[ISMS-P] 보호대책 요구사항 (2.5 인증 및 권한관리)

#보호대책 요구사항 기준

2.5 인증 및 권한관리

2.5.1 사용자 계정관리

인증기준 : 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록, 해지 및 접근권한 부여, 변경, 말소 절차를 수립/이행하고 사용자 등록 및 권한 부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.

 

확인사항

- 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록, 변경, 삭제에 관한 공식적인 절차를 수립/이행하고 있는가?

- 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성/등록/변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가?

- 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보 안전성 확보조치 기준 제5조(접근 권한의 관리)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 사용자 계정 및 권한 신청서

- 사용자 계정 및 권한 관리대장 또는 화면

- 정보시스템 및 개인정보처리시스템별 접근권한 분류표

- 정보시스템 및 개인정보처리시스템별 사용자, 관리자, 개인정보취급자 목록

 

결함사례

1) 사용자 및 개인정보취급자에 대한 계정, 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우

2) 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우

3) 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우

---

2.5.2 사용자 식별

인증기준 : 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립/이행하여야 한다.

 

확인사항

- 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?

- 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 정보시스템 및 개인정보처리시스템 로그인 화면

- 정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록

- 예외 처리에 대한 승인 내역

 

결함사례

1) 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우

2) 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나 타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우

3) 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우

---

2.5.3 사용자 인증

인증기준 : 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립/이행하여야 한다.

 

확인사항

- 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 따라 통제하고 있는가?

- 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리), 제6조(접근통제)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 정보시스템 및 개인정보처리시스템 로그인 화면

- 로그인 횟수 제한 설정 화면

- 로그인 실패 메시지 화면

- 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)

 

결함사례

1) 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID, 패스워드 방식으로만 인증하고 있는 경우

2) 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우

---

2.5.4 비밀번화 관리

인증기준 : 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립/이행하여야 한다.

 

확인사항

- 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립/이행하고 있는가?
 - 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립/이행하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)

- 개인정보 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 웹 페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면

- 비밀번호 관리 정책 및 절차

 

결함사례

1) 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우

2) 비밀번호 관련 내부 규정에는 비밀번호 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어있으나 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우

3) 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우

---

2.5.5 특수 계정 및 권한 관리

인증기준 : 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.

 

확인사항

- 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립/이행하고 있는가?

- 특수 목적을 위하여 부여한 계정 및 권한은 식별하고 별도 목록으로 관리하는 등 통제절차를 수립/이행하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보 안전성 확보조치 기준 제5조(접근 권한의 관리)

- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 특수권한 관련 지침

- 특수권한 신청/승인 내역

- 특수권한자 목록

- 특수권한 검토 내용

 

결함사례

1) 정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우

2) 내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성, 관리하도록 되어있으나 이를 작성/관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별, 관리되지 않는 경우

3) 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지 보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우

4) 관리자 및 특수권한의 사용여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우

---

2.5.6 접근권한 검토

인증기준 : 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록, 이용, 삭제 및 접근권한의 부여, 변경, 삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

 

확인사항

- 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성, 등록, 부여, 이용, 변경, 말소 등의 이력을 남기고 있는가?

- 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?

- 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오/남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립/이행하고 있는가?

 

관련법규

- 개인정보 보호법 29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
- 개인정보의 기술적/관리적 보호조치 기준 제4조(접근통제)

 

증거자료

- 접근권한 검토 기준 및 절차

- 접근권한 검토 이력

- 접근권한 검토 결과보고서 및 후속조치 내역

 

결함사례

1) 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오/남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우

2) 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)

3) 접근권한 검토 시 접근권한의 과다 부여 및 오/남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우