ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.5 특수 계정 및 권한 관리)

항목 : 2.5.5 특수 계정 및 권한 관리

 

■ 인증기준 : 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.

 

■ 주요 확인사항

• 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하고 있는가?
• 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등 통제절차를 수립·이행하고 있는가?

■ 관련 법규

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
• 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

금융분야 추가확인사항

• 전자금융감독규정 제13조(전산자료 보호대책) 제1항제1호
• 신용정보업감독규정 [별표3] 기술적･물리적･관리적 보호대책 마련 기준 Ⅱ기술적･물리적 보안대책 1.접근통제 제1항
• 전자금융거래법 제13조(전산자료 보호대책) 제5항

 

■ 세부 설명

 ① 관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립· 이행하여야 한다.

• 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의

•  특수 계정 및 권한이 필요한 경우 공식적인 절차에 따라 신청 및 승인이 이루어질 수 있도록 ʻ특수 계정·권한 발급·변경·해지 절차ʼ를 수립·이행
• 특수 계정·권한을 최소한의 업무 수행자에게만 부여할 수 있도록 일반 사용자 계정·권한 발급 절차보다 엄격한 기준 적용(임원 또는 보안책임자 승인 등

② 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립· 이행하여야 한다.

• 특수권한자 목록 작성·관리 
• 특수권한자에 대해서는 예외조치 최소화, 모니터링 강화 등의 통제절차 수립·이행
• 정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용
• 특수권한자 현황을 정기적으로 검토하여 목록 현행화

금융분야 추가확인사항

• 관리자권한 계정 및 특수권한 계정의 비밀번호 관리 강화

      - 비밀자료에 준하여 관리

      - 밀봉하여 내화금고 등 안전한 방법으로 보관 또는 이와 같은 수준의 관리시스템 운영 

      -  PC, USB 등 별도 보관 금지 

      - 주기적 변경(분기별 1회 이상) 및 노출여부 수시점검

 

 

 

■ 증적예시

• 특수권한 관련 지침
• 특수권한 신청·승인 내역
• 특수권한자 목록
• 특수권한 검토 내용

 

 

■ 결함사례

1. 정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우
2. 내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별· 관리되지 않는 경우
3. 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우 
4. 관리자 및 특수권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람