ISMS-P 인증 기준 2.4.4.보호설비 운영

From IT Wiki
Revision as of 16:59, 25 March 2023 by 짱갤럽 (talk | contribs) (→‎세부 설명)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

개요

항목 2.4.4.보호설비 운영
인증기준 보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도·습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립·운영하여야 한다.
주요 확인사항
  • 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?
  • 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?

세부 설명

  • 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하여야 한다.

※ 물리적 보호설비(예시)

  • 온·습도 조절기(항온항습기 또는 에어컨)
  • 화재감지 및 소화설비
  • 누수감지기
  • UPS, 비상발전기, 전압유지기, 접지시설
  • CCTV, 침입 경보기, 출입통제시스템
  • 이중전원선
  • 비상등, 비상로 안내표지 등
  • 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영 상태를 주기적으로 검토하여야 한다.
    • 정보보호 관련 법규 준수, 화재, 전력 이상 등 재해·재난 대비, 출입통제, 자산 반출입 통제, 영상감시 등 물리적 보안통제 적용 및 사고 발생 시 손해 배상에 관한 사항 등
    • IDC의 책임보험 가입 여부(미가입 시 1천만 원 이하의 과태료 부과)
  • 증거 자료

    • 물리적 보안 지침(보호설비 관련)
    • 전산실 설비 현황 및 점검표
    • IDC 위탁운영 계약서, SLA 등

    결함 사례

    • 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
    • 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나, 관련 설비에 대한 운영 및 점검기준을 수립하고 있지 않은 경우
    • 운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나, 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우

    같이 보기

    참고 문헌

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)