주요사항

이력 보관(3·5년), 3개월마다 적정성 검토(장기미접속 등), 발견사항 조치절차 수립·이행

인증기준

정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

확인사항

  • 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성·등록·부여·이용·변경·말소 등의 이력을 남기고 있는가?
  • 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
  • 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립·이행하고 있는가?

결함사례

  • 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
  • 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어있으나 6개월 이상 미접속한 사용자의 계정이 활성화 되어 있는 경우(접근권한 검토 가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
  • 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우
  • 로그 보관기간
    • 개인정보의 안전성 확보조치 기준
      • 접속기록: 1년/2년, 월 1회 이상 점검 (제8조제1,2항)
      • 접근권한기록: 3년 (제5조제3항)
    • 개인정보의 기술적·관리적 보호조치 기준
      • 접근권한기록: 5년 (제4조제3항)