ISMS(정보보호관리체계) 인증 기준 2.5.6 접근권한 검토

2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.6 접근권한 검토

항목		상세내용
2.5.6	접근권한 검토	정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록ㆍ이용ㆍ삭제 및 접근권한의 부여ㆍ변경ㆍ삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.
주요 확인사항		ㆍ정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성ㆍ등록ㆍ부여ㆍ이용ㆍ변경ㆍ말소 등의 이력을 남기고 있는가? ㆍ정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주제, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가? ㆍ접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립ㆍ이행하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제6조(접근통제) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제)

 

● 중요사안

- 장기 미사용자 및 퇴직자의 계정을 확인하여야 한다.

- 과도한 접속기록 확인을 통한 이상징후를 조사하여야 한다.

 

 

● 확인 포인트

- 내부 규정 및 지침을 통해 접근권한의 검토 대상, 보고체계, 보고 주기 등이 명확하게 정의되어 있고 그 근거에 따라 검토 수행을 해야 한다.

- 퇴직, 인사이동 뿐만 아니라 장기 미사용 계정에 대하여 통제정책을 수행하여야 한다.

- 특수 권한에 대한 권한 적정성 검토도 수행하여야 한다.

 

 

● 운영현황

- 사용자의 직무 및 역할에 따라 1인 1계정을 발급하고 있으며, 품의를 통해 그 이력을 관리하고 있음.

- 접근통제솔루션을 통해 사용자의 업무내역 및 권한부여 이력을 로깅하고 정기적으로 검토하고 있음.

- 퇴직, 인사이동 등 인사변경이 있는 경우 즉시 정보시스템 계정 및 권한을 회수하는 절차를 이행하고 있음.

 

 

● 기록(증적자료)

- 접근통제 정책

- 계정 관리 대장

- 정보자산 목록

- 접근권한 검토서