ISMS(정보보호관리체계) 인증 기준 2.5.2 사용자 식별

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.2 사용자 식별

항목		상세내용
2.5.2	사용자 식별	사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립ㆍ이행하여야 한다.
주요 확인사항		ㆍ정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가? ㆍ불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제)

 

● 중요사안

- 정보시스템에서 사용자 별 식별자(아이디)를 할당하여 책임추적성을 확보하고 관리자 및 특수계정(root, admin, manager 등)의 사용을 제한한다.

- 사용자 계정을 공유해서 사용할 경우 사유와 타당성에 대하여 책임자의 승인을 받아야 하며 추가적인 통제 방안을 적용하여야 한다.

 

 

● 확인 포인트

- 공용계정 사용 접근가능한 IP를 등록하여 허가된 단말기에서만 접속가능하도록 통제

- 공용계정 사용 시 사용자별 IP 대해 책임추적성을 확보해야 함

- 공용계정 사용하기 위한 타당성 검토 또는 책임자의 승인 이력이 확인되어야 함

 

 

● 운영현황

- 사용자의 직무 및 역할에 따라 1인 1계정을 발급하고 있으며 품의를 통해 그 이력을 관리하고 있음.

- 시스템 관리자의 계정 생성, 변경, 삭제 등의 관리를 위한 공용 관리계정 이외에 개인에게 공용계정을 발급하지 않음.

- 기본 관리계정(root, admin, manager 등)을 사용하지 않고 별도의 관리 식별자(아이디)를 생성하여 사용하고 있음.

 

 

● 기록(증적자료)

- 사용자별 계정 목록

- 공용계정 사용 현황