09. 접근통제관리지침 편집하기 (부분)

== 제2장 접근통제 ==

=== 제4조 (접근통제 정책) ===
# 클라우드컴퓨팅서비스 운영 서버, 개발 서버, 정보보호시스템, 이용자 또는 사용자 데이터 등에 대해 다음 각 호의 사항을 고려하여 접근통제 정책을 수립하고 적용하여야 한다.  
## 접근통제 대상에 따라 접근에 대한 권한과 책임을 명시한다.  
## 주요 서버 또는 중요 데이터에 접근하는 경우 2-Factor 인증을 고려한다.  
## 시스템별 계정을 명확히 식별하고 안전한 접근수단을 적용한다.  
## 원격 접속 구간은 암호화 또는 VPN을 적용한다.  
## 인증, 암호화, 세션관리, 장기 미사용 잠금 등 클라우드 보안 기준을 준수한다.  
## 서비스 중요도에 따른 영역 간 접근통제를 적용한다.  
# 업무상 불가피하게 접근통제 정책을 벗어날 경우, 책임자의 승인 및 접근시간·위치 제한 등 보완대책을 마련해야 한다.  
# 운영 서버 접근 단말은 IP, MAC으로 제한하고 무선 접근은 차단해야 한다.  

=== 제5조 (접근기록 관리) ===
# 접근기록 생성 대상 시스템을 정의하고 목록화해야 한다.  
# 접근기록은 서비스 및 업무 중요도를 고려하여 일정 기간 보관해야 한다.  
# **보관 기간 기준**  
## 정보시스템: 1년 이상  
## 개인정보처리시스템(5만명 이상 또는 민감정보): 2년 이상  
# 접근기록에는 다음 사항을 포함해야 한다.  
## 접근 주체 정보(계정 등)  
## 접근 시간  
## IP 또는 MAC 정보  
## 수행업무(접근 데이터, 활동 정보 등)  
## 처리한 정보주체 정보  
# 개인정보처리시스템 접근기록은 월 1회 이상 점검해야 한다.  

=== 제6조 (사용자 등록 및 권한부여) ===
# 신규, 변경, 삭제 요청 시 [[별지 제1호 서식|사용자 계정 신청서]]를 작성하여 정보보호 관리자에게 제출한다.  
# 계정관리자는 승인 후 계정을 생성하고, [[별지 제3호 서식|서버 관리자계정 관리대장]]을 관리한다.  
# 특수권한 관리자는 [[별지 제4호 서식|특수권한 관리자계정 관리대장]]을 작성·보관한다.  
# 직무별·역할별·서비스 유형별 접근권한 분류 체계를 수립·관리해야 한다.  
# 접근 권한은 최소한으로 부여하며, 직무에 따라 차등 적용한다.  

=== 제7조 (관리자 및 특수권한 관리) ===
# 관리자(root, administrator 등) 및 특수권한 계정은 정보보호 최고책임자 승인 후 할당한다.  
# 대외비 문서로 분류하여 별도 잠금장치가 있는 문서함에 보관한다.  
# 전자파일로 관리 시 암호화 등 안전한 조치를 취해야 한다.  
# 외부자에게 접근권한을 부여하는 경우 기간, 위치를 제한하고 업무 종료 후 즉시 삭제해야 한다.  

=== 제8조 (접근 권한 검토) ===
# 서버보안관리자는 정기적으로 계정 및 권한 적정성을 검토해야 한다.  
# 검토 항목은 다음과 같다.  
## 인사변경 반영 여부  
## 장기 미사용 계정 존재 여부(3개월 이상 권고)  
## 외부자 계정의 관리 상태  
## 승인 절차 준수 여부  
## 직무 변경 시 권한 회수 여부  
## 등록대장과 실제 계정 일치 여부  
# 검토 결과 이상 발견 시 원인분석, 보완대책 수립 및 보고를 수행해야 한다.  

=== 제9조 (사용자 식별) ===
# 시스템은 사용자를 유일하게 구분할 수 있는 식별자(ID)를 부여해야 한다.  
# 관리자 계정은 root, admin 등 기본식별자 사용을 제한한다.  
# 기본계정 또는 시험계정은 변경하거나 통제방안을 마련해야 한다.  
# 불가피하게 계정을 공유할 경우 승인 후 추가 통제방안을 적용해야 한다.  

=== 제10조 (사용자 인증) ===
# 클라우드 시스템 접근은 로그인 횟수 제한, 불법 로그인 경고 등 안전한 인증 절차를 적용해야 한다.  
# 공개망 접근 시 OTP, 인증서 등 강화된 인증수단을 적용한다.  
# 싱글사인온 등 통합인증 사용 시 주요 시스템 재인증 절차를 마련한다.  

=== 제11조 (강화된 인증 수단 제공) ===
# 이용자 요구 시 다중 인증(PKI, OTP, 생체인증 등)을 제공할 수 있는 방안을 마련해야 한다.  
# 추가 인증 수단: OTP, SMS, 인증서, 이메일 인증코드  
# 추가 통제방안: IP(국가) 제한, MAC 제한, 브라우저 제한  
# 외부 접근 시 2-Factor 인증 필수 적용  
# VPN 등 안전한 접속수단 적용 필수  

=== 제12조 (패스워드 관리) ===
# 다음 기준을 적용해야 한다.  
## 문자·숫자·특수문자 조합 8자 이상(2종 조합 시 10자 이상)  
## 분기 1회 이상 변경, 재사용 금지  
## 생일, 전화번호 등 추측 가능한 패턴 금지  
## 최초 로그인 시 강제 변경  
## 입력 시 마스킹 처리  
## 종이·파일 저장 금지 (부득이 시 암호화 보호)  
## 침해사고 발생 시 즉시 변경  
## 자동 로그인 금지  
## 관리자 패스워드 별도 관리 및 내화금고 보관  
## 이용자 패스워드 관리 절차를 공지(홈페이지, 이메일 등)