ISMS-P 인증 기준 2.4.6.반출입 기기 통제 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]]
 
== 개요 ==
= '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]] =
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.4.6.반출입 기기 통제
!2.4.6.반출입 기기 통제
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다.
|보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가?
* 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가?
*반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
* 반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
|-
| style="text-align:center" |'''관련법규'''
|
* 개인정보 보호법 제29조(안전조치의무)
* 개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)
|}
|}
==세부 설명==
== 세부 설명 ==
 
====보호구역 장비 반출입시 통제 절차 수립·이행====
정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다.
 
*반출입 통제 대상: 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
*반출입 통제 절차: 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등
*예외 사용 절차: 예외 신청·승인, 반출입 관리대장 기록 등
 
<blockquote>'''※ 반출입 관리대장 기록사항(예시)'''
 
*반출입 일시 및 장소
*사용자 정보
*기종(모델), 기기식별정보(시리얼번호 등)
*반출입 사유
*보안 점검 결과
*관리자 확인 서명 등
</blockquote>
 
====기록 유지 및 주기적 점검====
반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다.
 
*보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)
 
*반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토
 
==증거 자료==
 
*보호구역 내 반출입 신청서
*반출입 관리대장
*반출입 이력 검토 결과
 
==결함 사례==
 
*이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
*내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
* 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다.
** 반출입 통제 대상 : 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
** 반출입 통제 절차 : 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등
** 예외 사용 절차 : 예외 신청·승인, 반출입 관리대장 기록 등
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 반출입 관리대장 기록사항(예시)
* 반출입 일시 및 장소
* 사용자 정보
* 기종(모델), 기기식별정보(시리얼번호 등)
* 반출입 사유
* 보안 점검 결과
* 관리자 확인 서명 등</div>
* 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다.
** 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)
* 반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토
== 증거 자료 ==
* 보호구역 내 반출입 신청서
* 반출입 관리대장
* 반출입 이력 검토 결과
== 결함 사례 ==
* 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
* 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.4.6.반출입_기기_통제"