보안접속정보를 본인외에 팀장님, 또는 대표님이 달라고 하는 경우가 있는데
저로서는 참 난감할때가 있습니다.. 회사를 운영하는 분들이지만 보안을 위해서는
아닌것 같은 경우가 있어서요..
보안 규정을 찾아보니 저외에 공유? 하면 안된다는 규정은 안보이는데
선배님들은 어떤 규정이 있는지 조언 부탁드립니다.
다음에도 접속정보를 공유해달라고 하면 이런 이유를 대려고 하는데요
잘될지는 모르겠지만 규정상에 포함해보려고 노력하려고 합니다..
- 개인정보 유출 위험이 있고 필요한 자료가 있으면 직접 뽑아 드릴수 있으나 접속은 못하게 되어 있는게 원칙입니다.
- 규정상 보안관리자외에는 해당 시스템에 다른 사람이 접근하면 안된다. 감사시 문제가 됨
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
11개의 답변이 있습니다.
회사 대표는 권가 있을것 같습니다. 별도의 보안 관리자가 없는한 해당 CIO 도 회사 대표에게 보고를 하게 되니 말입니다,
솔루션상담실 문의나 IT자료실에서 관련 자료를 찾아 보시길 바랍니다.
대표이사가 요청하는 건의 경우 애매하지만, 그 이외에 인원들은 열람 권한을 획득하기 위해서는 별도 규정이 있어야 될 것 같네요.
규정은 만들어 놓으시구요
대표님이나 이사회 결재 받아두세요
원칙적으로 대표라해도 보안권한을 무조건 갖는건 아닙니다 명확히 규정해야지요
최고 오너가 지시하는 작업이라면...
불법이 아니라면 따라야 하지 않을까 싶어 보이네요.
사적인 접속 정보를 달라하는 경우라면 법적으로 문제가 있기 때문에 접근해서는 안되겠지만...
회사 자원에 대한 접속 정보는 당연히 제공하는 게 맞을 것 같은데요.
보안도 회사를 위해서 있는 것이고... 최고 오너가 회사 운영에 대한 문제 상황을 파악하기 위해서 달라고 할 것 같은데...
본인이 확인 가능한 보안 접속 정보에 대한 권한을 본인의 상관에게도 당연히 주어진 권한이 아닐까 하는 생각이고요.
본인이 확인할 수 없는 보안 접속 정보라면 권한이 없어서 할 수 없다고 답변하면 될 것이지만, 본인이 확인 가능한 보안 접속 정보라면 직속 상관이 제공해 달라면 제공해 주는 것이 맞을 것 같네요.
정말 거버넌스, 컴플라이언스가 구축된 큰 조직이 아닌 이상
담당 팀장, 대표님이 요청하면 어떤 규정, 어떤 이유가 있어도 안줄 수 있을까요? ㅎㅎ
그래도 규정에는 언급해놓고 요청 했던 내용은 남겨놓는게 좋지 않을까 생각합니다..
열람의 권한을 절차에 맞게 승인을 하면 되지 않을까 싶어요 !
열람 자체에 권한으로 모호한 대상자의 경우는 절차 상 상위 결재(여기서 말하는 상위 결재는 해당 열람에 대한 기본 승인 절차에 상위 결재자 입니다)를 받아서
책임소재나 열람에 대한 이력을 남겨놓는 걸로 대체 하는 방법으로 추천을 드립니다 !
대표님이 달라고 하면 드려야죠 ㅠㅠ 그래도 혹시몰라서 높은 분들이 요구하시면 꼭 증빙(메일 등)을 남겨둡니다.
CIO가 대표님으로 되어 있거나 보안팀장일건데요
그 외에 접속정보를 확인 할 경우 보안귀책
사항일것 같네요
사기업 아닌가요?
보안, 감사 모두 대표의 책임 아닐까요?
규정상 명확하게 안된다는 것이 없고, 유권해석의 여지가 있다면 상급기관 또는 상급자의 해석에 따르는게 맞지 않을까요?
타인의 접속정보를 공유하는 것은 아니고, 알고 있는것도 안되죠. 단지 누군가에게 귀속되지 않은 접속정보라면 해석에 따르면 될 듯 합니다.
보안팀의 팀장, 그리고 대표이사는 보안에 대해 책임을 지는 관리자이기 때문에
열람의 권한이 있는 것으로 알고 있습니다.
그 외의 다른 부서의 경우나 업무와 관련 없는 부서에서 요청 할 경우는 문제가 될 수 있구요...
해당 되는 내용에 대해서 보안담당자가 모두 책임 지는거는 아니잖아요?
결국은 책임을 질 수 있는 사람은 열람도 할 수 있어야 하지 않을까요?
저희는 대표님이 접속정보를 달라고 하지 않는데~보안팀 또는 담당자만 보게 되어져 있어 보안 규정으로 명시를 하였고 회사도 그렇게 알고 있어 따로 달라고 하지는 않습니다.