인증기준
- 업무 및 중요도에 따라 응용프로그램 접근 권한을 제한하고, 중요 정보 노출을 최소화하도록 구현하여야 합니다.
주요 확인사항
- 업무에 따라 권한을 차등 부여하고 있는지 확인합니다.
- 개인정보의 표시 제한(마스킹) 보호조치가 일관되게 적용되는지 점검합니다.
세부 설명
- 개인정보 검색 시 'Like' 검색을 제한하고 일치검색(Equal) 위주로 구현해야 합니다.
- 관리자 전용 웹페이지는 외부 공개를 차단하고 IP 주소 등으로 접근을 제한해야 합니다.
결함 사례
- 사례 1 : 권한 제어 기능 오류로 열람 권한이 없는 사용자에게 개인정보가 노출되는 경우.
- 사례 2 : 화면상에는 마스킹 처리가 되어 있으나 소스보기를 통해 원본 정보가 확인되는 경우.