접근통제 관리지침은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨
제1조(목적)
이 지침은 주식회사 팀모노리스의 ‘정보보호정책서’에 의거 구성원의 접근통제 관리에 필요한 사항을 규정함을 목적으로 한다.
제2조(적용 범위)
이 지침은 주식회사 팀모노리스의 클라우드 컴퓨팅 서비스 업무에 종사하는 임직원 및 주식회사 팀모노리스와 계약을 맺어 클라우드 컴퓨팅 서비스 업무 외부 업체 직원 모두에게 적용된다.
제3조(용어 정의)
이 지침에서 사용되는 용어 정의는 다음 각 호와 같다.
“접근통제”라 함은 보안 정책에 따라 접근 객체에 대한 접근 주체의 접근 권한 확인 및 접근 제어를 통해 자원에 대한 비인가 사용을 방지하는 기술을 말한다.
“접근기록”이라 함은 DB 접근로그(응용서비스 또는 이용자), DBMS 접근로그(사용자), 접근 로그(RDP, SSH) 등을 말한다.
“정보시스템”이라 함은 서비스 운영에 사용되는 모든 서버, 네트워크 장비를 말한다.
제4조(접근통제 정책)
① 인프라 담당자는 운영·관리 중인 모든 서버는 접근통제가 이루어지도록 한다.
② 인프라 담당자는 운영·관리 중인 서버를 접근통제시스템을 우회하여 접근하지 않도록 하여야 한다.
③ 인프라 담당자는 서버가 정상적으로 동작하지 않는 경우 정상 동작 시까지 사용자의 접근을 제한할 수 있다.
④ 공개된 인터넷 망을 통해 접속하는 포탈의 경우 2차 인증(OTP, SMS 등)을 적용하여야 한다.
⑤ 클라우드 시스템(SaaS 서비스, 가상서버 등)은 일정 시간 이상 사용하지 않는 경우 자동으로 접속을 차단하여야 한다.
⑥ 침해사고 발생 또는 비밀번호 노출 징후가 의심될 경우 정보시스템 비밀번호를 즉시변경하여야 한다.
⑦ 클라우드 시스템(SaaS 서비스, 가상서버 등)은 동일 계정 동시 로그인 차단하여야 한다.
⑧ 개인정보 수정 및 비밀번호 수정 기능 페이지는 본인 인증을 재확인하여야 한다.
제5조(원격 접속 관리)
① 운영·관리 중인 서버는 인프라 담당자 외 모든 원격 접속은 원칙적으로 허용하지 않으며 다만 부득이한 경우 다음 각 호의 사항을 확인하고 정보보호최고책임자의 승인을 득한 경우는 허용할 수 있다.
원격 접속 사용기간
원격 접속 허용 단말기
② 원격 접속 관리를 위하여 통제할 사항은 다음 각 호와 같다.
원격 접속이 필요한 경우 원격 접속 포트만 사용하도록 접근통제하여야 한다.
원격 접속 시는 사용자 인증, 비밀번호 사용기준(자릿수, 변경 주기, 사용기간 등) 및 접근기록 로깅 등의 보안 기능을 적용하여야 한다.
원격 접속에 대한 무결성 및 비밀성 확보를 위해 암호화된 프로그램 또는 가상사설망(VPN)을 적용하여야 한다.
제6조(사용자 계정 관리)
① 인프라 담당자는 사용자 퇴직, 인사이동 등의 사유로 정보보호시스템에 접근할 필요가 없는 경우 사용자의 계정 및 권한을 회수한다.
② 시스템 관련 업무에 사용되는 모든 계정은 공유하여 사용하지 않는다.
제7조(사용자 권한 관리)
① 인프라 담당자는 서버의 정상적인 운용을 방해하거나, 다른 사용자의 사용을 저해하는 등의 행위가 발견되거나 의심이 될 때, 사용자의 권한을 제한 또는 취소하여야 한다.
제8조(사용자 비밀번호 관리)
① 비밀번호 복잡도 기준은 다음과 같이 적용하여야 한다.
② 비밀번호는 분기 1회 이상 변경하여야 한다.
③ 자동로그인을 금지하여야 한다.
④ 5회에 걸쳐 사용자 인증 실패 시 서버 접속을 제한하여야 한다.
⑥ 관리자 패스워드는 별도로 관리하며, 이를 기록한 문서는 비인가자가 접근할 수 없도록 잠금장치된 장소에 보관해야 한다.
제9조(사용자 인증키 관리)
① 클라우드 시스템에 대한 API 접근 시 사용되는 인증키는 분기 1회 이상 변경하여야 한다.
제10조(이용자 비밀번호 관리)
코들 AIDT 서비스는 회원가입, 직접 로그인 등을 제공하지 않으며, AIDT 통합허브 계정 SSO를 통한 로그인만을 제공한다.