항목 : 2.5.2 사용자 식별
■ 인증기준 : 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다.
■ 주요 확인사항
- 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
- 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
- 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
금융분야 추가확인사항
- 전자금융감독규정 제13조(전산자료 보호대책) 제1항제1호, 제2항
■ 세부 설명
① 정보시스템 및 개인정보처리시스템에 대한 사용자 등록 시 사용자 및 개인정보취급자별로 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다.
- 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보
- 계정 공유 및 공용 계정 사용 제한
- 시스템이 사용하는 운영계정은 일반 사용자의 접근 제한
- 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)
- 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한
② 업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다.
- 업무 분장상 정·부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여하고 사용자 계정으로 로그인 후 관리자 계정으로 변경
- 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경
- 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받고 책임추적성을 보장할 추가 통제방안 적용
■ 증적예시
- 정보시스템 및 개인정보처리시스템 로그인 화면
- 정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록
- 예외 처리에 대한 승인 내역
■ 결함사례
- 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
- 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우
- 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.4 비밀번호 관리) (0) | 2023.02.17 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.3 사용자 인증) (0) | 2023.02.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.1 사용자 계정 관리) (0) | 2023.02.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.7 업무환경 보안) (0) | 2023.02.16 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.6 반출입 기기 통제) (0) | 2023.02.16 |