ISMS-P 인증 기준 2.4.1.보호구역 지정

From IT Wiki
Revision as of 22:51, 28 January 2024 by 61.77.208.197 (talk)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)


개요[edit | edit source]

항목 2.4.1.보호구역 지정
인증기준 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가?
    • (가상자산사업자) 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리 하고, 통제구역으로 지정 및 관리하고 있는가?
  • 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립‧이행하고 있는가?
    • (가상자산사업자) 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가?

세부 설명[edit | edit source]

보호구역 지정기준 마련[edit | edit source]

물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다.

  • 접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정
  • 보호구역의 용어와 구분은 조직의 환경에 맞게 선택

※ 물리적 보호구역(예시)

  • 접견구역: 외부인이 별다른 출입증 없이 출입이 가능한 구역(예: 접견장소 등)
  • 제한구역: 비인가 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소(예: 부서별 사무실 등)
  • 통제구역: 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳(예: 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)

보호구역별 보호대책 수립·이행[edit | edit source]

물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.

  • 구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용
  • 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토

증거 자료[edit | edit source]

  • 물리적 보안 지침(보호구역 지정 기준)
  • 보호구역 지정 현황
  • 보호구역 표시
  • 보호구역별 보호대책 현황

결함 사례[edit | edit source]

  • 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
  • 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)