반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.5 인증 및 권한관리 | 2.5.1 사용자 계정 관리 |
| 2.5.2 사용자 식별 | |
| 2.5.3 사용자 인증 | |
| 2.5.4 비밀번호 관리 | |
| 2.5.5 특수 계정 및 권한관리 | |
| 2.5.6 접근권한 검토 |
사용자 계정 식별자 할당,
추측 가능한 식별자 사용 제한 (root, admin, administrator 등)
식별자 공유 사용 경우 사유 · 타당성 검토, 보완대책 수립 · 이행
핵심 키워드 & 내용
- 사용자 계정, 식별자 할당
- 식별자 공유 사용하는 경우, 사유와 타당성 검토
- 책임자의 승인 및 책임추적성 확보, 보완대책 수립 · 이행
- 사용자별 유일 식별자 할당 및 추측 가능한 식별자 사용 제한
- 동일한 식별자 공유 사용 시 책임자 승인
연관 두음
인증기준
사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고
추측 가능한 식별자 사용을 제한하여야 하며,
동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여
책임자의 승인 및 책임추적성 확보 등 보완대책을 수립 · 이행하여야 한다.
주요 확인사항
* 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를
유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
* 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우
그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
세부 설명
□ 정보시스템 및 개인정보처리시스템에 대한 사용자 등록 시
사용자 및 개인정보취급자별로 유일하게 구분할 수 있는 식별자를 할당하고
추측 가능한 식별자 사용을 제한하여야 한다.
▶ 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보
▶ 계정 공유 및 공용 계정 사용 제한
▶ 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는
추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)
▶ 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한
□ 업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우
그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다
결함사례
사례 1 :
정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과,
제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
사례 2 :
개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나,
타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우
사례 3 :
외부직원이 유지보수하고 있는 정보시스템의 운영계정을
별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.5.4 비밀번호 관리 (0) | 2023.01.10 |
|---|---|
| 2.5.3 사용자 인증 (0) | 2023.01.09 |
| 2.5.1 사용자 계정 관리 (0) | 2023.01.09 |
| 2.4.7 업무환경 보안 (0) | 2023.01.09 |
| 2.4.6 반출입 기기 통제 (0) | 2023.01.09 |
댓글