ISMS(정보보호관리체계) 인증 기준 2.4.2 출입 통제
2. 보호대책 요구사항 > 2.4 물리 보안 > 2.4.2 출입 통제
| 항목 | 상세내용 | |
| 2.4.2 | 출입 통제 | 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다. |
| 주요 확인사항 | ㆍ보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가? ㆍ각 보호구역에 대한 내ㆍ외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가? |
|
| 관련 법규 | ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제8조(물리적 접근 방지) |
|
● 중요사안
- 각 보호구역별로 출입 가능한 부서, 직무, 업무를 정의하고 출입권한이 부여된 임직원을 식별하여 그 현황을 관리하여야 한다.
> 주요 시설 및 시스템이 위치하고 있는 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제하여야 한다.
> 공식적인 출입절차(출입신청, 책임자 승인, 출입권한 부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등)를 마련하고 인가된 사람만이 출입할 수 있도록 하여야 한다.
> 보호구역에 외부인 출입이 필요한 경우 내부 임직원 출입절차와는 별도의 절차(방문객 출입증 발급 및 패용, 방문장소로 출입권한 제한, 담당자 동행, 출입대장 작성 등)를 마련하여 출입을 통제하여야 한다.
- 각 보호구역 출입의 책임추적성을 확보할 수 있도록 출입기록을 일정기간 보존하고 출입의 적정성을 확인하기 위하여 출입기록(예: 출입관리대장)을 주기적으로 검토하여야 한다.
> 업무 목적에 적합한 출입권한 부여 : 업무 목적에 비해 과도한 출입권한 부여 시 권한 조정, 장기간 미출입 시 권한 회수 등 조치
> 절차에 따른 출입권한 부여 : 보호구역 출입절차에 따른 권한 부여 여부 확인(임의적 출입권한 생성 확인)
> 퇴직자 또는 직무변경자 출입권한 삭제ㆍ조정 및 출입증 회수 : 퇴직자 출입증 회수 및 출입 권한을 삭제, 직무변경에 따른 출입권한 조정
> 업무시간 외 출입 : 일상 업무시간 이외 출입 시 출입사유 확인
> 비인가자의 출입 시도 : 중요한 보호구역인 통제구역의 비인가자 출입시도를 확인하여 그 사유를 확인하고 조치
> 외부자 출입기록 : 유지보수, 비상 시 외부자 출입 적정성 검토 등
- 보호구역 내 반ㆍ출입 통제 정책 및 절차를 수립하고 이행하여야 한다.
- 통제구역 및 제한구역에는 출입통제장치가 설치되어있어야 한다.
● 운영현황
- 제한구역 및 통제구역은 출입통제시스템을 설치하여 사전 인가자만 출입이 가능하며, 출입기록을 보관하고 있음.
- 출입통제시스템을 통한 자동 출입기록과 더하여 출입관리대장을 수기로 작성/유지하고 있음.
- 주기적으로 제한구역 및 통제구역의 출입현황, 매체 반ㆍ출입 현황을 검토하고 책임자에게 보고하고 있음.
● 기록(증적자료)
- 출입관리대장
- 출입통제시스템 출입로그
- 출입기록 검토서
- 매체 반출입 관리대장
- 사무실 보안 점검표