2.2.2 직무 분리

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.2 인적 보안	2.2.1 주요 직무자 지정 및 관리
	2.2.2 직무 분리
	2.2.3 보안 서약
	2.2.4 인식제고 및 교육훈련
	2.2.5 퇴직 및 직무변경 관리
	2.2.6 보안 위반 시 조치

---

---

상모변책

직무 분리 기준 수립 · 적용, 개발과 운영 직무 분리

보완통제 (상호검토, 모니터링, 변경 사항 승인, 책임추적성)

핵심 키워드 & 내용

 

- 권한 오·남용 등으로 인한 잠재적인 피해 예방
- 직무 분리 기준 수립, 적용
- 직무 분리가 불가피할 시 보완통제 마련
- 직무자 간 상호 검토, 상위관리자 정기 모니터링 및 변경 사항 승인, 책임추적성 확보 방안 등

 

연관 두음

 

▶ 직무 분리 보완통제

[두음] 상모변책
직무자 간 상호검토, 상위관리자 정기 모니터링 및 변경 사항 승인, 책임추적성 확보

---

인증기준

 

권한 오 · 남용 등으로 인한 잠재적인 피해 예방을 위하여
직무 분리 기준을 수립하고 적용하여야 한다.
다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

 

주요 확인사항

 

* 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?

* 직무 분리가 어려운 경우 직무자 간 상호 검토, 상위관리자 정기 모니터링 및 변경 사항 승인,
  책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?

 

세부 설명

 

□ 권한 오 · 남용 등으로 인한 잠재적인 피해 예방을 위하여

   다음과 같이 직무 분리 기준을 수립하여 적용하여야 한다.

 

▶ 개발과 운영 직무 분리

▶ 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리

▶ 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리

▶ 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리

▶ 개인정보보호 관리와 개인정보처리시스템 운영직무 분리

▶ 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등

▶ 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한 부여 금지

(다만 불가피한 경우 보완통제 적용)

 

□ 조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우

   직무자 간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.

 

▶ 직무자 간 상호 검토, 상위관리자 승인 등으로 오 · 남용이 발생하지 않도록 관리

▶ 개인별 계정 사용, 로그기록 및 감사 · 모니터링을 통한 책임추적성 확보 등

 

결함사례

 

사례 1 :
조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도
업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우

사례 2 :
조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나,
직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인,
직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)