ISMS-P 인증 기준 2.4.6.반출입 기기 통제 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | * '''분류''': [[ISMS-P 인증 기준 2.4.물리 보안|2.4.물리 보안]] | ||
== 개요 == | |||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.4.6.반출입 기기 통제 | !2.4.6.반출입 기기 통제 | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center"|'''인증기준''' | ||
|보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. | |보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가? | * 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가? | ||
*반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? | * 반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? | ||
|} | |} | ||
==세부 설명 | == 세부 설명 == | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다. | ||
** 반출입 통제 대상 : 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등 | |||
** 반출입 통제 절차 : 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등 | |||
** 예외 사용 절차 : 예외 신청·승인, 반출입 관리대장 기록 등 | |||
<div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | |||
* ※ 반출입 관리대장 기록사항(예시) | |||
* 반출입 일시 및 장소 | |||
* 사용자 정보 | |||
* 기종(모델), 기기식별정보(시리얼번호 등) | |||
* 반출입 사유 | |||
* 보안 점검 결과 | |||
* 관리자 확인 서명 등</div> | |||
* 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다. | |||
** 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등) | |||
* 반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토 | |||
== 증거 자료 == | |||
* 보호구역 내 반출입 신청서 | |||
* 반출입 관리대장 | |||
* 반출입 이력 검토 결과 | |||
== 결함 사례 == | |||
* 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우 | |||
* 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우 | |||
== 같이 보기 == | |||
* [[정보보호 및 개인정보보호관리체계 인증]] | |||
* [[ISMS-P 인증 기준]] | |||
* [[ISMS-P 인증 기준 세부 점검 항목]] | |||
== 참고 문헌 == | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |