09. 접근통제관리지침

inswave-wiki
Wikiadmin (토론 | 기여)님의 2025년 10월 16일 (목) 10:39 판 (새 문서: __NOTOC__ <div style="border:2px solid #888; padding:20px; background-color:#f9f9f9; border-radius:8px;"> == 제1장 총칙 == === 제1조 (목적) === 이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호정책서」에 의거 구성원의 접근통제 관리에 필요한 사항을 규정함을 목적으로 한다. === 제2조 (적용범위) === 이 지침은 회사의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회...)
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 이동 검색으로 이동



제1장 총칙[편집]

제1조 (목적)[편집]

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호정책서」에 의거 구성원의 접근통제 관리에 필요한 사항을 규정함을 목적으로 한다.

제2조 (적용범위)[편집]

이 지침은 회사의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 클라우드컴퓨팅서비스 업무를 수행하는 외부업체 직원 모두에게 적용된다.

제3조 (용어 정의)[편집]

  1. “외부인”이라 함은 「직제규정」에서 정한 “직원”이 아닌 자로서 특정한 업무 수행을 위한 계약에 의해 업무를 수행하는 자를 말한다.
  2. “외부위탁”이라 함은 특정 업무를 외부업체에 위탁하여 처리하는 방식을 말한다.

제2장 접근통제[편집]

제4조 (접근통제 정책)[편집]

  1. 클라우드컴퓨팅서비스 운영 서버, 개발 서버, 정보보호시스템, 이용자 또는 사용자 데이터 등에 대해 다음 각 호의 사항을 고려하여 접근통제 정책을 수립하고 적용하여야 한다.
    1. 접근통제 대상에 따라 접근에 대한 권한과 책임을 명시한다.
    2. 주요 서버 또는 중요 데이터에 접근하는 경우 2-Factor 인증을 고려한다.
    3. 시스템별 계정을 명확히 식별하고 안전한 접근수단을 적용한다.
    4. 원격 접속 구간은 암호화 또는 VPN을 적용한다.
    5. 인증, 암호화, 세션관리, 장기 미사용 잠금 등 클라우드 보안 기준을 준수한다.
    6. 서비스 중요도에 따른 영역 간 접근통제를 적용한다.
  2. 업무상 불가피하게 접근통제 정책을 벗어날 경우, 책임자의 승인 및 접근시간·위치 제한 등 보완대책을 마련해야 한다.
  3. 운영 서버 접근 단말은 IP, MAC으로 제한하고 무선 접근은 차단해야 한다.

제5조 (접근기록 관리)[편집]

  1. 접근기록 생성 대상 시스템을 정의하고 목록화해야 한다.
  2. 접근기록은 서비스 및 업무 중요도를 고려하여 일정 기간 보관해야 한다.
  3. **보관 기간 기준**
    1. 정보시스템: 1년 이상
    2. 개인정보처리시스템(5만명 이상 또는 민감정보): 2년 이상
  4. 접근기록에는 다음 사항을 포함해야 한다.
    1. 접근 주체 정보(계정 등)
    2. 접근 시간
    3. IP 또는 MAC 정보
    4. 수행업무(접근 데이터, 활동 정보 등)
    5. 처리한 정보주체 정보
  5. 개인정보처리시스템 접근기록은 월 1회 이상 점검해야 한다.

제6조 (사용자 등록 및 권한부여)[편집]

  1. 신규, 변경, 삭제 요청 시 사용자 계정 신청서를 작성하여 정보보호 관리자에게 제출한다.
  2. 계정관리자는 승인 후 계정을 생성하고, 서버 관리자계정 관리대장을 관리한다.
  3. 특수권한 관리자는 특수권한 관리자계정 관리대장을 작성·보관한다.
  4. 직무별·역할별·서비스 유형별 접근권한 분류 체계를 수립·관리해야 한다.
  5. 접근 권한은 최소한으로 부여하며, 직무에 따라 차등 적용한다.

제7조 (관리자 및 특수권한 관리)[편집]

  1. 관리자(root, administrator 등) 및 특수권한 계정은 정보보호 최고책임자 승인 후 할당한다.
  2. 대외비 문서로 분류하여 별도 잠금장치가 있는 문서함에 보관한다.
  3. 전자파일로 관리 시 암호화 등 안전한 조치를 취해야 한다.
  4. 외부자에게 접근권한을 부여하는 경우 기간, 위치를 제한하고 업무 종료 후 즉시 삭제해야 한다.

제8조 (접근 권한 검토)[편집]

  1. 서버보안관리자는 정기적으로 계정 및 권한 적정성을 검토해야 한다.
  2. 검토 항목은 다음과 같다.
    1. 인사변경 반영 여부
    2. 장기 미사용 계정 존재 여부(3개월 이상 권고)
    3. 외부자 계정의 관리 상태
    4. 승인 절차 준수 여부
    5. 직무 변경 시 권한 회수 여부
    6. 등록대장과 실제 계정 일치 여부
  3. 검토 결과 이상 발견 시 원인분석, 보완대책 수립 및 보고를 수행해야 한다.

제9조 (사용자 식별)[편집]

  1. 시스템은 사용자를 유일하게 구분할 수 있는 식별자(ID)를 부여해야 한다.
  2. 관리자 계정은 root, admin 등 기본식별자 사용을 제한한다.
  3. 기본계정 또는 시험계정은 변경하거나 통제방안을 마련해야 한다.
  4. 불가피하게 계정을 공유할 경우 승인 후 추가 통제방안을 적용해야 한다.

제10조 (사용자 인증)[편집]

  1. 클라우드 시스템 접근은 로그인 횟수 제한, 불법 로그인 경고 등 안전한 인증 절차를 적용해야 한다.
  2. 공개망 접근 시 OTP, 인증서 등 강화된 인증수단을 적용한다.
  3. 싱글사인온 등 통합인증 사용 시 주요 시스템 재인증 절차를 마련한다.

제11조 (강화된 인증 수단 제공)[편집]

  1. 이용자 요구 시 다중 인증(PKI, OTP, 생체인증 등)을 제공할 수 있는 방안을 마련해야 한다.
  2. 추가 인증 수단: OTP, SMS, 인증서, 이메일 인증코드
  3. 추가 통제방안: IP(국가) 제한, MAC 제한, 브라우저 제한
  4. 외부 접근 시 2-Factor 인증 필수 적용
  5. VPN 등 안전한 접속수단 적용 필수

제12조 (패스워드 관리)[편집]

  1. 다음 기준을 적용해야 한다.
    1. 문자·숫자·특수문자 조합 8자 이상(2종 조합 시 10자 이상)
    2. 분기 1회 이상 변경, 재사용 금지
    3. 생일, 전화번호 등 추측 가능한 패턴 금지
    4. 최초 로그인 시 강제 변경
    5. 입력 시 마스킹 처리
    6. 종이·파일 저장 금지 (부득이 시 암호화 보호)
    7. 침해사고 발생 시 즉시 변경
    8. 자동 로그인 금지
    9. 관리자 패스워드 별도 관리 및 내화금고 보관
    10. 이용자 패스워드 관리 절차를 공지(홈페이지, 이메일 등)

[별지 제1호 서식] 사용자 계정(신규·변경·삭제) 신청서[편집]

구분 내용
신청인 성명 / 부서 / 연락처 / 이메일
신청구분 신규 / 변경 / 삭제 / 공용
신청사유 계정 생성 또는 변경 사유
사용기간 최대 1년
서버명
출발지 IP / 목적지 IP
접근범위 및 권한
승인자 서명 부서장 / 정보보호관리자 / 최고책임자

[별지 제2호 서식] (특수)관리자 계정 신청서[편집]

구분 내용
신청자 이름 / 부서 / 전화 / 이메일
신청구분 신규 / 변경 / 삭제 / 공용
신청사유
서버명
접속자 IP
사용기간 최대 1년
승인자 부서장 / 정보보호관리자 / 최고책임자

[별지 제3호 서식] 서버 관리자계정 관리대장[편집]

No 일자 서버명 서버담당자 IP 용도 사용자 사용자 ID

[별지 제4호 서식] 특수권한 관리자계정 관리대장[편집]

No 계정 사용자 부서 업무목적 대상서버 등록일 ID

[별지 제5호 서식] 접근권한 점검대장[편집]

No 점검기준 점검결과 상세내용
1 공식 절차에 따른 접근권한 부여 여부
2 접근권한 분류체계의 업무목적 부합 여부
3 접근권한 승인자 적절성
4 직무변경 시 권한 회수 여부
5 과도한 권한 부여 여부
6 유휴계정 존재 여부
7 특권계정 사용 적절성

[별지 제6호 서식] 공용계정 관리대장[편집]

No 일자 서버명 서버담당자 IP 용도 사용자 사용자 ID

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=09._접근통제관리지침&oldid=563"