내부감사자
- 내부인력과 전자금융보조업자 및 유지보수업자 등을 포함한 외부인력
- 정보기술부문인력과 정보보호인력
- 그 밖에 내부통제와 관련하여 직무의 분리가 요구되는 경우
③ 조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자 간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.
- 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리
- 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등
■ 증적예시
- 직무 분리 관련 지침(인적 보안 지침 등)
- 직무기술서(시스템 운영·관리, 개발·운영 등)
- 직무 미분리 시 보완통제 현황
■ 결함사례
- 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우
- 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.4 인식제고 및 교육훈련) (0) | 2023.02.13 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.3 보안 서약) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.1 주요 직무자 지정 및 관리) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.3 정보자산 관리) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.2 조직의 유지관리) (0) | 2023.02.10 |