- 영역: 2.보호대책 요구사항
- 분류: 2.4.물리 보안
개요[edit | edit source]
항목 | 2.4.5.보호구역 내 작업 |
---|---|
인증기준 | 보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
- 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다.
- 작업절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
- 작업기록 : 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
- 통제방안 : 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
- 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하여야 한다.
- 작업검토 : 사전 승인 내역, 출입기록, 작업 기록 등에 대한 정기적 검토 수행 등
- 검토방법 : 출입 신청서와 출입 내역(관리대장, 시스템 로그 등) 일치성 등
증거 자료[edit | edit source]
- 작업 신청서, 작업 일지
- 통제구역 출입 대장
- 통제구역에 대한 출입기록 및 작업기록 검토 내역
결함 사례[edit | edit source]
- 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호 구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
- 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)