질문
ITGC 적으로 ERP에 권한 부여시 IT팀이 판단해서 넣어도 문제없을까?
예를들어 주문등록 메뉴가 없는 팀에서 주문등록 권한 달라고 기안를 받았는데
그 기안에는 해당팀장 그리고 IT팀합의만 있는 결재문서를 가지고만 해당 권한을 부여 했을때 문제없을지 문의드립니다.
인사팀 주문등록 관리 권한 요청 기안 -> 인사팀장 결재 -> IT팀장 합의 -> 권한 부여 순
답변
정보시스템의 사용자 권한은 업무수행을 위해 필요한 범위 내에서 최소한으로 부여하는 것이 기본 원칙입니다. 또한, "내부회계관리제도 설계 및 운영 적용사례"에서는 접근권한관리 솔루션 상 권한등록·변경 요청 절차의 사례로 ‘요청서 작성 → 부서장 결재 → 시스템 소유자 또는 정보보안 파트 결재’를 제시하고 있습니다(11-03 보안관리 프로세스에 대한 통제활동 수립). 이 때 요청한 권한이 업무 수행을 위해 반드시 필요한 지를 부서장이 결재 과정에서 확인하는 것이 필수적이며, 질의와 관련하여서는 언급하신 "IT팀장"이 위 적용사례의 시스템 소유자(또는 관련 업무 수행부서)나 정보보안 파트의 역할을 수행할 권한과 지식을 갖추고 있는지 여부에 기초하여 판단하여야 할 것입니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=931&rGotoPage=3&rSchText=&rType=1
게시글 번호: 713