[K-ISMS 인증기준] 정보보호대책 10. 접근통제 #1

K-ISMS 인증기준 - 10. 접근통제 #1

---

10.1 접근통제 정책

10.1.1 접근통제 정책 수립

비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야 한다.  

10.1.1.1 접근 통제영역을 정의하고 접근 통제영역별로 접근통제 정책을 수립하고 있는가?

- 접근통제 영역별 통제 규칙, 방법, 절차 등

- 예외사항에 대한 안전한 관리절차   

ㅇ 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 규칙, 방법, 절차 등을 포함하여야 한다.  ㅇ 업무상 불가피하게 접근통제 정책 예외사항이 발생할 경우 이를 보완할 수 있는 통제방안(허가기간, 단말기, 접근위치 등)을 마련한 후 한시적으로 허용하여야 한다.

---

10.2 접근권한 관리

10.2.1 사용자 등록 및 권한부여

정보시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다.

10.2.1.1 정보시스템의 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제에 관한 공식적인 절차를 수립 ∙ 이행하고 있는가?  

ㅇ 정보시스템 영역별(네트워크장비, 서버, 응용프로그램, DB 등)로 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제에 관한 공식적인 검토 ∙ 승인절차를 수립하여 이행하여야 한다.  ㅇ 정보시스템의 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제를 담당자가 임의대로 수행하여서는 안되며 수립된 절차에 따라 책임자의 승인이 완료된 후 이루어져야 한다. ㅇ 사용자 계정 발급 및 접근권한 부여의 적정성 검토를 위하여 정보시스템에 등록된 사용자 계정 및 접근권한 부여 현황을 문서 또는 시스템으로 기록 ∙ 관리하여야 한다. (인증기준 10.2.3 접근권한 검토 참고)

10.2.1.2 정보시스템의 사용자 계정 생성 및 변경 시 직무별 접근권한 분류 체계 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가?  

ㅇ 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류 체계를 관리하여야 한다. ㅇ 정보시스템에 대한 접근권한은 업무 수행에 필요한 최소한으로 할당하여야 하며, 업무 담당자 직무에 따라 차등 부여하여야 한다.

10.2.1.3 사용자 계정 등록 · 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제 권한을 한 사람에게 집중되지 않도록 하고 불가피한 경우, 접근권한 활동의 적정성을 주기적으로 검토하고 있는가?  

ㅇ 사용자 계정 등록 ∙ 삭제(비활성화) 및 접근권한 등록 ∙ 변경 ∙ 삭제 권한을 한 사람에게 집중 부여하여서는 안되며 사용자 접근권한 변경이력에 대한 감사추적이 될 수 있도록 이력을 기록하여야 한다. - 다만 불가피하게 계정관리 및 권한부여 권한이 한 사람에게 집중될 경우 권한 부여 활동의 적정성을 주기적으로 검토하여야 한다. ㅇ 또한 아웃소싱 업체에게 접근권한 설정 권한을 주는 경우 중요 권한부여 시에는 내부 조직 책임자의 승인을 득하도록 하여야 한다.

10.2.2 관리자 및 특수 권한 관리

정보시스템 및 중요정보 관리 및 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도 통제하여야 한다.

10.2.2.1 관리자 및 특수 권한은 최소한의 인원에게만 부여하고 권한 부여 시 책임자 승인 절차를 수립하고 있는가?

ㅇ 관리자(root, administrator, admin 등 최종권한) 및 특수 권한(배치나 모니터링을 위하여 부여받은 권한, 계정 및 접근 설정 권한 등) 할당 및 사용 시에는 책임자의 승인을 포함한 인가 절차를 따라야 한다.

10.2.2.2 관리자 권한 및 특수 권한을 식별하여 별도 목록으로 관리하고 있는가 ?  

ㅇ 관리자 권한을 식별하여 사용자를 최소한으로 제한하고 관리자 권한의 계정은 별도의 목록으로 관리하는 등 통제절차를 수립하여야 한다. ㅇ 특수 권한은 반드시 필요한 경우에만  할당하도록 하며 특수 권한을 부여 받은 계정은 식별이 가능하도록 관리하여야 한다. ㅇ 정보보호시스템(침입차단시스템 등), 응용프로그램 등의 관리자 계정 또한 특수 목적을 위한 계정으로 인식하고 관리하여야 한다.

10.2.2.3 외부자에게 부여하는 계정은 한시적으로 부여하고 사용이 끝난 후에는 즉시 삭제 또는 정지하고 있는가?

ㅇ 정보시스템 유지보수를 위하여 방문하는 외부자에게 부여하는 계정은 필요시에만 생성하고 유지보수 완료 후 즉시 삭제 또는 정지하는 절차를 적용하여야 한다. (3.2.2 외부자 계약 만료 시 보안 참고)

10.2.3 접근권한 검토

정보시스템 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검하여야 한다.

10.2.3.1 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류 체계를 수립하고 있는가?  

ㅇ 접근권한 분류체계(권한분류표 등)를 마련하여 분류체계를 기반으로 권한부여에 대한 적정성 여부를 검토할 수 있도록 하여야 한다. - 접근권한 분류체계는 직무별 또는 역할별로 구분하여 수립할 수 있다. - 예를 들어 개인정보처리시스템의 경우에는 개인정보처리(조회, 변경, 삭제, 다운로드 등) 권한 구분이 가능하도록 권한관리를 하여야 한다.

10.2.3.2 정보시스템 및 중요정보에 대한 접근권한 검토 기준, 검토주체, 검토방법, 주기 등을 정하여 정기적 검토를 이행하고 있는가?  

ㅇ 다음과 같은 항목을 기준으로 접근권한 부여의 적정성을 검토하여야 한다.  - 공식적인 절차에 따른 접근권한 부여 여부 - 접근권한 분류체계의 업무목적(직무) 및 보안정책 부합 여부 - 접근권한 부여 승인자에 대한 적절성 - 직무변경 시 기존 권한 회수 후 신규업무에 적합한 권한부여 여부 - 업무 목적 이외의 과도한 전급권한 부여 ㅇ 또한 장기 미사용, 직무변경, 휴직, 퇴직, 업무시간 외 사용 등의 경우에도 접근권한 사용 현황을 검토하여 다음과 같은 조치를 취해야 한다. - 장기 미사용(3개월 권고) 계정 및 접근권한 삭제 - 직무변경 시 기존 권한을 회수하고 신규 업무에 적합한 권한을 부여 - 휴직(병가, 출산 등) 시 계정 및 권한 회수 - 퇴직 시 지체없이 계정을 삭제 (단, 계정삭제가 어려운 경우 권한 회수 한 후 계정을 정지) ※ 계정 정지 또는 비활성화를 하는 경우에는 계정 활성화가 불가능하도록 조치 필요 ㅇ 접근권한 검토 기준별로 검토주체, 검토방법, 주기(최소 분기 1회 이상 권고) 등을 구체적으로 정의하여 이행하여야 한다.  ㅇ 접근권한 검토 대상은 개인정보처리시스템 등 서비스 및 업무에 영향을 줄 수 있는 주요 정보시스템 및 정보보호시스템으로 정할 수 있다. (인증기준 4.2.1 보안등급과 취급 참고)

10.2.3.3 접근권한의 검토 결과 접근권한 오남용 등의 이상징후가 발견된 경우 그에 따른 조치절차를 수립 ∙ 이행하고 있는가?  

ㅇ 접근권한 검토 결과 권한의 과다 부여, 오남용 등 의심스러운 상황이 발견된 경우, 원인 분석, 보완대책 마련, 보고체계 등이 포함된 절차를 수립하고 이행하여야 한다.  ㅇ 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지하여야 한다.