ISMS-P 인증 기준 2.4.1.보호구역 지정: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
(One intermediate revision by one other user not shown) | |||
Line 15: | Line 15: | ||
| | | | ||
*물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가? | *물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가? | ||
**(가상자산사업자) 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리 하고, 통제구역으로 지정 및 관리하고 있는가? | |||
*물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립‧이행하고 있는가? | *물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립‧이행하고 있는가? | ||
**(가상자산사업자) 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가? | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
Line 22: | Line 24: | ||
물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다. | 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다. | ||
*접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정 | *접견구역, 제한구역, 통제구역 등으로 '''물리적 보호구역을 지정''' | ||
*보호구역의 용어와 구분은 조직의 환경에 맞게 선택 | *보호구역의 용어와 구분은 조직의 환경에 맞게 선택 | ||
Line 33: | Line 35: | ||
==== 보호구역별 보호대책 수립·이행 ==== | ==== 보호구역별 보호대책 수립·이행 ==== | ||
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 | 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 '''구역별 보호대책을 수립·이행'''하여야 한다. | ||
*구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용 | *구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용 | ||
*통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 | *통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 '''필요시 통제구역임을 표시'''하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토 | ||
==증거 자료== | ==증거 자료== | ||
Line 58: | Line 60: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) |
Latest revision as of 22:51, 28 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.4.물리 보안
개요[edit | edit source]
항목 | 2.4.1.보호구역 지정 |
---|---|
인증기준 | 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
보호구역 지정기준 마련[edit | edit source]
물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다.
- 접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정
- 보호구역의 용어와 구분은 조직의 환경에 맞게 선택
※ 물리적 보호구역(예시)
- 접견구역: 외부인이 별다른 출입증 없이 출입이 가능한 구역(예: 접견장소 등)
- 제한구역: 비인가 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소(예: 부서별 사무실 등)
- 통제구역: 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳(예: 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)
보호구역별 보호대책 수립·이행[edit | edit source]
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.
- 구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용
- 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토
증거 자료[edit | edit source]
- 물리적 보안 지침(보호구역 지정 기준)
- 보호구역 지정 현황
- 보호구역 표시
- 보호구역별 보호대책 현황
결함 사례[edit | edit source]
- 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
- 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)