2.5 인증 및 권한관리

2.5.1	사용자 계정 관리	정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.
2.5.2	사용자 식별	사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립·이행하여야 한다.
2.5.3	사용자 인증	정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다.
2.5.4	비밀번호 관리	법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립·이행하여야 한다.
2.5.5	특수 계정 및 권한 관리	정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.
2.5.6	접근권한 검토	정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

 

2.5.1 사용자 계정 관리

 

2.5.2 사용자 식별

- 확인사항

정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구
분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?

=> 제조사 기본 계정을 사용하는 경우 사용자 식별 결함

불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검
토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?

- 결함사례

사례 1 : 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조
사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우

사례 2 : 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자
의 승인 등이 없이 사용하고 있는 경우

사례 3 : 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정
처럼 사용하고 있는 경우

 

 

2.5.3 사용자 인증

 

2.5.4 비밀번호 관리

 

2.5.5 특수 계정 및 권한 관리

 

2.5.6 접근권한 검토

- 확인사항 : 

정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성 ․ 등록 ․
부여 ․ 이용 ․ 변경 ․ 말소 등의 이력을 남기고 있는가?

정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토
기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?

접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오 ․ 남용 등
문제점이 발견된 경우 그에 따른 조치절차를 수립 ․ 이행하고 있는가?

=> 내부지침에 따라 6개월 이상 미접속한 사용자의 계정이 활성화된 경우 접근권한 검토 결함