인증기준
- 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 합니다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 합니다.
주요 확인사항
- 권한 오·남용 예방을 위한 직무 분리 기준 수립 및 적용 여부를 확인합니다.
- 직무 분리가 어려운 경우 상호 검토, 상급자 모니터링, 책임추적성 확보 등 보완통제가 마련되어 있는지 점검합니다.
세부 설명
- 개발과 운영, 정보보호 담당과 모니터링, 관리와 감사 업무 등을 분리해야 합니다.
- 금융회사의 경우 프로그래머와 오퍼레이터, 시스템보안관리자와 시스템프로그래머 등의 직무 분리 법적 요건을 준수해야 합니다.
결함 사례
- 사례 1 : 담당자별 직무 분리가 가능함에도 업무 편의성을 이유로 분리하지 않은 경우.
- 사례 2 : 개발과 운영을 병행하면서 상위관리자의 승인이나 모니터링 등 보완 절차가 없는 경우.