본문 바로가기
ISMS-P 인증 기준/보호대책 요구사항

ISMS-P 인증 준비, 반출입 기기 통제

by 세진파파 2025. 1. 16.
반응형

ISMS-P 인증 

2.4 물리 보안

2.4.1 보호구역 지정

2.4.2 출입통제

2.4.3 정보시스템 보호

2.4.4 보호설비 운영

2.4.5 보호구역 내 작업

2.4.6 반출입 기기 통제

2.4.7 업무환경 보안

 

ISMS-P 간편인증(7의3)

2.4 물리 보안

2.4.1 출입통제

2.4.2 업무환경 보안

 

ISMS-P 간편인증(7의2) 

2.3 물리 보안

2.3.1 보호구역 지정

2.3.2 정보시스템 보호

2.3.3 반출입 기기 통제

2.3.4 업무환경 보안

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

IDC 및 사무실에서 휴대용 노트북을 반출할 경우에 정기적으로 백신 / DLP 등 보안패치가 제대로 설치되었는지 확인하며 정보보호 서약서를 받고 정보보호 최고책임자의 승인을 받고 반출하는 방법을 활용하고 있습니다. 내부적인 시스템이나 노션등을 활용하여 그 기록을 남겨두는 장치도 마련하면 좋을것 같습니다. 

 

(예, 기기 반출입에 대한  1회/반기 정보보호 서약서 제출 등 ) 

개요

인증기준

보호구역 내에서의 비인가행위 및 권한 오∙남용 등을 방지하기 위하여 작업 절차를 수립∙이행하고, 반출입 이력을 주기적으로 검토하여야 한다.

 

주요확인사항

1. 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립∙이행하고 있는가?
2. 보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
3. 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립∙이행하고 있는가?
4. 보호구역 내에서의 비인가행위 및 권한 오∙남용 등을 방지하기 위하여 작업 절차를 수립∙이행하고, 반출입 이력을 주기적으로 검토하여야 한다.

 

관련법규

* 개인정보 보호법 제29조(안전조치의무)
* 개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)

 

반응형



세부 설명

 

1. 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 
등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다
 ▶ 반출입 통제 대상 : 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 
저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
▶ 반출입 통제 절차 : 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 
보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요정보 
유출 여부 등), 반출입 내역 주기적 검토 등
▶ 예외 사용 절차 : 예외 신청·승인, 반출입 관리대장 기록 등

※ 반출입 관리대장 기록사항(예시)
· 반출입 일시 및 장소
· 사용자 정보
· 기종(모델), 기기식별정보(시리얼번호 등)
· 반출입 사유
· 보안 점검 결과
· 관리자 확인 서명 등


2. 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 
주기적으로 점검하여야 한다.
▶ 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)

 

3. 반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 
검토

증거자료

* 보호구역 내 반출입 신청서 
* 반출입 관리대장 
* 반출입 이력 검토 결과

결함사례

* 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
* 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf
8.11MB

반응형

'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글

ISMS-P 인증 준비, 사용자 계정 관리  (0) 2025.01.20
ISMS-P 인증 준비, 업무환경 보안  (1) 2025.01.17
ISMS-P 인증 준비, 위험 관리  (1) 2025.01.15
ISMS-P 인증 준비, 보호설비 운영  (1) 2025.01.14
ISMS-P 인증 준비, 정보시스템 보호  (2) 2025.01.13

관련글

티스토리툴바