ISMS-P인증심사 (보호대책) 2.2.2 직무분리
2024. 6. 24. 00:42ㆍISMS-P 인증
728x90
직무분리는 조직 내에서 업무를 분리하여 각 직무가 서로 독립적으로 수행되도록 하는 것을 의미하며, 직무분리를 통해 내부 통제와 정보보호를 강화할 수 있으며, 내부 공격을 예방하고 정보 자산을 보호하는 데 중요한 역할을 합니다.
※ 주요 직무분리 예시
| 구분 | 담당업무 | 수행 업무 예시 |
| 개발자 (Developer) | 시스템 개발 및 유지보수 | 코드 작성, 테스트, 배포 등 |
| 운영자 (Operator) | 시스템 운영과 관리 | 서버 관리, 네트워크 설정, 백업 등 |
| 정보보호 담당자 (Security Officer) | 정보보호 정책 및 절차를 수립하고 관리 | 보안 감사, 취약점 분석, 보안 교육 등 |
| 시스템 운영자 (System Administrator) | 시스템의 기술적인 측면을 관리 | 서버 관리, 사용자 계정 관리, 보안 패치 적용 등 |
ISMS-P인증심사 (보호대책) 2.2.2 직무분리 인증기준 및 사례
| 항목 | 인증기준 | 주요 확인사항 | |
| 2.2.2 | 직무 분리 | 권한 오∙남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. | 권한 오∙남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? |
| 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가? | |||
권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여 적용하여야 합니다.
- 직무 분리 기준 설정 예시
- 개발과 운영 직무 분리
- 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리
- 정보시스템 및 개인정보처리시스템(서버, 데이터베이스 등) 간 운영직무 분리
- 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리
- 개인정보보호 관리와 개인정보처리시스템 운영직무 분리
- 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등
- 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한 부여
금지(불가피한 경우 보완통제 적용)
조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자 간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 합니다.
- 직무자 간 상호 검토, 상위관리자 승인 등으로 오·남용이 발생하지 않도록 관리
- 개인별 계정 사용, 로그기록 및 감사·모니터링을 통한 책임추적성 확보 등
※ 직무분리 항목 증적자료 예시
- 직무 분리 관련 지침(인적 보안 지침 등)
- 직무기술서(시스템 운영·관리, 개발·운영 등)
- 직무 미분리 시 보완통제 현황
※ 직무분리 관련 결함사례
- 사례 1
: 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우 - 사례 2
: 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
→ 개발/운영 환경에만 국한된 상황인 경우 아래와 같이 " 2.8.3 시험과 운영 환경 분리" 결함구분
※ 유사한 결함사례
| 결함사례 | 인증항목 |
| 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우 | 2.2.2 직무분리 |
| 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우 | 2.8.3 시험과 운영 환경 분리 |
※ 유사한 상황 발생 시 결함 구분방법
| 직무분리 가능 여부에 따라 | 가능함에도 분리가 안된 경우 | 2.2.2 직무분리 |
| 불가능한 상황인 경우 | 1.1.6 자원할당 |
728x90
'ISMS-P 인증' 카테고리의 다른 글
| ISMS-P인증 (보호대책) 2.2.4 인식제고 및 교육훈련(개인정보,금융,가상자산) (0) | 2024.06.26 |
|---|---|
| ISMS-P 인증심사 2.2.3 보안 서약 (0) | 2024.06.25 |
| ISMS-P인증 (보호대책) 2.2.1 주요 직무자 지정 및 관리 (0) | 2024.06.23 |
| ISMS-P 인증 기준 2.1.3 정보자산관리 (정보자산별 보안등급, 자산목록) (0) | 2024.06.20 |
| ISMS-P인증심사 2.1.2 조직의유지관리 (KPI, R&R 용어의미) (1) | 2024.06.20 |