2.5.6 접근권한 검토

1.통제 목적

정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

 

2.주요 확인 사항

• 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용

·변경·말소 등의 이력을 남기고 있는가?

 

• 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
• 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오

·남용등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가?

 

 

3.결함 사례

 

1)접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우

 

2)내부 정책, 지침등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어있으나 6개월 이상 미접속한 사용자의 계정이 활성화 되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)

 

3)접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우