ISMS(정보보호관리체계) 인증 기준 2.4.5 보호구역 내 작업

2. 보호대책 요구사항 > 2.4 물리 보안 > 2.4.5 보호구역 내 작업

항목		상세내용
2.4.5	보호구역 내 작업	보호구역 내에서의 비인가행위 및 권한 오ㆍ남용 등을 방지하기 위한 작업 절차를 수립ㆍ이행하고, 작업 기록을 주기적으로 검토하여야 한다.
주요 확인사항		ㆍ정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 절차를 수립ㆍ이행하고있는가? ㆍ보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치), 제12조(재해ㆍ재난 대비 안전조치) ㆍ개인정보의 기술적ㆍ관리적보호조치 기준 제8조(물리적 접근 방지)

 

● 중요사안

- 전산실 및 IDC 등 통제구역에서 작업 수행 시 다음과 같은 작업신청 및 승인, 작업기록 작성 등의 절차를 마련하고 그 기록을 정기적으로 검토하여야 한다.

   > 작업신청 시 관련자(예 : 보호구역 출입통제 담당자, 작업신청부서장 등) 검토ㆍ승인 필요

   > 작업기록에는 작업일자, 작업시간, 작업목적, 작업내용, 작업업체 및 담당자명, 검토자 승인자 등 포함

   > 작업 수행을 위한 보호구역 출입 절차 마련 및 출입기록의 주기적 검토 등

   > 작업 수행을 위한 모바일기기 반출입 및 모바일 기기 안전성 확보 절차(백신 설치 등) 마련

   > 주요 시설 및 시스템이 위치한 통제구역 내 모바일기기(노트북, 스마트기기 등) 사용은 원칙적으로 금지하는 것이 바람직하다. 다만 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용해야 하는 경우 사전 승인 및 모바일 기기의 보안성 검토를 수행한 후 사용하여야 한다.

 

 

● 확인 포인트

- 통제구역 내 출입관리대장을 작성/관리해야 함

- 통제구역 내 확인해야 할 사항을 체크리스트로 작성/관리해야 함

- 외부자 출입 시 반드시 내부 관계자의 동행 또는 기타 보안통제를 따라야 함

 

 

● 운영현황

- 보호구역 내 출입 시 출입관리대장을 작성하고 있으며, 외부임시출입자의 경우 내부 담당자 입회하에 출입하고 있음.

- IDC센터의 출입은 사전 출입등록을 신청하고 승인을 받은 후 센터 출입통제절차에 따라 출입하고 있음.

 

 

● 기록(증적자료)

- 출입관리대장

- 물리적 보안지침

- IDC 위탁운영 계약서