반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.5 인증 및 권한관리 | 2.5.1 사용자 계정 관리 |
| 2.5.2 사용자 식별 | |
| 2.5.3 사용자 인증 | |
| 2.5.4 비밀번호 관리 | |
| 2.5.5 특수 계정 및 권한관리 | |
| 2.5.6 접근권한 검토 |
특수 목적의 계정 및 권한 최소한 부여, 별도 식별 · 통제
관리자 계정 및 권한
핵심 키워드 & 내용
특수권한은 최소한의 인원에게만 부여, 공식적인 권한 신청 및 승인 절차를 수립 · 이행
특수 목적을 위하여 부여한 계정 및 권한을 식별
별도의 목록으로 관리하는 등 통제절차를 수립 · 이행
최소한의 인원에게만 부여하기 위한 공식적인 권한 신청 및 승인 절차 수립 · 이행
특수 계정 및 권한 식별, 목록관리 등 통제 절차 수립 · 이행
연관 두음
인증기준
정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은
최소한으로 부여하고 별도로 식별하여 통제하여야 한다.
주요 확인사항
* 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록
공식적인 권한 신청 및 승인 절차를 수립 · 이행하고 있는가?
* 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등
통제절차를 수립 · 이행하고 있는가?
세부 설명
□ 관리자 등 특수권한은 최소한의 인원에게만 부여될 수 있도록
공식적인 권한 신청 및 승인 절차를 수립 · 이행하여야 한다.
□ 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등
통제절차를 수립 · 이행하여야 한다.
결함사례
사례 1 :
정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이
시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우
사례 2 : ★
내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성 · 관리하도록 되어 있으나
이를 작성 · 관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별 · 관리되지 않는 경우
사례 3 : ★
정보시스템 및 개인정보처리시스템의 유지보수를 위하여
분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우
사례 4 :
관리자 및 특수권한의 사용 여부를 정기적으로 검토하지 않아
일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우
가상자산 사업자 대상 주요 확인사항
가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등
주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.6.1 네트워크 접근 (0) | 2023.01.10 |
|---|---|
| 2.5.6 접근권한 검토 (0) | 2023.01.10 |
| 2.5.4 비밀번호 관리 (0) | 2023.01.10 |
| 2.5.3 사용자 인증 (0) | 2023.01.09 |
| 2.5.2 사용자 식별 (0) | 2023.01.09 |
댓글