ISMS-P 인증 기준 2.4.5.보호구역 내 작업

From IT Wiki
Revision as of 17:14, 16 March 2023 by 짱갤럽 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

개요

항목 2.4.5.보호구역 내 작업
인증기준 보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다.
주요 확인사항
  • 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립‧이행하고 있는가?
    • (가상자산사업자) 월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립·이행하고 있는가?
  • 보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?

세부 설명

  • 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다.
    • 작업절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
    • 작업기록 : 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
    • 통제방안 : 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
  • 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하여야 한다.
    • 작업검토 : 사전 승인 내역, 출입기록, 작업 기록 등에 대한 정기적 검토 수행 등
    • 검토방법 : 출입 신청서와 출입 내역(관리대장, 시스템 로그 등) 일치성 등

증거 자료

  • 작업 신청서, 작업 일지
  • 통제구역 출입 대장
  • 통제구역에 대한 출입기록 및 작업기록 검토 내역

결함 사례

  • 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호 구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
  • 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)