ISMS(정보보호관리체계) 인증 기준 2.5.5 특수 계정 및 권한 관리

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.5 특수 계정 및 권한 관리

항목		상세내용
2.5.5	특수 계정 및 권한 관리	정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.
주요 확인사항		ㆍ관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립ㆍ이행하고있는가? ㆍ특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립ㆍ이행하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제)

 

● 중요사안

- 계정등록대장과 실제 시스템의 계정등록 현황이 일치하여야 한다.

 

 

● 확인 포인트

- 특수 계정을 정의하고 계정 및 권한에 대하여 문서화 관리해야 한다.

 

 

● 운영현황

- 정보시스템 관리자 권한은 정보시스템 운영담당자 및 관리자에 한하여 부여하고 있음.

- 관리자 권한의 계정은 접근통제시스템으로 그 목록을 식별하고 있으며 주기적으로 계정 및 권한을 검토하고 불필요한 권한을 제거하는 절차를 이행하고 있음.

 

 

● 기록(증적자료)

- 접근통제 정책

- 특수권한 사용자 목록

- 사용자 계정 관리대장