2.5.6 접근권한 검토

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.5 인증 및 권한관리	2.5.1 사용자 계정 관리
	2.5.2 사용자 식별
	2.5.3 사용자 인증
	2.5.4 비밀번호 관리
	2.5.5 특수 계정 및 권한관리
	2.5.6 접근권한 검토

---

---

권개삼정오

이력 보관(3 · 5년), 분기 1회 이상 검토 주기,

문제점 발견 시 조치 절차 수립 · 이행

적정성 여부 점검(퇴직자 계정, 장기 미접속 사용자 계정의 활성화 등)

핵심 키워드 & 내용

 

사용자 계정 및 접근권한 생성 · 등록 · 부여 · 이용 · 변경 · 말소 등의 이력 관리
사용자 계정 및 접근권한의 적정성 검토 정기적 이행
접근권한 검토 결과 문제점 발견 시 조치 절차 수립 이행

 

연관 두음

 

▶ 접근권한 기록 보관

 

[두음] 권개삼정오

 

□ ｢개인정보 보호법｣에 따른 개인정보처리자 : 최소 3년간 보관

□ ｢개인정보 보호법｣ 특례조항에 따른 정보통신서비스 제공자 등 : 최소 5년간 보관

접근권한 기록보관, 개인정보처리자 3년, 정보통신서비스 제공자 5년

---

 

인증기준

 

정보시스템과 개인정보 및 중요정보에 접근하는
사용자 계정의 등록 · 이용 · 삭제 및 접근권한의 부여 · 변경 · 삭제 이력을 남기고
주기적으로 검토하여 적정성 여부를 점검하여야 한다.

 

주요 확인사항

 

* 정보시스템과 개인정보 및 중요정보에 대한
  사용자 계정 및 접근권한 생성 · 등록 · 부여 · 이용 · 변경 · 말소 등의 이력을 남기고 있는가?

* 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의
  적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?

* 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오·남용 등 문제점이 발견된 경우
  그에 따른 조치절차를 수립·이행하고 있는가?

 

세부 설명

 

□ 정보시스템과 개인정보 및 중요정보에 대한

   사용자 계정 및 접근권한 생성 · 등록 · 부여 · 이용 · 변경 · 말소 등의 이력을 남겨야 한다.

 

▶ 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록

• 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등
• 계정·접근권한 승인정보 : 승인자, 승인 또는 거부 여부, 사유 및 일시 등
• 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)
• 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등

▶ 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 동안 보관

 

[두음] 권개삼정오

 

□ ｢개인정보 보호법｣에 따른 개인정보처리자 : 최소 3년간 보관

□ ｢개인정보 보호법｣ 특례조항에 따른 정보통신서비스 제공자 등 : 최소 5년간 보관

 

□ 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의

   적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하여야 한다.

 

▶ 접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립

 

 

□ 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오 · 남용 등

   문제점이 발견된 경우 그에 따른 조치절차를 수립 · 이행하여야 한다.

 

결함사례

 

사례 1 :
접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오 · 남용 기준 등이
관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우

사례 2 :
내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나,
6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우
(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)

사례 3 :
접근권한 검토 시 접근권한의 과다 부여 및 오 · 남용 의심사례가 발견되었으나,
이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

---

※ 로그 보관 기간

 

개인정보의 안전성 확보조치기준

     

    접속기록: 1년/2년, 월 1회 이상 점검 (제8조제1,2항)

 

→ 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리 (2년 보관)

   

    접근권한기록: 3년 (제5조제3항) ← 개인정보처리자

 

개인정보의 기술적·관리적 보호조치 기준

 

    접근권한기록: 5년 (제4조제3항) ← 정보통신서비스 제공자

---

(개인정보보호위원회) 개인정보의 안전성 확보조치 기준

제5조(접근 권한의 관리) 

① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. 

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. 

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다. 

⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. 

⑥ 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다. 

⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다. 

 

 

제8조(접속기록의 보관 및 점검) 

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.

② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. 

③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. 

---

(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준

제4조(접근통제) 

① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.

② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. 

③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다. 

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. 

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다. 

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한 

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. 

⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다. 

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다. 

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고 

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 

⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 

⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.