ISMS-P 인증 기준 2.4.3.정보시스템 보호: Difference between revisions

From CS Wiki
(Imported from text file)
No edit summary
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.4.3.정보시스템 보호
!2.4.3.정보시스템 보호
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
|정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
*정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
* 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
*정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
* 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
*전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 정보시스템의 안전한 배치 ====
정보시스템의 중요도, 용도, 특성을 고려하여 배치 장소를 분리하여야 한다.
 
*정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라전산랙을 이용하여 시스템을 외부로부터 보호
*개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리
 
==== 정보시스템 배치도 & 자산목록 최신화 ====
정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하여야한다.
 
*보안사고, 장애 발생 시 신속한 조치를 위한 물리적 배치도(시설 단면도, 배치도 등), 자산목록 관리
*자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본 유지
 
==== 전력 및 통신케이블 물리적 보호조치 ====
전력 및 통신케이블을 물리적 손상 및 전기적 영향으로부터 안전하게 보호하여야 한다.
 
*물리적으로 구분·배선, 식별 표시, 상호 간섭받지 않도록 거리 유지, 케이블 매설 등 조치
*배전반, 강전실, 약전실 등에는 인가된 최소한의 인력만 접근할 수 있도록 접근통제
 
==증거 자료==
 
*정보처리시설 도면
*정보시스템 배치도
*자산목록
 
==결함 사례==
 
*시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
*서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 정보시스템의 중요도, 용도, 특성을 고려하여 배치 장소를 분리하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라전산랙을 이용하여 시스템을 외부로부터 보호
** 개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리
* 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하여야한다.
** 보안사고, 장애 발생 시 신속한 조치를 위한 물리적 배치도(시설 단면도, 배치도 등), 자산목록 관리
** 자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본 유지
* 전력 및 통신케이블을 물리적 손상 및 전기적 영향으로부터 안전하게 보호하여야 한다.
** 물리적으로 구분·배선, 식별 표시, 상호 간섭받지 않도록 거리 유지, 케이블 매설 등 조치
** 배전반, 강전실, 약전실 등에는 인가된 최소한의 인력만 접근할 수 있도록 접근통제
== 증거 자료 ==
* 정보처리시설 도면
* 정보시스템 배치도
* 자산목록
== 결함 사례 ==
* 시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
* 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 21:01, 24 January 2024


개요[edit | edit source]

항목 2.4.3.정보시스템 보호
인증기준 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
주요 확인사항
  • 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
  • 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
  • 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?

세부 설명[edit | edit source]

정보시스템의 안전한 배치[edit | edit source]

정보시스템의 중요도, 용도, 특성을 고려하여 배치 장소를 분리하여야 한다.

  • 정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라전산랙을 이용하여 시스템을 외부로부터 보호
  • 개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리

정보시스템 배치도 & 자산목록 최신화[edit | edit source]

정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하여야한다.

  • 보안사고, 장애 발생 시 신속한 조치를 위한 물리적 배치도(시설 단면도, 배치도 등), 자산목록 관리
  • 자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본 유지

전력 및 통신케이블 물리적 보호조치[edit | edit source]

전력 및 통신케이블을 물리적 손상 및 전기적 영향으로부터 안전하게 보호하여야 한다.

  • 물리적으로 구분·배선, 식별 표시, 상호 간섭받지 않도록 거리 유지, 케이블 매설 등 조치
  • 배전반, 강전실, 약전실 등에는 인가된 최소한의 인력만 접근할 수 있도록 접근통제

증거 자료[edit | edit source]

  • 정보처리시설 도면
  • 정보시스템 배치도
  • 자산목록

결함 사례[edit | edit source]

  • 시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
  • 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)