ISMS(정보보호관리체계) 인증 기준 2.2.2 직무 분리

2. 보호대책 요구사항 > 2.2 인적 보안 > 2.2.2 직무 분리

항목		상세내용
2.2.2	직무 분리	권한 오ㆍ남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
주요 확인사항		ㆍ권한 오ㆍ남용등으로인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? ㆍ직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?
관련 법규

 

● 중요사안

- 직무별 권한과 책임을 분산시켜 직무 간 상호견제를 할 수 있도록 직무 분리 기준을 수립하여야 한다.

   > 개발과 운영 직무 분리(필수)

   > 정보시스템(서버, DB, 네트워크 등)간 운영직무 분리

   > 정보보호 관리와 정보시스템 운영직무 분리

   > 정보보호 관리와 정보시스템 개발직무 분리 등

- 소규모 조직 규모의 경우, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행, 모니터링 및 변경 사항 검토/승인, 직무자의 책임추적성 확보 등의 보완통제를 수행한다.

- 직무분리는 내부통제를 위한 기본적인 수단으로 데이터 변조 및 유출과 같은 부정행위를 방지하기 위하여 시스템 운영자는 입력자료 작성, 원장수정, 비정상 처리된 데이터의 재입력 등과 같은 업무를 수행하여서는 아니되며, 인적자원 등 불가피하게 직무분리가 어려운 경우 제 3자 검증 등의 보완통제를 마련해야 한다.

- 금융회사 또는 전자금융업자의 경우 전자금융감독규정 제26조(직무의 분리)에 따라 주요업무에 대해 분리ㆍ운영하여야 한다.

 

● 운영현황

- 정보보호 관련 주요 직무를 다음과 같이 분리하도록 정하고 있음.

   > 개발과 운영 직무, 정보시스템 유형별 직무, 정보보호 관리와 정보시스템 운영개발 직무 등

- 회사의 규모, 인력을 고려하여 일부 세부업무에 대해서는 겸임하고 있으나 기본적으로 서비스 운영, 시스템 운영, 개발, 보안 직무가 분리되어 있음.

 

 

● 기록(증적자료)

- 직무기술서

- 개인정보취급자 목록(주요 직무자 목록)

- 업무 분장 목록