권한은 신청과 부여에서 끝나지 않고 사용 기록, 변경 검토, 회수까지 이어져야 책임추적성이 남습니다.
업무상 필요성과 대상 시스템을 먼저 확인합니다.
책임자 승인과 최소권한 기준을 함께 남깁니다.
접근 로그와 변경 이력으로 책임을 추적합니다.
퇴사, 전보, 계약 종료 시 불필요한 권한을 닫습니다.
기존 권한을 그대로 두지 말고 새 직무 기준으로 재승인합니다.
사용자, 역할, 로그를 대조하여 과다 권한을 줄입니다.
권한 관리는 신청, 승인, 부여, 사용, 변경, 검토, 회수를 모두 관리해야 한다.