ISMS-P 인증 기준 2.4.1.보호구역 지정: Difference between revisions
From CS Wiki
(Imported from text file) |
No edit summary |
||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.4.1.보호구역 지정 | !2.4.1.보호구역 지정 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행하여야 한다. | |물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가? | *물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가? | ||
* 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립‧이행하고 있는가? | *물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립‧이행하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 보호구역 지정기준 마련 ==== | |||
물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다. | |||
*접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정 | |||
*보호구역의 용어와 구분은 조직의 환경에 맞게 선택 | |||
<blockquote>'''※ 물리적 보호구역(예시)''' | |||
*'''접견구역''': 외부인이 별다른 출입증 없이 출입이 가능한 구역(예: 접견장소 등) | |||
*'''제한구역''': 비인가 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소(예: 부서별 사무실 등) | |||
*'''통제구역''': 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳(예: 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등) | |||
</blockquote> | |||
==== 보호구역별 보호대책 수립·이행 ==== | |||
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다. | |||
*구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용 | |||
*통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토 | |||
==증거 자료== | |||
*물리적 보안 지침(보호구역 지정 기준) | |||
*보호구역 지정 현황 | |||
*보호구역 표시 | |||
*보호구역별 보호대책 현황 | |||
==결함 사례== | |||
*내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우 | |||
*내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |
Revision as of 08:47, 28 June 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.4.물리 보안
개요
항목 | 2.4.1.보호구역 지정 |
---|---|
인증기준 | 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행하여야 한다. |
주요 확인사항 |
|
세부 설명
보호구역 지정기준 마련
물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다.
- 접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정
- 보호구역의 용어와 구분은 조직의 환경에 맞게 선택
※ 물리적 보호구역(예시)
- 접견구역: 외부인이 별다른 출입증 없이 출입이 가능한 구역(예: 접견장소 등)
- 제한구역: 비인가 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소(예: 부서별 사무실 등)
- 통제구역: 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳(예: 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)
보호구역별 보호대책 수립·이행
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.
- 구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용
- 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토
증거 자료
- 물리적 보안 지침(보호구역 지정 기준)
- 보호구역 지정 현황
- 보호구역 표시
- 보호구역별 보호대책 현황
결함 사례
- 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
- 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)