2.10.7 보조저장매체 관리

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.7 보조저장매체 관리

항목		상세내용
2.10.7	보조저장매체 관리	보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립•이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관하여야 한다.
주요 확인사항		ㆍ외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립‧이행하고 있는가? ㆍ보조저장매체 보유현황, 사용 및 관리실태를 주기적으로 점검하고 있는가? ㆍ주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가? ㆍ보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가? ㆍ개인정보 또는 중요정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)

 

● 중요사안

- 보안관점에서 휴대용 저장매체의 사용은 원칙적으로 금지가 타당하다. 다만, 업무상 불가피한 경우에 한해 사용 가능하도록 구매•사용•보관의 관리절차 수립 및 주기적인 현장 점검이 필요하다.
- 특히, 전산실 등 통제•제한구역에 유지보수 업체 엔지니어의 출입 시 반입•반출에 엄격한 제한 및 철저한 관리가 필요하다.
- 휴대용 저장매체를 사용하는 경우, PC/서버에 연결 시 자동실행 기능해지를 통해 악성코드의 유입을 차단해야 한다.

 

● 운영현황

- 매체제어솔루션을 운영하여 보조저장매체 사용을 통제하고 있으며, 업무상 사용이 불가피한 경우에 한하여 사전에 허가된 보안USB의 사용을 일시적으로 허용하고 있음
- 보조저장매체 사용 시 적절한 승인 절차를 수립하고 있음
- 전산실 등 통제구역 내 반입•반출하는 보조저장매체는 악성코드 감염여부 등을 점검하고 관리대장을 작성하고 있음
- 보조저장매체 사용의 이력 및 관리 실태를 주기적으로 점검하고 그 내용을 책임자에게 보고하고 있음

 

● 기록(증적자료)

- 매체제어솔루션 통제 정책 현항
- 보조저장매체 목록
- 보조저장매체 관리대장
- 실태점검 이력
- 사용자 보안관리 지침 문서

 

● 주요 결함사례

- 통제구역 내 휴대용 저장매체 사용 제한 정책을 수립하고 있으나 예외 승인 절차를 준수하지 않거나 주기적인 관리실태 점검을 수행하지 않은 경우
- 개인정보가 포함된 휴대용 저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우
- 휴대용 저장매체 통제 솔루션을 운영하고 있으나 일부 사용자에 대한 적절한 승인 절차 없이 예외정책을 적용하고 있는 경우
- 휴대용 저장매체 관리대장 현행화가 미흡하거나 누락되어 사용 이력을 확인할 수 없거나, 시스템 기록과 관리대장의 기록이 서로 상이한 경우