[ISMS-P] 책임추적성 확보가 필요한 인증기준
by
딸둘아비
·
2025년 03월 21일
- 2.2.2 직무 분리
조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자 간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.
- 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리
- 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등
- 2.4.2 출입통제
보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
- 2.4.5 보호구역 내 작업
정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다.
- 작업 절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
- 작업 기록 : 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
- 통제 방안 : 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
- 2.5.2 사용자 식별
정보시스템 및 개인정보처리시스템에 대한 사용자 등록 시 사용자 및 개인정보취급자별로 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 한다.
- 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보
- 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받고 책임추적성을 보장할 추가 통제방안 적용
- 2.5.6 접근권한 검토
정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남겨야 하고, 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록해야 한다
- 계정·접근권한 신청정보 : 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등
- 계정·접근권한 승인정보 : 승인자, 승인 또는 거부 여부, 사유 및 일시 등
- 계정·접근권한 등록정보 : 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)
- 계정·접근권한 정보 : 대상 시스템명, 권한명, 권한 내역 등
- 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 이상 보관: 「개인정보 보호법」에 따른 개인정보처리자는 최소 3년간 보관
- 2.8.3 시험과 운영 환경 분리
조직 규모가 매우 작거나 인적 자원 부족, 시스템 특성 등 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하여야 한다.
- 직무자 간 상호검토
- 변경 승인
- 상급자의 모니터링 및 감사
- 백업 및 복구 방안, 책임추적성 확보 등
- 2.10.1 보안시스템 운영
보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립·이행하여야 한다.
- 책임추적성을 확보할 수 있도록 보안시스템 정책 신청·승인·적용 기록 보존
- 3.3.1 개인정보 제3자 제공
제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.
- 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치
- 전송구간에서의 도청을 방지하기 위한 암호화 조치
- 책임추적성을 확보할 수 있도록 접속기록 보존 등
Tags: IT zest > ISMS-P 인증심사원
You may also like...
