안녕하신지요 선배님들
제가 지방출자출연기관에서 사내 시스템을 운영 중인데요
사용자 계정 관리에 대해 문의드리고 선배님들 관리 방법도 알고 싶습니다
지금은 메일이나 전화, 구두로 계정 생성이나 권한 변경해달라고 하면 관리자 계정을 생성해주고 있습니다
퇴사자에 대한 정보는 받지도 못하고 그룹웨어를 보고 주기적으로 삭제하고 있습니다
문서를 통해서 업무, 사용기간 등에 대한 정보를 받고서 권한을 부여해주는게 맞다고 생각이 드는데
-사용자 계정 관리를 위한 법적 근거가 있을까요?
(제가 타 카페에 문의하니 ITGC를 말씀해주시던데 이거 말고 법이나 지침, 가이드 등이 있을까요?)
-업무가 바뀔 때는 어떻게 권한 변경을 해주시는지도 궁금?(변경될 때마다 문서를 받아야 하는지도 고민)
-퇴사자가 발생한 경우는 어떻게 퇴사자 정보를 받아 계정 관리하시는지 알고 싶네요?
+생성 요청 양식도 보내주시면 복받으실거고요
문의가 많아 죄송하고 답변좀 주세요ㅜㅜ
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
13개의 답변이 있습니다.
사용자계정 관리에 대한 법적 근거는 없고,
사용자계정보다는 그 계정에 대한 권한으로 보통 보안정책을 만들곤 합니다.
계정은 문제가 되진 않는데, 그 계정이 가지고 있는 권한(관리자 등등)으로 언제 어디서 접속해서 뭘 했는지등에 관한 로그를 남겨야 되는등 그거에 관한건 ISMS나 ISO27001 이나 다 있는데, 사용자계정을 어떻게 관리한다에 대한 건 없습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입선배님들 답변 참고할게요@.@
이 회사가 규정,지침 같은게 없어가지고/.// 기회가 된다면 만들어볼게욥,,
답변주셔서 감사해요!!
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입내부 관련 지침, 규정 등이 마련되어 있지 않다면,
간단하게 KISA, 개인정보보호 위원회 등 정부부처의 지침을 참고해 보는 것도 추천합니다.
검토해보고 참고하여 내부 지침, 규정 등을 만들어 운영하기를 권장합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입회사 규정이 따로 없다면 만들어서 운용을 하시는게 더 빠를듯 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입회사 사규로 관리하면 될거 같은데요.
입사와 퇴사시에 관련된 사규를 제정 하시고
사규에 따라서 처리하시면 될거 같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입솔루션을 도입하면 관리와 운영 측면에서 도움이 될것 같아요
사내 내규나 기관 내규가 있으니 해당 내용 확인 하시면 되구요
솔루션이 필요하시거나 기능적이 측명을 확인 하고 싶으시면
관련 업체를 통해 문의 해보세요
개발사-제품명
솔루션 기능
계정관리
접근통제
특징
<넷엔드
-HIWARE>
-시스템/DBMS/AD 계정관리
-패스워드 정책 관리
-퇴직자/휴먼/불법 계정 탐지
-서버/DBMS/NW/보안장비
지원
-사용자 인증 강화(LDAP, OTP,
PKI 등)
-DBMS 쿼리 통제, 시스템
명령어 통제
-보안위협 사전 탐지 및 차단
-클라우드 환경에서 기존
레거시 환경과 동일한 수준의
보안관리 지원
-국내 최초 AI선제 대응형
보안 관리
<IBM
-Security Secret Server>
-동기화 기능을 통한
계정관리시스템 계정과
시스템 계정정보 정합성 유지
-주기적인 패스워드 강제 변경
-서버와 계정관리서버 간의
암호화 통신
-역할 및 요청 기반 접근 통제
-사용자 UI접근에 대한
2Factor 인증
-키 인증 방식의 SSH 프로토콜
접근 지원
-외부 원격 접속 프로그램 연동
-Agent less 방식의 운영 지원
-Qradar, Splunk 등 SIEM/ESM
기본 연동
-Secret Server에 한번의
인증으로 여러 서버
동시 접근 가능
<피앤피시큐어
-DBSAFER>
-신청서 기반 Work-flow 지원
-인사정보 변동시 계정 발급 및
회수 자동화
-모든 IT 인프라 계정을
통합계정 권한 관리
시스템으로 관리
-복합인증 및 신청 시스템 통한
접근제어
-위험 명령어 통제
(일부 예외 허용)
-Hypervisor-Cloud 지원
-복합인증을 시스템 접근에
적용
-자사 서버보안 제품과
연계 가능
<엘에스웨어
-Omni-IM>
-이기종 서버 동시 계정생성,
변경, 삭제 가능
-이기종 OS 및 DBMS 계정
관리 수행
-그룹별 일괄 보안 정책
-서버, 그룹, 서비스, IP별
접근제어
-위험 명령어 사용 추적
-세션 replay 기능, 세션 조회
및 관리
-전사적 자원관리, 내부결재,
업무메일 등 사내 기간계
시스템 연동을 지원
<휴네시온
-NGS V.70>
-사용자 IP별, MAC별 접근제한
-휴면,삭제 사용자 계정 관리
-일회용 root 패스워드 발급
-Black/Whitelist 기반 실시간
명령어 통제
-NGS 우회 접속 시도 탐지 및
알림
-접속현황, 이벤트 등 실시간
모니터링
-명령어 내역 저장, 작업내용 동
영상 저장
-관리 시스템 보안 취약점
점검 기능 제공
-다양한 클라이언트, 개발툴
지원
-서버보안, 계정관리,
DB접근제어 통합 제공
-KT클라우드 마켓플레이스
입점
<에스지앤
-SecureGuard>
-사용자 계정, 그룹, 조직도
바탕 정책 수립
-사용자(계정) 수집 및 배포
-실시간 모니터링 통한
위험 요소 사전 제거
-2-Factor 인증, 모바일 OTP
제공
-윈도우 서버 스냅샷 감사 기록
-업계 유일의 SOCKS5 표준
프로토콜 사용, 네트워크
환경 변화 없이 시스템 구축
-국가정보자원관리원 2만여
시스템의 접속에 대한
인증 및 접근 통제
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입화사에서 규칙을 정하시면 됩니다.
아니면 위 관리자가 있으시면 게정관리 방안을 논의하시어 내부 결제를 통해 공지하시기 바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입회사 내규로 반영해서 계정 생성/삭제 시 해당팀/인사팀 보안담당자 결재 승인 후 생성/삭제 하시는건 어떠실까요?
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입ID 관리는 법적인 내용은 찾아 보기 힘드네요...
내부 관리 지침을 만들어서 적용을 해 보는것도 방법일 듯 합니다.
퇴사자에 대해서는 대부분 인사팀에서 매월 퇴사자 정보를 IT 관련 부서에 통보를
해주게끔 협조를 하고 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입근무하시는 곳이 지자체 산하 기관 또는 단체이신듯 하네요.
행안부 규정 및 법률이 적용되는 기관인지는 모르겠으나, 통상 상급기관 규정을 참고하시는게 안전하실거에요.
"행정안전부 정보보안지침" 에 의하면 아래와 같은 조항도 있으니 참고하시구요..
소속기관이 적용대상에 들어갈수도 있고요. 일반적으로 이런 내용들을 토대로 한 내부 지침 서류가 이미 있던가, 아니면 있어야 할겁니다.
① 분임정보보안담당관은 개별사용자에게 소관 정보통신망 또는 공용(公用) 정보시스템의 접속에 필요한 사용자 계정(아이디)을 부여하고자 할 경우 다음 각 호에 해당하는 사항을 준수하여야 한다.
1. 개별사용자별 또는 그룹별 접근권한 부여
2. 외부인에게 계정을 부여하지 아니하되 업무상 불가피한 경우 기관의 장 책임 하에 보안조치 후 필요한 업무에 한하여 일정기간 동안 접속 허용
3. 특별한 사유가 없는 한 용역업체 인원에게 관리자 계정 부여 금지
4. 비밀번호 등 식별 및 인증 수단이 없는 사용자 계정은 사용 금지
② 시스템관리자는 개별사용자가 시스템 접속(로그온)에 5회 이상 실패할 경우 접속이 중단되도록 시스템을 설정하고 비(非)인가자의 침입여부를 점검하여야 한다.
③ 시스템관리자는 개별사용자의 보직변경, 퇴직, 계약종료 등 변동사항이 발생할 경우 신속히 사용자 계정을 삭제하거나 부여된 접근권한을 회수하여야 한다.
④ 시스템관리자는 사용자 계정 부여 및 관리의 적절성을 연 2회 이상 점검하고 그 결과를 정보보안담당관에게 통보하여야 한다
⑤ 시스템관리자는 제1항 및 제3항에 따른 접근권한 부여, 변경, 회수 또는 삭제 등에 대한 내역을 기록하고 3년 이상 보관하여야 한다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입법적인 근거로는 개인 정보 보호법, 정보 통신망 법 등에서 시스템을 안전하게 관리해야 한다는 내용으로 되어 있는 것 이외에 구체적으로 계정 관리를 특정해서 명시되어 있는 내용은 없는 걸로 알고 있고요.
회사 내부 지침, 내부 규정으로 정해서 관리하는게 맞을 것 같네요.
계정 권한을 수시 변경하거나 계정을 긴급하게 추가 하는 것은 가급적 지양하는 것이 좋을 것 같고요.
인사 부서 등의 협의를 통해 미리 계획하에 처리할 수 있도록 규정화하는 게 좋겠고...
혼자서 모든 일을 처리하는 것 보다는 정/부 담당자를 두어서 정 담당자가 없을때는 부 담당자가 일을 처리하도록 정해 둘 필요도 있어 보이네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입근거를 남기시는게... 문서나 메일로.. 아니면 자체 업무 규정을 만들어 양식지에 맞게 신청 하라고 하시는게?
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입사용자 ID 관리에 대해 법으로 지정된 것은 없습니다.
ITGC든 ISO든 말그대로 표준 가이드 라인으로 권고하는 사항이고
인증 심사, IT 감사 시 이런 표준 가이드에 따라 미흡할 때 개선/권고 사항이 되는 것이죠.
공공기관의 경우 정부에서 관리 규정,지침 만들어서 모든 공공기관에서 지키게 정해놓았습니다.
민간의 경우 이런 가이드를 참조해서 사내 규정을 만들어서 규정을 따르든
수작업으로 관리하든 자율적이죠.
사용자 ID/권한 관리는 기본적인 프로세스이니 규정을 만들어서 운영하시는게 좋을듯 합니다.
관련 규정/지침은 인터넷에 많이 공유되어 있으니 참고해서 회사에 맞게 수정하시면 될듯 합니다.
참고 자료는 쪽지로 드렸어요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입