ISMS-P 인증 기준 2.4.6.반출입 기기 통제

IT 위키


분류: 2.4.물리 보안[편집 | 원본 편집]

개요[편집 | 원본 편집]

항목 2.4.6.반출입 기기 통제
인증기준 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립·이행하고 주기적으로 검토하여야 한다.
주요 확인사항
  • 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가?
  • 반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)

세부 설명[편집 | 원본 편집]

보호구역 장비 반출입시 통제 절차 수립·이행[편집 | 원본 편집]

정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다.

  • 반출입 통제 대상: 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
  • 반출입 통제 절차: 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등
  • 예외 사용 절차: 예외 신청·승인, 반출입 관리대장 기록 등

※ 반출입 관리대장 기록사항(예시)

  • 반출입 일시 및 장소
  • 사용자 정보
  • 기종(모델), 기기식별정보(시리얼번호 등)
  • 반출입 사유
  • 보안 점검 결과
  • 관리자 확인 서명 등

기록 유지 및 주기적 점검[편집 | 원본 편집]

반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다.

  • 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)
  • 반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토

증거 자료[편집 | 원본 편집]

  • 보호구역 내 반출입 신청서
  • 반출입 관리대장
  • 반출입 이력 검토 결과

결함 사례[편집 | 원본 편집]

  • 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
  • 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우

같이 보기[편집 | 원본 편집]

참고 문헌[편집 | 원본 편집]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)