통제목적

: 각 정보시스템(네트워크장비, 서버, DB, 응용프로그램 등)에 접속하기 위한 공식적인 사용자 등록 및 해지 절차를 수립해야 하며 사용자별 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여해 권한 남용으로 인해 발생할 수 있는 피해를 최소화해야한다.

세부 항목

1. 정보시스템의 사용자 계정 등록 / 삭제(비활성화) 에 관한 공식적인 절차를 수립하고 이행

- 최근 3개월간의 신입 및 퇴사자에 대한 계정 등록 및 삭제 이력이 존재

- 사용자 계정대장과 실제 계정, 관리자 계정이 일치

- 계정 등록시 사용 시작 및 종료일을 등록하여 관리(영구 사용자 등록 시 사유 및 정기적 점검 필요)

2. 접근권한 등록 / 변경 / 삭제에 관한 공식적인 절차를 수립하고 이행

- 개발자 계정 및 DB 사용자등에 과도한 접근권한이 부여되어 있는지 분석

- 모든 권한을 가지고 있는 슈퍼관리자의 행위를 감사할 수 있는 조치 필요(정기적 로그검토 등)

추가 확인사항

- 사용자에게 부여된 접근권한이 실제 업무와 관련이 있는지 확인

- 긴급 상황 등 예외적인 상황 발생 시 사후 승인 흔적이 남아 있는지 확인

- 아웃소싱 업체에게 접근권한을 주는 경우 내부 조직 책임자의 승인 필요

사용자 계정 및 권한 관리

: 사용자 계정 생성 및 삭제는 항상 증적 자료가 남아야 하며 변경 근거가 명확해야 합니다.

Security Life Cycle을 통한 계정 발급 신청 및 권한 변경 절차를 확인해보겠습니다.

1. 계정 발급 신청

: 네트워크팀에 새로 입사한 신입사원에 대한 계정을 인사팀에 요청할 수 있습니다.

계정생성에 필요한 정보는 회사별 양식에 맞는 신청서를 작성해 첨부파일로 전송 가능합니다.

- 계정 발급 요청을 받은 인사팀은 코멘트를 통해 진행상황이나 제한사항을 전달할 수 있습니다.

- 계정 발급 요청을 받은 인사팀은 부서장 승인을 요청한 후 승인되면 네트워크팀에게 계정을 발급해주게 됩니다.

2. 권한 변경 요청

: 업무상 이유나 긴급상황 등 예외상황 발생시 권한 변경을 요청할 수 있습니다.

권한 변경 요청시 과도한 접근권한이 부여되는건 아닌지, 한시적으로만 권한을 활성화하고 있는지 확인해야 합니다.

- 업무상의 이유로 추가 권한이 필요할 시 권한요청 사유가 포함된 신청서와 관련 근거를 기반으로 변경을 요청합니다.

- 부서장 승인 후 권한이 변경되어야 하며 전산팀은 작업 종료 후 유지보수업체 계정 권한이 정상적으로 회수되었는지

확인 요청을 합니다.

- 인사팀에서 확인 후 정상적으로 권한이 회수되었다면 이슈를 완료하게 됩니다.