ISMS-P 인증 기준 2.4.5.보호구역 내 작업 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]]
== 개요 ==

{| class="wikitable
!항목
!2.4.5.보호구역 내 작업
|-
| style="text-align:center"|'''인증기준'''
|보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다.
|-
|'''주요 확인사항'''
|
* 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립‧이행하고 있는가?
** (가상자산사업자) 월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립·이행하고 있는가?
* 보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
|}

== 세부 설명 ==

* 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다.
** 작업절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
** 작업기록 : 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
** 통제방안 : 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
* 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하여야 한다.
** 작업검토 : 사전 승인 내역, 출입기록, 작업 기록 등에 대한 정기적 검토 수행 등
** 검토방법 : 출입 신청서와 출입 내역(관리대장, 시스템 로그 등) 일치성 등
== 증거 자료 ==
* 작업 신청서, 작업 일지
* 통제구역 출입 대장
* 통제구역에 대한 출입기록 및 작업기록 검토 내역
== 결함 사례 ==
* 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호 구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
* 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)