ISMS-P 인증 기준 2.4.7.업무환경 보안

IT 위키

개요[편집 | 원본 편집]

항목 2.4.7.업무환경 보안
인증기준 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립∙이행하고 있는가?
  • 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유∙노출을 방지하기 위한 보호대책을 수립∙이행하고 있는가?
  • 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력∙복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가?
  • 개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?

세부 설명[편집 | 원본 편집]

  • 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용기기에 대한 보호대책을 수립·이행하여야 한다.
    • 문서고 : 출입인원 최소화, 부서·업무별 출입 접근권한 부여, 출입 이력관리
    • 공용PC : 담당자 지정, 화면보호기 설정, 로그인 암호설정, 주기적 패스워드 변경, 중요정보 저장 제한, 백신 설치, 보안업데이트 등
    • 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요 문서 방치 금지
    • 파일서버 : 부서별·업무별 접근권한 부여, 불필요한 정보공개 최소화, 사용자별 계정 발급
    • 공용 사무실 : 회의실, 프로젝트룸 등 공용사무실 내 중요정보(개인정보) 문서 방치 금지
    • 기타 공용업무환경에 대한 보호대책 수립
  • 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하여야 한다.
    • 이석 시 보호조치 : 개인정보 및 개인정보가 포함된 서류와 보조저장매체 방치 금지(클린데스크), 화면 보호기 및 비밀번호 설정 등
    • 모니터 및 책상 등에 로그인 정보(비밀번호 등) 노출 금지
    • 개인정보 및 중요정보가 포함된 서류 및 보조저장매체는 잠금장치가 있는 안전한 장소에 보관
    • 개인정보 및 중요정보가 포함된 서류는 세절기 등을 이용하여 복구되지 않도록 파쇄
    • 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 등
  • 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하여야 한다.
    • 개인 및 공용업무 환경 보안규정 미준수자는 상벌규정에 따라 관리

※ 사무실 보안점검 방안(예시)

  • 개인업무 환경 : 정보보호 준수 여부를 자가진단, 주기적으로 관리부서에서 정보보호 준수 여부 점검
  • 공용업무 환경 : 공용업무 보호대책 준수 여부를 주기적으로 점검, 미준수 사항은 공지 또는 교육 수행

증거 자료[편집 | 원본 편집]

  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치)
  • 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지), 제9조(출력· 복사 시 보호조치)

결함 사례[편집 | 원본 편집]

  • 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우
  • 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
  • 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요 문서가 장기간 방치되어 있는 경우
  • 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인 정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우

같이 보기[편집 | 원본 편집]

참고 문헌[편집 | 원본 편집]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)