| 구분 | 변경 전 | 변경 후 | ||
| 항목 | 2.5.1 사용자 계정 관리 | - | ||
| 상세내용 | 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록∙해지 및 접근권한 부여∙변경∙말소 절차를 수립∙이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. | - | ||
| 주요 확인사항 |
∙ 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록∙변경∙삭제에 관한 공식적인 절차를 수립∙이행하고 있는가? ∙ 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성∙등록∙변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? ∙ 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가? |
- | ||
| 구분 | 변경 전 | 변경 후 | ||
| 항목 | 2.5.2 사용자 식별 | - | ||
| 상세내용 | 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립∙이행하여야 한다. | - | ||
| 주요 확인사항 |
∙ 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가? ∙ 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가? |
- | ||
| 구분 | 변경 전 | 변경 후 | ||
| 항목 | 2.5.3 사용자 인증 | - | ||
| 상세내용 | 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립∙이행하여야 한다. | - | ||
| 주요 확인사항 |
∙ 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가? ∙ 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? |
- | ||
| 구분 | 변경 전 | 변경 후 | ||
| 항목 | 2.5.4 비밀번호 관리 | - | ||
| 상세내용 | 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립∙이행하여야 한다. | - | ||
| 주요 확인사항 |
∙ 정보시스템 ∙ 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가? |
∙ 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립∙이행하고 있는가? ∙ 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가? ∙ 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가? |
||
| 구분 | 변경 전 | 변경 후 | ||
| 항목 | 2.5.5 특수 게정 및 권한 관리 | - | ||
| 상세내용 | 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. | - | ||
| 주요 확인사항 |
∙ 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립∙이행하고 있는가? ∙ 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립∙이행하고 있는가? |
- | ||
| 구분 | 변경 전 | 변경 후 | ||
| 항목 | 2.5.6 접근권한 검토 | - | ||
| 상세내용 | 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록∙이용∙삭제 및 접근권한의 부여∙변경∙삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다. | - | ||
| 주요 확인사항 |
∙ 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성∙등록∙부여∙이용∙변경∙말소 등의 이력을 남기고 있는가? ∙ 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 ∙ 수립하여 정기적 검토를 이행하고 있는가? ∙ 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립∙이행하고 있는가? |
- | ||
'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글
| ISMS 인증 조항 - 2.4 물리보안 (0) | 2023.11.08 |
|---|---|
| ISMS 인증 조항 - 2.1 정책, 조직, 자산 관리 (0) | 2023.11.08 |
| ISMS 인증 조항 - 2.3 외부자 보안 (0) | 2023.11.08 |
| ISMS 인증 조항 - 1.4 관리체계 점검 및 개선 (0) | 2023.11.08 |
| ISMS 인증 조항 - 1.3 관리체계 운영 (0) | 2023.11.08 |