ISMS-P 인증 기준 2.4.2.출입통제: Difference between revisions

From IT Wiki
(Imported from text file)
(정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.))
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.4.2.출입통제
!2.4.2.출입통제
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
|보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
*보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
* 각 보호구역에 대한 내‧외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
**(가상자산사업자) 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가?
*각 보호구역에 대한 내‧외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
**(가상자산사업자) 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고 하고 있는가?
|-
|'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 보호구역별 출입통제 절차 마련, 출입 인원 현황 관리 ====
보호구역별로 허가된 자만이 출입할 수 있도록 내·외부자 출입통제 절차를 마련하고, 출입 가능한 인원 현황을 관리하여야 한다.
 
*보호구역별로 출입 가능한 부서·직무·업무를 정의, 출입권한이 부여된 임직원을 식별하고 그 현황을 관리
*통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제
*출입절차 : 출입신청, 책임자 승인, 출입권한 부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등
*출입통제 장치 설치 : 비밀번호 기반, ID카드 기반, 생체정보 기반 등
*출입통제 절차 수립·운영 : 출입자 등록·삭제, 출입권한 관리, 방문자 관리, 출입대장 관리 등
 
==== 보호구역 출입기록 보관 및 권한 검토 ====
각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고, 출입기록 및 출입권한을 주기적으로 검토하여야 한다.
 
*출입기록을 일정기간 보존하여 사후 모니터링이 가능하도록 문서적 또는 전자적으로 보존
*출입기록 및 출입권한 검토 : 장기 미출입자, 비정상적인 출입 시도, 출입권한 과다부여 여부 등
*비인가자 출입 시도, 장기 미출입자 등을 확인하여 그 사유를 확인하고 조치
*주기적 검토를 통하여 퇴직자 출입증 회수 및 출입권한 삭제, 직무변경에 따른 출입권한 조정
*시스템적으로 출입로그를 남길 수 없는 경우 출입대장을 작성하여 출입기록 확인
 
==증거 자료==
 
*출입 관리대장 및 출입로그
*출입 등록 신청서 및 승인 내역
*출입기록 검토서
*출입통제시스템 관리화면(출입자 등록 현황 등)
 
==결함 사례==
 
*통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우
*전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
*일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 보호구역별로 허가된 자만이 출입할 수 있도록 내·외부자 출입통제 절차를 마련하고, 출입 가능한 인원 현황을 관리하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 보호구역별로 출입 가능한 부서·직무·업무를 정의, 출입권한이 부여된 임직원 식별하고 그 현황을 관리
** 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제
** 출입절차 : 출입신청, 책임자 승인, 출입권한 부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등
** 출입통제 장치 설치 : 비밀번호 기반, ID카드 기반, 생체정보 기반 등
** 출입통제 절차 수립·운영 : 출입자 등록·삭제, 출입권한 관리, 방문자 관리, 출입대장 관리 등
* 각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고, 출입기록 및 출입권한을 주기적으로 검토하여야 한다.
** 출입기록을 일정기간 보존하여 사후 모니터링이 가능하도록 문서적 또는 전자적으로 보존
** 출입기록 및 출입권한 검토 : 장기 미출입자, 비정상적인 출입 시도, 출입권한 과다부여 여부 등
** 비인가자 출입 시도, 장기 미출입자 등을 확인하여 그 사유를 확인하고 조치
** 주기적 검토를 통하여 퇴직자 출입증 회수 및 출입권한 삭제, 직무변경에 따른 출입권한 조정
** 시스템적으로 출입로그를 남길 수 없는 경우 출입대장을 작성하여 출입기록 확인
== 증거 자료 ==
* 출입 관리대장 및 출입로그
* 출입 등록 신청서 및 승인 내역
* 출입기록 검토서
* 출입통제시스템 관리화면(출입자 등록 현황 등)
== 결함 사례 ==
* 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입 기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우
* 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
* 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 19:12, 28 January 2024


개요[edit | edit source]

항목 2.4.2.출입통제
인증기준 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
주요 확인사항
  • 보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
    • (가상자산사업자) 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가?
  • 각 보호구역에 대한 내‧외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
    • (가상자산사업자) 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고 하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)

세부 설명[edit | edit source]

보호구역별 출입통제 절차 마련, 출입 인원 현황 관리[edit | edit source]

보호구역별로 허가된 자만이 출입할 수 있도록 내·외부자 출입통제 절차를 마련하고, 출입 가능한 인원 현황을 관리하여야 한다.

  • 보호구역별로 출입 가능한 부서·직무·업무를 정의, 출입권한이 부여된 임직원을 식별하고 그 현황을 관리
  • 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제
  • 출입절차 : 출입신청, 책임자 승인, 출입권한 부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등
  • 출입통제 장치 설치 : 비밀번호 기반, ID카드 기반, 생체정보 기반 등
  • 출입통제 절차 수립·운영 : 출입자 등록·삭제, 출입권한 관리, 방문자 관리, 출입대장 관리 등

보호구역 출입기록 보관 및 권한 검토[edit | edit source]

각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고, 출입기록 및 출입권한을 주기적으로 검토하여야 한다.

  • 출입기록을 일정기간 보존하여 사후 모니터링이 가능하도록 문서적 또는 전자적으로 보존
  • 출입기록 및 출입권한 검토 : 장기 미출입자, 비정상적인 출입 시도, 출입권한 과다부여 여부 등
  • 비인가자 출입 시도, 장기 미출입자 등을 확인하여 그 사유를 확인하고 조치
  • 주기적 검토를 통하여 퇴직자 출입증 회수 및 출입권한 삭제, 직무변경에 따른 출입권한 조정
  • 시스템적으로 출입로그를 남길 수 없는 경우 출입대장을 작성하여 출입기록 확인

증거 자료[edit | edit source]

  • 출입 관리대장 및 출입로그
  • 출입 등록 신청서 및 승인 내역
  • 출입기록 검토서
  • 출입통제시스템 관리화면(출입자 등록 현황 등)

결함 사례[edit | edit source]

  • 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우
  • 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
  • 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)