ISMS-P 인증 기준 2.4.7.업무환경 보안
From CS Wiki
- 영역: 2.보호대책 요구사항
- 분류: 2.4.물리 보안
개요[edit | edit source]
항목 | 2.4.7.업무환경 보안 |
---|---|
인증기준 | 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
- 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용기기에 대한 보호대책을 수립·이행하여야 한다.
- 문서고 : 출입인원 최소화, 부서·업무별 출입 접근권한 부여, 출입 이력관리
- 공용PC : 담당자 지정, 화면보호기 설정, 로그인 암호설정, 주기적 패스워드 변경, 중요정보 저장 제한, 백신 설치, 보안업데이트 등
- 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요 문서 방치 금지
- 파일서버 : 부서별·업무별 접근권한 부여, 불필요한 정보공개 최소화, 사용자별 계정 발급
- 공용 사무실 : 회의실, 프로젝트룸 등 공용사무실 내 중요정보(개인정보) 문서 방치 금지
- 기타 공용업무환경에 대한 보호대책 수립
- 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하여야 한다.
- 이석 시 보호조치 : 개인정보 및 개인정보가 포함된 서류와 보조저장매체 방치 금지(클린데스크), 화면 보호기 및 비밀번호 설정 등
- 모니터 및 책상 등에 로그인 정보(비밀번호 등) 노출 금지
- 개인정보 및 중요정보가 포함된 서류 및 보조저장매체는 잠금장치가 있는 안전한 장소에 보관
- 개인정보 및 중요정보가 포함된 서류는 세절기 등을 이용하여 복구되지 않도록 파쇄
- 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 등
- 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하여야 한다.
- 개인 및 공용업무 환경 보안규정 미준수자는 상벌규정에 따라 관리
※ 사무실 보안점검 방안(예시)
- 개인업무 환경 : 정보보호 준수 여부를 자가진단, 주기적으로 관리부서에서 정보보호 준수 여부 점검
- 공용업무 환경 : 공용업무 보호대책 준수 여부를 주기적으로 점검, 미준수 사항은 공지 또는 교육 수행
증거 자료[edit | edit source]
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치)
- 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지), 제9조(출력· 복사 시 보호조치)
결함 사례[edit | edit source]
- 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우
- 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
- 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요 문서가 장기간 방치되어 있는 경우
- 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인 정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)