항목 : 2.5.6 접근권한 검토
■ 인증기준 : 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
■ 주요 확인사항
- 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록· 부여·이용·변경·말소 등의 이력을 남기고 있는가?
- 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
- 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
- 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
금융분야 추가확인사항
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 1.접근통제 제3항, 제8항
- 전자금융감독규정 제13조(전산자료 보호대책) 제5항, 제28조(거래통제 등) 제2항
■ 세부 설명
① 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경· 말소 등의 이력을 남겨야 한다.
- 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록
- 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등
- 계정·접근권한 승인정보 : 승인자, 승인 또는 거부 여부, 사유 및 일시 등
- 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)
- 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등
- 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 동안 보관
- 「개인정보 보호법」에 따른 개인정보처리자 : 최소 3년간 보관
- 「개인정보 보호법」 특례조항에 따른 정보통신서비스 제공자 등 : 최소 5년간 보관
금융분야 추가확인사항
- 「신용정보법」에 따른 개인신용정보취급자 : 최소 3년간 보관
② 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토 주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다.
- 접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립
③ 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오・남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립・이행하여야 한다.
- 접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오・남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립・이행
- 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지
- 유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립
금융분야 추가확인사항
④ 정보시스템 관리자에 대한 적절한 접근통제를 적용하고 주요 업무행위를 책임자가 이중확인 및 모니터링 하여야 한다.
- 단말기와 전산자료의 접근권한이 부여되는 정보처리시스템 관리자에 대해 IP 및 MAC 인증, 콘솔을 통한 접근, 관리자 승인 등의 접근통제 방안을 적용하고, 주요 업무 행위에 대해 책임자가 이중확인 및 모니터링 실시
- 관리자의 권한 부여 시 현업부서 및 정보보호담당부서 책임자 등 권한 부여의 적정성을 이중확인(승인)하고 주요 업무 행위를 확인할 수 있도록 행위로그를 저장하고 주기적으로 점검
- 전산원장, 주요정보 또는 이용자 정보 등이 저장된 정보처리시스템에 대한 중요작업 수행 시 책임자가 이중확인 실시
■ 증적예시
- 접근권한 검토 기준 및 절차
- 접근권한 검토 이력
- 접근권한 검토 결과보고서 및 후속조치 내역
■ 결함사례
- 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
- 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
- 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.2 정보시스템 접근) (0) | 2023.02.21 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.1 네트워크 접근) (0) | 2023.02.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.5 특수 계정 및 권한 관리) (0) | 2023.02.20 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.4 비밀번호 관리) (0) | 2023.02.17 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.3 사용자 인증) (0) | 2023.02.17 |