🔍 점검 취지 및 해설
■ 할당된 계정 및 접근 권한이 적절한지 주기적으로 검토를 수행하여야 한다.
- 접근통제 관리지침에 접근권한 검토 기준, 검토주체, 검토방법, 검토주기 등에 대한 내용을 포함하여 수립
- 클라우드서비스의 환경변화 또는 관련 직원의 인사 변경(퇴직, 휴직, 전보 등)이 반영되었는지 검토
- 장기간 미사용(3개월 권고) 계정의 존재 여부
- 외부자에게 할당된 계정의 관리 상태 검토
- 계정 및 권한 할당 시 승인 등의 절차 준수 여부 검토
- 직무의 변경 등이 발생한 경우 계정 또는 접근 권한의 회수 및 재할당 검토
- 계정 등록대장과 실 시스템 계정 일치 여부
- 직무 변경 등에 따른 접근권한 승인 내역
- 임시 계정 권한 회수 여부
■ 검토 기준별로 검토주체, 방법, 주기(최소 분기 1회 이상 권고) 등을 정하여 이행하여야 한다.
- 접근통제 관리지침에 접근권한 검토 기준, 검토주체, 검토방법, 검토주기 등에 대한 내용을 포함하여 수립
- 클라우드서비스의 환경변화 또는 관련 직원의 인사 변경(퇴직, 휴직, 전보 등)이 반영되었는지 검토
- 장기간 미사용(3개월 권고) 계정의 존재 여부
- 외부자에게 할당된 계정의 관리 상태 검토
- 계정 및 권한 할당 시 승인 등의 절차 준수 여부 검토
- 직무의 변경 등이 발생한 경우 계정 또는 접근 권한의 회수 및 재할당 검토
- 계정 등록대장과 실 시스템 계정 일치 여부
- 직무 변경 등에 따른 접근권한 승인 내역
- 임시 계정 권한 회수 여부
■ 검토 기준별로 검토주체, 방법, 주기(최소 분기 1회 이상 권고) 등을 정하여 이행하여야 한다.
✍️ 운영 현황 및 증적 기록
작성 완료됨∎ 할당된 계정 및 접근 권한이 적절한지 주기적으로 검토를 수행하여야 한다
∎ 검토 기준별로 검토주체, 방법, 주기(최소 분기 1회 이상 권고) 등을 정하여 이행하여야 한다.
--> 주기적으로 서비스 대상에 대한 접근 이력 및 사용자에 대해 검토 후 CISO의 결재를 득해야 합니다.
부적합을 많이 받는 항목중 하나로, 주로 퇴사자의 접속계정이 남아있거나, 보직이동으로 인해 사용하지 않는 계정이 있는 경우 삭제해야 하며 삭제사유를 포함하여 CSIO 결재를 받아야 합니다.
통상적으로 접근점검대장을 작성하며 해당문서로 내부 결재 시스템을 통해 결재를 받습니다.
또는 별도의 계정관리 솔루션을 이용할 경우 내부 증적로그(audit log)를 첨부하기도 합니다.
* 셈플 문서 첨부
📎 첨부된 증적 파일
내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.
등록된 검토 의견이 없습니다.