반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.5 인증 및 권한관리 | 2.5.1 사용자 계정 관리 |
| 2.5.2 사용자 식별 | |
| 2.5.3 사용자 인증 | |
| 2.5.4 비밀번호 관리 | |
| 2.5.5 특수 계정 및 권한관리 | |
| 2.5.6 접근권한 검토 |
계생등변삭
사용자 계정 및 접근권한
생성, 등록, 변경, 삭제, 해지,
계정 및 접근권한 부여 절차 수립 · 이행, 최소한의 권한,
사용자의 보안책임 규정 및 인식
핵심 키워드 & 내용
비인가 접근 통제, 접근권한 최소한 부여
사용자 계정 및 접근권한 등록 · 변경 · 삭제 · 해지 절차 수립 · 이행
직무별 접근권한 분류체계에 따라 최소한의 권한만을 부여
계정에 대한 보안책임 본인임을 인식시킴 (보안책임 인식)
연관 두음
▶ 사용자 계정 관리 핵심 키워드
[두음] 계생등변삭
사용자 계정 및 접근권한, 생성, 등록, 변경, 삭제
인증기준
정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고
업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록
사용자 등록 · 해지 및 접근권한 부여 · 변경 · 말소 절차를 수립 · 이행하고,
사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.
주요 확인사항
* 정보시스템과 개인정보 및 중요정보에 접근할 수 있는
사용자 계정 및 접근권한의 등록 · 변경 · 삭제에 관한 공식적인 절차를 수립 · 이행하고 있는가?
* 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성 · 등록 · 변경 시
직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가?
* 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을
명확히 인식시키고 있는가?
세부 설명
□ 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하기 위하여 다음 사항을 고려하여
공식적인 사용자 계정 및 접근권한 등록 · 변경 · 삭제 · 해지 절차를 수립 · 이행하여야 한다.
▶ 사용자 및 개인정보취급자별로 고유한 사용자 계정 발급 및 공유 금지
▶ 전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소(계정 삭제 또는 비활성화 포함)
□ 정보시스템과 개인정보 및 중요정보에 접근할 수 있는
사용자 계정 및 접근권한 생성 · 등록 · 변경 시
직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하여야 한다.
□ 사용자에게 계정 및 접근권한을 부여하는 경우
해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시켜야 한다.
결함사례
사례 1 :
사용자 및 개인정보취급자에 대한 계정 · 권한에 대한 사용자 등록, 해지 및 승인절차 없이
구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
사례 2 :
개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로
공식적인 절차를 거치지 않고
개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우
사례 3 :
정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여
업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.5.3 사용자 인증 (0) | 2023.01.09 |
|---|---|
| 2.5.2 사용자 식별 (0) | 2023.01.09 |
| 2.4.7 업무환경 보안 (0) | 2023.01.09 |
| 2.4.6 반출입 기기 통제 (0) | 2023.01.09 |
| 2.4.5 보호구역 내 작업 (0) | 2023.01.09 |
댓글