ISMS(정보보호관리체계) 인증 기준 2.4.7 업무환경 보안

2. 보호대책 요구사항 > 2.4 물리 보안 > 2.4.7 업무환경 보안

항목		상세내용
2.4.7	업무환경 보안	공용으로 사용하는 사무용 기기(문서고, 공용PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립ㆍ이행하여야 한다.
주요 확인사항		ㆍ문서고, 공용PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립ㆍ이행하고있는가? ㆍ업무용PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유ㆍ노출을 방지하기 위한 보호대책을 수립ㆍ이행하고 있는가? ㆍ개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제8조(물리적 접근 방지)

 

● 중요사안

- 개인 업무환경에 대해 다음과 같이 보호대책이 명시된 정책 및 지침을 수립하고 이행하여야 한다.

   > 일정시간 자리 이석, 퇴근, 휴가 시 책상 위에 중요문서, 저장매체 방치 금지

   > 중요 문서가 보관된 서랍장, 캐비닛 잠금장치 사용

   > 일정시간 컴퓨터 미사용 시 화면보호기를 설정, 재시작 시 로그인 설정, 장기간 자리 이석 시 컴퓨터 로그오프

   > 안전한 로그인 비밀번호 사용 및 주기적 변경

   > 개인용 컴퓨터 백신 설치, 최신 패치, 공유폴더 설정 제한

   > 개인용 컴퓨터 및 업무시스템 안전한 로그인 비밀번호 사용 및 주기적 변경, 로그인정보(ID, 비밀번호) 노출 금지(포스트잇 기록 부착 등)

   > 중요 정보가 포함된 문서 폐기 시 세절기를 이용한 파쇄 등

- 임직원으로 하여금 개인업무 환경에서의 정보보호 준수여부를 자가진단하게 하고 주기적으로 관리부서에서 정보보호 수준여부를 점검하여야 한다.

   > 개인업무 환경 보안 미준수자는 상벌규정에 따라 관리하여야 한다.

- 개인정보가 저장된 문서(엑셀 등)는 프로그램에서 제공하는 암호설정 기능을 이용하여 암호를 설정하여 안전한 문서로 저장하여야 한다.

- 공용으로 사용하는 사무기기, PC, 파일서버, 문서고 등에 대해 다음과 같은 보호대책을 수립하고 이행하여야 한다.

   > 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요정보문서 방치 금지

   > 공용PC : 일정기간 미사용 화면보호기를 설정, 재 시작 시 로그인 암호설정, 공용패스워드 사용 시 주기적으로 패스워드 변경, 중요정보 저장 제한, 공용PC 사용 후 PC내 저장된 파일은 삭제 후 로그아웃

   > 파일서버 : 파일서버 접근권한을 부서별, 업무별 등으로 부여하여 불필요한 정보공개 최소화, 사용자 별도 접근계정 발급, 공용 PC 보안대책 적용

   > 문서고 : 문서고에 대한 접근권한을 부서별 혹은 업무별로 부여하여 출입가능인원을 최소화하고 CCTV 혹은 출입통제시스템을 설치하여 출입이력 관련

   > 공용 사무실 : 회의실, 프로젝트룸, 화상회의실 등 공용사무실 내 중요정보 문서 방치 금지

   > 기타 공용업무 환경에 대한 보안대책 수립

- 공용업무 환경 보안을 담당하는 관리자를 지정하고 보호대책 준수 여부를 주기적으로 점검하여야 한다. 또한 미준수 사항 발견 시 관련 내용을 임직원들에 대한 교육을 수행하여 주의를 환기시켜야 한다.

   > 복사기 주변 프린트물 방치 발견 시, 주의환기를 통한 재발방지 유도를 위해 관련 내용의 사내메일 등을 통한 공고 등

 

 

● 확인 포인트

- 개인 업무환경에 대한 보안 점검 정책을 수립하고 주기적으로 점검활동을 수행하여야 함

 

 

● 운영현황

- 개인PC 및 사무환경에 대한 보안관리 대책을 수립하고 있음

   > 인가되지 않은 단말의 사내 네트워크 접근을 차단하고 단말 보안 설치를 강제화하고 있음

   > 매월 정보보안 점검의 날을 통해 임직원의 개인 업무환경, 공용 업무환경을 점검하고 그 결과를 책임자에게 보고하고 있음

   > 단말기의 사용목적, 중요도를 토대로 등급을 지정하고 각 보호대책을 적용하는 기준을 수립하고 있음

 

 

● 기록(증적자료)

- 업무환경 보안점검 보고서

- 업무환경 보안점검표

- 정보보안 점검의날 보고서