2.5.1. 사용자 계정 관리

정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록· 해지 및 접근권한 부여· 변경· 말소 절차를 수립· 이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다.

 

1. 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록‧변경‧삭제에 관한 공식적인 절차를 수립‧이행하고 있는가?

상세 기준

  - 사용자 및 개인정보취급자별로 고유한 사용자 계정 발급 및 공유 금지

  - 사용자 및 개인정보취급자에 대한 계정 발급 및 접근권한 부여· 변경 시 승인 절차 등을 통한 적절성 검토 

  - 전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소(계정 삭제 또는 비활성화 포함) 

  - 정보시스템 설치 후 제조사 또는 판매사의 기본 계정, 시험 계정 등은 제거하거나 추측하기 어려운 계정으로 변경

  - 사용자 계정 및 접근권한의 등록· 변경· 삭제· 해지 관련 기록의 유지· 관리 등

 

2. 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성‧등록‧변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? 

상세 기준

  - 정보시스템 및 개인정보처리시스템에 대한 접근권한은 업무 수행 목적에 따라 최소한의 범위로 업무 담당자에게 차등 부여

  - 중요 정보 및 개인정보에 대한 접근권한은 알 필요(need-to-know), 할 필요(need-to-do)의 원칙에 의해 업무적으로 꼭 필요한 범위에 한하여 부여

  - 불필요하거나 과도하게 중요 정보 또는 개인정보에 접근하지 못하도록 권한 세분화

  - 권한 부여 또는 변경 시 승인절차 등을 통하여 적절성 검토 등

 

3. 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가?

상세 기준

  - 정보보호 및 개인정보보호 정책, 서약서 등에 계정에 대한 책임과 의무를 명시(타인에게 본인 계정 및 비밀번호 공유 대여 금지, 공공장소에서 로그인 시 주의사항 등)

  - 서약서, 이메일, 시스템 공지, 교육 등 다양한 방법 활용

 

    운영 내역(증적) 예시

 

  • 사용자 계정 및 권한 신청서
  • 사용자 계정 및 권한 관리대장 및 화면
  • 정보시스템 및 개인정보처리시스템별 접근권한 분류표
  • 정보시스템 및 개인정보처리시스템별 사용자, 관리자, 개인정보취급자 목록

 

    ** 인증심사 결함사항 예시 **

 

  1. 사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
  2. 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우
  3. 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우

  4. (CELA)(AWS)클라우드 IAM 서비스 내에 불필요한 계정이 존재하는 경우

  5. (CELA)(AWS)클라우드 시스템 계정을 공유하여 사용하는 경우
  6. (CELA)(AWS)클라우드 EC2의 모든 계정에서 root 계정으로 su가 허용되어 있는 경우

  7. (CELA)(AWS)클라우드 내 IAM, EC2, RDS 등 정보시스템 계정의 신청절차, 승인절차 등의 절차가 운영되지 않는 경우
  8. (CELA)(AWS)IAM 관리자 권한을 최소화로 부여하고 있지 않은 경우
  9. (CELA)중요 시스템(통합계정관리, 서비스 운영 시스템, DBMS 등) 계정 생성 시 관리자 승인 절차 없이 담당자 확인으로 생성한 경우

  10. (CELA)개발 관련 시스템의 계정 및 권한 부여 시 계정별 접근 IP를 지정하지 않고 있는 경우
  11. (CELA)개발 관련 시스템의 장기 미사용 계정에 대한 자동 비활성화 및 권한 회수 절차가 적용되지 않은 경우
  12. (CELA)불필요한 계정이 존재하는 경우 : 장기 미사용자 계정 등

  13. (CELA)최고 관리자 권한이 부여된 계정을 공유하여 사용하는 경우

2.5.2. 사용자 식별

사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립· 이행하여야 한다.

 

1. 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?

상세 기준

  - 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성 확보

  - 계정 공유 및 공용 계정 사용 제한

  - 시스템이 사용하는 운영계정은 일반 사용자의 접근 제한

  - 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함)

  - 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한

 

2. 불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?

상세 기준

  - 업무 분장상 정· 부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여 하고 사용자 계정으로 로그인 후 관리자 계정으로 변경

  - 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경

  - 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받고 책임추적성을 보장할 추가적인 통제방안 적용

 

    운영 내역(증적) 예시

 

  • 정보시스템 및 개인정보처리시스템 로그인 화면
  • 정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록
  • 예외 처리에 대한 승인 내역

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 기술적으로 변경 가능함에도 불구하고 변경하지 않고 사용하고 있는 경우 (개정 23.11.23.)
  2. 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정 처럼 사용하고 있는 경우
  3. 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자 의 승인 등이 없이 사용하고 있는 경우

  4. (CELA)(AWS)클라우드 EC2 기본 계정을 공용 계정으로 사용하는 경우

  5. (CELA)관리자 계정 사용 시 쉽게 추측 가능한(admin, master, 기업명 등) 식별자를 사용하고 있는 경우


2.5.3. 사용자 인증

정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립· 이행하여야 한다.

 

1. 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?

상세 기준

  - 업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련

 

2. 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? (개정 23.11.23.)

상세 기준

 - 안전한 인증수단 적용이란 개인정보처리시스템에 사용자계정과 비밀번호를 입력하여 정당한 개인정보 취급자 여부를 식별·인증하는 절차 이외에 추가적인 인증 수단의 적용을 말함

 - 안전한 인증수단 예시 : 인증서, 보안토큰, 일회용 비밀번호(OTP) 등

 - 개인정보취급자가 정보통신망을 통하여 외부에서 개인정보처리시스템 접속 시 인증수단 적용 관련 법적 요구사항 준수 필요

※ 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템 : 안전한 접속수단(가상사설망(VPN) 등) 또는 안전한 인증수단 적용

     이용자의 개인정보를 처리하는 개인정보처리시스템 : 안전한 인증수단 적용

※ [참고] 외부 접속 시 안전한 인증수단 적용(개인정보의 안전성 확보조치 기준 제6조제2항)

 ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.

(개정 23.11.23.)

 

    운영 내역(증적) 예시

 

  • 정보시스템 및 개인정보처리시스템 로그인 화면
  • 로그인 흿수 제한 설정 화면
  • 로그인 실패 메시지 화면
  • 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)

 

    ** 인증심사 결함사항 예시 **

 

  1. 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디·비밀번호 방식으로만 인증하고 있는 경우
  2. 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해주고 있으며, 로그인 실패 흿수에 대한 제한이 없는 경우

  3. (CELA)(AWS)Admin 권한 사용자에 대한 IP 주소기반의 접근통제가 적용되지 않은 경우

  4. (CELA)(AWS)Admin 권한 사용자에 대한 2-Factor 인증이 적용되지 않은 경우
  5. (CELA)로그인 횟수 제한을 지침에 따라 운영하고 있지 않은 경우

2.5.4. 비밀번호 관리

법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및  고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립· 이행하여야 한다.

 

1. 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립‧이행하고 있는가?

상세 기준

  - 비밀번호 작성규칙 예시(불가피한 경우를 제외하고는 시스템적으로 강제화 필요)

    : 조합 규칙 적용 : 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상, 또는 영문, 숫자, 특수문자 중 3종류 이상을 조합하여 최소 8자리 이상

    : 변경주기 설정 : 비밀번호 유효기간을 설정하여 반기별 1회 이상 변경

    : 추측하기 쉬운 비밀번호 설정 제한 : 연속적인 숫자, 생일, 전화번호 등 추측하기 쉬운 개인정보 및 ID와 비슷한 비밀번호 사용 제한 권고

    : 동일한 비밀번호 재사용 제한 : 비밀번호 변경 시 이전에 사용한 비밀번호 재사용 제한 권고

  - 비밀번호 관리절차 예시

    : 시스템 도입 시 설정된 초기 또는 임시 비밀번호의 변경 후 사용

    : 비밀번호 처리(입력, 변경) 시 마스킹 처리

    : 종이, 파일, 모바일기기 등에 비밀번호 기록· 저장을 제한하고 부득이하게 기록· 저장해야 하는 경우 암호화 등의 보호대책 적용

    : 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경

    : 비밀번호 분실 등에 따른 재설정 시 본인확인 절차 수행

    : 관리자 비밀번호는 비밀등급에 준하여 관리 등

 

2. 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립‧이행하고 있는가?

상세 기준

  - 사용자 및 개인정보취급자 비밀번호 작성규칙을 참고하되, 서비스의 특성 및 민감도 등을 고려하여 적절한 수준에서 비밀번호 작성규칙 적용

  - 비밀번호 분실, 도난 시 본인확인 등을 통한 안전한 재발급 절차 마련 등

 

3. 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가? (개정 23.11.23)

상세 기준

 - 개인정보취급자 또는 정보주체의 인증수단으로 비밀번호를 사용할 경우 안전한 비밀번호 작성규칙을 수립·적용

 - 비밀번호 외의 인증수단(인증서, PIN, 생체인식, 보안토큰 등)을 사용할 경우 해당 인증수단이 비인가자에게 탈취되거나 도용되지 않도록 보호대책 적용

 ※ [참고] 개인정보취급자 또는 정보주체의 인증수단 적용·관리(개인정보의 안전성 확보조치 기준 제5조제5항)

  ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다. 

(개정 23.11.23.)

 

    운영 내역(증적) 예시

 

  • 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
  • 비밀번호 관리 정책 및 절차

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우
  2. 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하는 경우
  3. 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우
  4. 비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우 (개정 23.11.23.)

  5. (CELA)(AWS)클라우드 IAM 계정에 대한 비밀번호 작성규칙이 적용되지 않은 경우

  6. (CELA)비밀번호 설정 파일에 대한 접근을 최소화로 관리하고 있지 않은 경우


2.5.5. 특수 계정 및 권한관리

정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다. 

 

1. 관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립‧이행하고 있는가?

상세 기준

  - 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수목적을 위한 계정 및 권한 유형 정의

    ※ 특수 권한(예시)

      - 관리자 권한(Root, Administrator, admin, sys, system, sa 등 최상위 권한)

      - 배치프로그램 실행이나 모니터링을 위하여 부여된 권한

      - 보안시스템 관리자 권한

      - 계정 생성 및 접근권한을 설정할 수 있는 권한 등

  - 특수 계정 및 권한이 필요한 경우 공식적인 절차에 따라 신청 및 승인이 이루어질 수 있도록 ‘특수 계정· 권한 발급· 변경· 해지 절차를 수립· 이행

  - 특수 계정· 권한을 최소한의 업무 수행자에게만 부여할 수 있도록 일반 사용자 계정· 권한 발급 절차 보다 엄격한 기준 적용(임원 또는 보안책임자 승인 등)

 

(가상자산사업자) 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가?

상세 기준

  - 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별

 

2. 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 별도 목록으로 관리하는 등 통제절차를 수립‧이행하고 있는가?

상세 기준

  - 특수권한자 목록 작성· 관리

  - 특수권한자에 대해서는 예외조치 최소화, 모니터링 강화 등의 통제절차 수립· 이행

  - 정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용

  - 특수권한자 현황을 정기적으로 검토하여 목록 현행화

 

    운영 내역(증적) 예시

 

  • 특수권한 관련 지침
  • 특수권한 신청·승인 내역
  • 특수권한자 목록
  • 특수권한 검토 내용

 

    ** 인증심사 결함사항 예시 **

 

  1. 정보시스템 및 개인정보처리시스템의 관리자 및 특수 권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우
  2. 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한이 없이 상시로 활성화되어 있는 경우
  3. 관리자 및 특수 권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수 권한을 계속 보유하고 있는 경우
  4. 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별·관리되지 않는 경우

2.5.6. 접근권한 검토

정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록· 이용· 삭제 및 접근권한의 부여· 변경· 삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다.

 

1. 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성‧등록‧부여‧이용‧변경‧말소 등의 이력을 남기고 있는가? (개정 23.11.23.)

상세 기준

  - 사용자 계정 및 접근권한에 대한 내역은 책임추적성을 확보할 수 있도록 필요한 사항을 모두 포함하여 기록

    : 계정· 접근권한 신청정보: 신청자 또는 대리신청자, 신청일시, 신청목적, 사용기간 등

    : 계정· 접근권한 승인정보: 승인자, 승인 또는 거부 여부, 사유 및 일시 등

    : 계정· 접근권한 등록정보: 등록자, 등록일, 등록방법(결재시스템 연동, 수작업 등록 등)

    : 계정· 접근권한 정보: 대상 시스템명, 권한명, 권한 내역 등

  - 접근권한 기록은 법적 요구사항 등을 반영하여 일정기간 동안 보관

    :「개인정보 보호법」에 따른 개인정보처리자  최소 3년간 보관

    :「개인정보 보호법」 특례조항에 따른 정보통신서비스 제공자 등 최소 5년간 보관 (개정 23.11.23.)

 

2. 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?

상세 기준

  - 접근권한 검토 주체, 방법, 기준 주기(최소 분기 1회 이상 권고), 결과보고 등 검토 절차 수립

    ※ 접근권한 부여의 적정성 검토 항목(예시)

      - 공식적인 절차에 따른 접근권한 부여 여부

      - 접근권한 분류체계의 업무목적 및 보안정책 부합 여부

      - 접근권한 승인자의 적절성

      - 직무변경 시 기존 권한 회수 후 신규 업무에 대한 적절한 권한 부여 여부· 업무 목적 외 과도한 접근권한 부여 여부

      - 특수권한 부여· 변경· 발급 현황 및 적정성

      - 협력업체 등 외부자 계정· 권한 발급 현황 및 적정성

      - 접근권한 신청· 승인 내역과 실제 접근권한 부여 현황의 일치 여부

      - 장기 미접속자 계정 현황 및 삭제(또는 잠금) 여부

      - 휴직, 퇴직 시 지체 없이 계정 및 권한 회수 여부 등

 

3. 접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오· 남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립‧이행하고 있는가?

상세 기준

  - 접근권한 검토 결과 권한의 과다 부여, 절차 미준수, 권한 오· 남용 등 의심스러운 상황이 발견된 경우 소명요청 및 원인분석, 보완대책 마련, 보고체계 등이 포함된 절차 수립· 이행

  - 접근권한 검토 후 변경 적용된 권한에 대해서는 사용자 및 관련자에게 통지

  - 유사한 문제가 반복될 경우 근본 원인 분석 및 재발방지 대책 수립

 

    운영 내역(증적) 예시

 

  • 접근권한 검토 기준 및 절차
  • 접근권한 검토 이력
  • 접근권한 검토 결과보고서 및 후속조치 내역

 

    ** 인증심사 결함사항 예시 **

 

  1. 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
  2. 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어있으나 6개월 이상 미접속한 사용자의 계정이 활성화 되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)
  3. 접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우

  4. (CELA)(AWS)계정 별 패스워드 및 액세스키의 변경관리가 미흡한 경우 : 변경 주기가 지났거나 변경 주기가 없는 경우

  5. (CELA)(AWS)장기 미사용 계정이 존재하며 계정 및 권한에 대한 정기적인 검토를 하지 않는 경우
  6. (CELA)위탁범위가 변경된 수탁사의 계정 및 접근권한에 대한 검토 절차가 존재하지 않거나 검토가 수행되지 않은 경우

  7. (CELA)서버 접근시 개인 식별이 어려운 그룹계정을 공용으로 사용하여 접근권한 검토가 불가하고, 책임 추적성이 확보되지 않은 경우
  8. (CELA)인사 이동 이후에도 관리자 권한이 회수되지 않은 경우