2.2.1 주요 직무자 지정 및 관리
개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
주요 직무의 기준
- 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
- 중요 정보시스템(서버, 데이터베이스, 응용프로그램 등) 및 개인정보처리시스템(개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템) 운영&관리
- 정보보호 및 개인정보보호 관리 업무 수행
- 보안시스템 운영 등
결함 사례
-
주요 직무자 명단(개인정보취급자, 비밀정보관리자 명단)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자)을 명단에 누락한 경우
-
주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 신규 입사자가 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
-
부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
-
내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
2.2.2 직무 분리
권한 오남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다.
다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
개발과 운영 직무 분리
정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등) 간 운영직무 분리 등
결함 사례
-
조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있찌 않은 경우
-
조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토&승인, 직무자의 책임추적성 확보 등의 보안통제 절차가 마련되어 있지 않은 경우
2.2.3 보안 서약
정보자산을 취급하거나 접근권한이 부여된 임직원/임시직원/외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있또록 업무 특성에 따른 정보보호 서약을 받아야 한다.
결함 사례
-
신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
-
임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우
-
제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
-
개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
2.2.4 인식제고 및 교육훈련
임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 및 교육훈련 계획을 수립&운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
교육 유형 : 임직원 인식제고 교육, 주요 직무자/개인정보취급자 교육, 수탁자 교육 등
결함 사례
-
전년도에는 연간 (개인)정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 (개인)쩡보보호 교육 계획을 수립하지 않은 경우
-
연간 (개인)정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
-
연간 (개인)정보보호 교육 계획에 전 직원을 대상으로 하는 (개인)정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
-
(개인)정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보 자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
-
당해 연도 (개인)정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
-
(개인)정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립/이행하고 있지 않은 경우
2.2.5 퇴직 및 직무변경 관리
퇴직 및 직무변경 시 인사/정보보호/개인정보보호/IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수&조정, 결과확인 등의 절차를 수립 관리하여야 한다.
결함 사례
-
직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
-
최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
-
임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
추가
- 액티브 디렉터리 계정 삭제
Active Directory : 회사 직원들의 계정 정보(id, pw)와 컴퓨터에 대한 정보, 회사에서 강제하는 정책(예: 패스워드 최소 8자리, 30일마다 변경, 5분이상 미사용 시 화면보호기 실행 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스
Active Directory는 일반적인 DB와는 조금 다른 파일타입의 데이터베이스이고, 암호화되어 저장되어 있기 때문에 메모장이나 텍스트 에디터로 열어볼 수 없습니다.
회사 전체 IT시스템에서 사용자에 대한 인증과 권한이 필요한 부분에서는 모두 Active Directory의 정보가 사용됩니다.
도입 시 고려 사항 : Active Directory 도메인 가입
-
회사에서 별도로 DNS를 운영하고 있었다면, Active Directory의 DNS로 마이그레이션 시켜야 합니다.
-
Active Directory 자체가 DNS 기능을 포함하고 있으며, Active Directory에 가입된 모든 클라이언트 컴퓨터들은 Active Directory DNS를 바라보아야 합니다.
2.2.6 보안 위반 시 조치
임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립&이행 하여야 한다.
결함 사례
-
(개인)정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
-
보안시스템(DLP, DB접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우
