[ISMS-P] 보호대책 요구사항 (2.4 물리 보안)

#보호대책 요구사항 기준

2.4 물리 보안

2.4.1 보호구역 지정

인증기준 : 물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역/제한구역/접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립/이행하여야 한다.

 

확인사항

- 물리적/환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가?

- 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립/이행하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)

- 개인정보 기술적/관리적 보호조치 기준 제8조(물리적 접근방지)

 

증거자료

- 물리적 보안 지침(보호구역 지정 기준)

- 보호구역 지정 현황

- 보호구역 표시

- 보호구역별 보호대책 현황

 

결함사례

1) 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우

2) 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우

---

2.4.2 출입통제

인증기준 : 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.

 

확인사항

- 보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?

- 각 보호구역에 대한 내/외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)

- 개인정보의 기술적/관리적 보호조치 기준 제8조(물리적 접근방지)

 

증거자료

- 출입관리대장 및 출입로그

- 출입 등록 신청서 및 승인 내역

- 출입기록 검토서

- 출입통제시스템 관리하면(출입자 등록 현황 등)

 

결함사례

1) 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하는 경우

2) 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우

3) 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입 카드를 부여하고 있는 경우

---

2.4.3 정보시스템 보호

인증기준 : 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.

 

확인사항

- 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?

- 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?

- 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?

 

증거자료

- 정보처리시설 도면

- 정보시스템 배치도

- 자산목록

 

결함사례

1) 시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인 할 수 없는 경우

2) 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우

---

2.4.4 보호설비 운영

인증기준 : 보호구역에 위치한 정보시스템의 중요도 특성에 따라 온/습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립/운영하여야 한다.

 

확인사항

- 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?

- 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?

 

관련법규

- 정보통신망법 제46조(집적된 정보통신시설의 보호)

- 화재예방, 소방시설 설치유지 및 안전관리에 관한 법률 제9조(특정소방대상물에 설치하는 소방시설의 유지관리 등), 제10조(피난시설, 방화구획 및 방화시설의 유지/관리)

 

증거자료

- 물리적 보안지침(보호설비 관련)

- 전산실 설비 현황 및 점검표

- IDC 위탁운영 계약서, SLA 등

 

결함사례

1) 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우

2) 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있느나, 관련 설비에 대한 운영 및 점검기준을 수립하고 있지 않은 경우

3) 운영지침에 따라 전산실 내에 온/습도 조절기를 설치하였으나, 용량 부족으로 인하여 표준 온/습도를 유지하지 못하여 장애발생 가능성이 높은 경우

---

2.4.5 보호구역 내 작업

인증기준 : 보호구역 내에서의 비인가행위 및 권한 오/남용 등을 방지하기 위한 작업 절차를 수립/이행하고 작업 기록을 주기적으로 검토하여야 한다.

 

확인사항

- 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립/이행하고 있는가?

- 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업기록을 주기적으로 검토하고 있는가?

 

증거자료

- 작업 신청서, 작업 일지

- 통제구역 출입 대장

- 통제구역에 대한 출입기록 및 작업기록 검토내역

 

결함사례

1) 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)

2) 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우

 

2.4.6 반출입 기기 통제

인증기준 : 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립/이행하고 주기적으로 검토하여야 한다.

 

확인사항

- 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립/이행하고 있는가?

- 반출입 통제절차에 따른 기록을 유지/관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)

- 개인정보의 기술적/관리적 보호조치 기준 제8조(물리적 접근방지)

 

증거자료

- 보호구역 내 반출입 신청서

- 반출입 관리대장

- 반출입 이력 검토 결과

 

결함사례

1) 이동컴퓨팅기기 반출에 대한 통제 절차를 수립하고 있으나 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내/외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우

2) 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우

---

2.4.7 업무환경 보안

인증기준 : 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일 서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립/이행하여야 한다.

 

확인사항

- 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립/이행하고 있는가?

- 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유/노출을 방지하기 위한 보호댗ㄱ을 수립/이행하고 있는가?

- 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하고 있는가?

 

관련법규

- 개인정보 보호법 제29조(안전조치의무)

- 개인정보의 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치)

- 개인정보의 기술적/관리적 보호조치 기준 제8조(물리적 접근방지), 제9조(출력/복사 시 보호조치)

 

증거자료

- 사무실 및 공용공간 보안점검 보고서

- 사무실 공용공간 보안점검표

- 미준수자에 대한 조치 사항(교육, 상벌 등)

 

결함사례

1) 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우

2) 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우

3) 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우

4) 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우