[보호대책] 2.5.1 사용자 계정 관리

[인증기준]

정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.

 

[관련 법규]

 개인정보 보호법 제29조(안전조치의무)
 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

 

[주요 결함 사항]

□ 사용자 계정 관리 미흡

□ 시스템 Default 계정 사용

□ 사용하지 않는 불필요한 계정 사용

□ 외부 IP로 접속이 가능한 유지보수 업체 계정 존재

 

[조치 사항]

계정관리가 미흡한 일부 정보시스템에 대해 불필요한 계정을 삭제하는 등 계정관리를 강화해야 함