ISMS(정보보호관리체계) 인증 기준 2.5.1 사용자 계정 관리

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.1 사용자 계정 관리

항목		상세내용
2.5.1	사용자 계정 관리	정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록ㆍ해지 및 접근권한 부여ㆍ변경ㆍ말소 절차를 수립ㆍ이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.
주요 확인사항		ㆍ정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록ㆍ변경ㆍ삭제에 관한 공식적인 절차를 수립ㆍ이행하고 있는가? ㆍ정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성ㆍ등록ㆍ변경시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? ㆍ사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제)

 

● 중요사안

- 최근 3개원간의 신입 및 퇴사자에 대한 계정 등록 및 삭제이력이 존재하고, 책임자를 통한 공식적인 절차에 따라 이행해야 한다.

- 사용자 계정대장과 실제 계정, 관리자 계정이 일치해야 한다.

- 개발자 계정 및 DB사용자에 대해 과도한 접근권한이 부여되지 않아야 한다.

- 계정권한 등록 시 시작 및 종료일을 등록하여 관리하여야 한다.(영구 사용자 등록 시 사유 및 정기적 점검)

 

 

● 확인 포인트

- 사용자 계정 발급, 변경, 삭제는 반드시 내부 공식절차를 거쳐 수행하고 그 이력을 남겨야 함

- 사용자 계정별 접근권한은 사용자, 부서별 목적에 맞게 최소한의 범위로 부여해야 하며 그 기준을 수립해야 함

- 사용자 계정별 접근권한의 적정성을 검토하는 기준을 수립해야하고 주기적으로 검토한 raw data를 보관하여야 함

 

 

● 운영현황

- 사용자가 접근권한이 필요한 대상, 권한, 사유, 일시, 담당업무 등을 포함하는 품의서를 작성하여 업무관계자 및 책임자의 승인을 득한 뒤 계정을 발급하는 절차를 운영하고 있음.

- 필요 최소한의 권한으로 1인 1계정을 발급하고 그 이력을 관리하고 있음.

 

 

● 기록(증적자료)

- 정보보호 정책(접근통제 정책)

- 시스템 사용자 계정관리 절차

- 사용자 보안지침

- 사용자 계정 관리 목록

- 사용자 계정 신청서

- 시스템 접근기록 관리대장