주요사항

별도 목록 관리, 신청/승인 절차 수립·이행, 정기적 검토&최소화

인증기준

정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.

확인사항

  • 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립·이행하고 있는가?
  • 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립·이행하고 있는가?

가상자산 사업자 확인사항

  • 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가?

결함사례

  • 정보시스템 및 개인정보처리시스템의 관리자 및 특수 권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우
  • 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성·관리하도록 되어 있으나 이를 작성 관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별 관리되지 않는 경우
  • 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한이 없이 상시로 활성화되어 있는 경우
  • 관리자 및 특수 권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수 권한을 계속 보유하고 있는 경우
  • 특수권한 예시
    • 관리자 권한(Root, Administrator, admin, sys, system, sa 등 최상위 권한)
    • 배치프로그램 실행이나 모니터링을 위하여 부여된 권한
    • 보안시스템 관리자 권한
    • 계정 생성 및 접근권한을 설정할 수 있는 권한 등