인증기준
- 비인가 접근 통제를 위해 사용자 등록·해지 및 권한 부여·변경·말소 절차를 이행하고, 사용자에게 보안 책임이 있음을 인식시켜야 합니다.
주요 확인사항
- 계정 및 권한 관리에 관한 공식적인 절차를 수립하여 운영하는지 확인합니다.
- 직무별로 최소한의 권한만을 부여하고 있는지 점검합니다.
세부 설명
- 1인 1계정 발급을 원칙으로 하며, 계정 공유를 금지해야 합니다.
- 인사이동 발생 시 지체 없이 권한을 변경하거나 말소해야 합니다.
결함 사례
- 사례 1 : 승인 절차 없이 구두나 이메일로 계정을 생성하여 처리 이력이 없는 경우.
- 사례 2 : 업무상 불필요한 인원에게까지 과도한 접근 권한이 부여된 경우.