질문
안녕하세요
내부회계감사 관련해 RM팀의 내부감사자가 상시 DB 접근을 위한 ROOT 권한 부여를 요청하는데
정보보안 측면에서는 이는 불가한 부분(운영자가 제공한 데이터만 보거나 감사 시 특이 사항에 대해 운영자가 직접 접근해 데이터를 확인하는 것을 같이 확인하는 형태)인데
내부회계관리제도에서는 위와 같이 감사인 계정을 ROOT로 제공해도 되는 것인지 문의를 드립니다
위와 같이 제공할 경우 로그에는 남겠지만 권한이 큰 계정을 가지고 있어 서비스에 영향이 발생하거나 해당 계정 사용자 PC 등의 해킹으로 인한 위험성 등 위험이 있는 것으로 보여 보안 측면에서 어렵다고 하고자 하나
해당 제도에 대해 잘 몰라 이렇게 질의를 드리게 되었습니다
문의 :
- 감사인 계정에 ROOT 권한 혹은 단순 조회 권한이 아닌 일반 운영자 권한의 상시 부여 가능 여부
감사합니다.
답변
정보시스템에의 접근권한은 허용된 인원에 한하여, 관련 업무를 수행하는 데 필요한 최소한의 범위로 제공하는 것이 원칙입니다.
접근권한의 부여 여부, 권한의 내용과 기간 등은 해당 업무의 필요성과 권한부여에 따른 위험성 등을 종합적으로 고려하여 경영진이 판단할 사항입니다. 본 건의 경우 ‘일반 운영자 권한’의 범위나 기타 회사의 제반사항을 모르는 상태에서 명확한 답변을 드리기 어려우나, 일반적인 원칙에 따르면 꼭 필요한 권한을, 꼭 필요한 인원과 기간으로 한정해서 부여하는 방식을 고려할 수 있을 것으로 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=883&rGotoPage=8&rSchText=&rType=1
게시글 번호: 666