ISMS-P 인증 기준 2.4.6.반출입 기기 통제: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
| Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.4.6.반출입 기기 통제 | !2.4.6.반출입 기기 통제 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. | |보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가? | *정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가? | ||
* 반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? | *반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 보호구역 장비 반출입시 통제 절차 수립·이행 ==== | |||
정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다. | |||
*반출입 통제 대상: 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등 | |||
*반출입 통제 절차: 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등 | |||
*예외 사용 절차: 예외 신청·승인, 반출입 관리대장 기록 등<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | |||
'''※ 반출입 관리대장 기록사항(예시)''' | |||
*반출입 일시 및 장소 | |||
*사용자 정보 | |||
*기종(모델), 기기식별정보(시리얼번호 등) | |||
*반출입 사유 | |||
*보안 점검 결과 | |||
*관리자 확인 서명 등</div> | |||
==== 기록 유지 및 주기적 점검 ==== | |||
반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다. | |||
*보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등) | |||
*반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토 | |||
==증거 자료== | |||
*보호구역 내 반출입 신청서 | |||
*반출입 관리대장 | |||
*반출입 이력 검토 결과 | |||
==결함 사례== | |||
*이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우 | |||
*내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
Revision as of 22:35, 28 June 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.4.물리 보안
개요
| 항목 | 2.4.6.반출입 기기 통제 |
|---|---|
| 인증기준 | 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. |
| 주요 확인사항 |
|
세부 설명
보호구역 장비 반출입시 통제 절차 수립·이행
정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다.
- 반출입 통제 대상: 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
- 반출입 통제 절차: 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등
- 예외 사용 절차: 예외 신청·승인, 반출입 관리대장 기록 등
※ 반출입 관리대장 기록사항(예시)
- 반출입 일시 및 장소
- 사용자 정보
- 기종(모델), 기기식별정보(시리얼번호 등)
- 반출입 사유
- 보안 점검 결과
- 관리자 확인 서명 등
기록 유지 및 주기적 점검
반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다.
- 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)
- 반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토
증거 자료
- 보호구역 내 반출입 신청서
- 반출입 관리대장
- 반출입 이력 검토 결과
결함 사례
- 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
- 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
