본문 바로가기
ISMS-P 인증 기준/보호대책 요구사항

ISMS-P 인증 준비, 보호설비 운영

by 세진파파 2025. 1. 14.
반응형

ISMS-P 인증 

2.4 물리 보안

2.4.1 보호구역 지정

2.4.2 출입통제

2.4.3 정보시스템 보호

2.4.4 보호설비 운영

2.4.5 보호구역 내 작업

2.4.6 반출입 기기 통제

2.4.7 업무환경 보안

 

ISMS-P 간편인증(7의3)

2.4 물리 보안

2.4.1 출입통제

2.4.2 업무환경 보안

 

ISMS-P 간편인증(7의2) 

2.3 물리 보안

2.3.1 보호구역 지정

2.3.2 정보시스템 보호

2.3.3 반출입 기기 통제

2.3.4 업무환경 보안

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도·습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립·운영하여야 한다.

 

주요확인사항

1. 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?
2. 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?

 

세부 설명

1. 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하여야 한다.

※ 물리적 보호설비(예시)
온·습도 조절기(항온항습기 또는 에어컨)
화재감지 및 소화설비
누수감지기
UPS, 비상발전기, 전압유지기, 접지시설
CCTV, 침입 경보기, 출입통제시스템
이중전원선
비상등, 비상로 안내표지 등


2. 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영 상태를 주기적으로 검토하여야 한다.
3. 정보보호 관련 법규 준수, 화재, 전력 이상 등 재해·재난 대비, 출입통제, 자산 반출입 통제, 영상감시 등 물리적 보안통제 적용 및 사고 발생 시 손해 배상에 관한 사항 등
4. IDC의 책임보험 가입 여부(미가입 시 1천만 원 이하의 과태료 부과)

증거자료

* 물리적 보안 지침(보호설비 관련)
* 전산실 설비 현황 및 점검표
* IDC 위탁운영 계약서, SLA 등

결함사례

* 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
* 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나, 관련 설비에 대한 운영 및 점검기준을 수립하고 있지 않은 경우
* 운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나, 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우

 

필자가 경험한 결함사례입니다.

ISMS 인증심사 기간에 심사위원중 한분과 서버관리자가 함께 IDC에 이동하여 IDC 출입절차부터 IDC내 CCTV등 상태를 점검합니다. 대부분의 대기업이 운영하는 IDC는 입실부터 퇴실까지 철저하게 관리하지만 중소규모의 IDC는 조금 허술한 점이 있습니다.

- IDC 입실시에 입구에서 스마트폰의 카메라에 보안스티켜 부착을 하지 않아 지적받음
- 출입자가 해당 업체의 직원인지 확인하는 절차가 없어 지적받음 / 자산(노트북 등) 반출입 통제 하지 않아 지적받음 
- CCTV에서 바라보는 전산랙의 위치와 작업자가 확인이 되어야 하는데 저 같은 경우에는 CCTV상에서 전산랙으로 들어가는 입구에 A4용지로 가리는 문제때문에 지적을 받음 

 

지적받은 부분에 대해 결함조치가 되었고 보완조치시기에 '보완조치내역서'에 수정된 내용을 기재하여 제출하였습니다. 

 

※ 집적정보통신시설 관련 참고 법령 및 고시
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조(집적된 정보통신시설의 보호)
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조(보험가입)
집적정보통신시설 보호지침

 

IDC는 기본적으로 위 관련 법률에 의해 지켜야할 최소한의 정보통신시설의 보호와 책임보험가입의 의무가 있습니다. 해당 사항을 IDC에 요청하면 대부분의 IDC에서는 관련된 내용을 전달해주게 되어있습니다. 

 

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf
8.11MB

반응형

'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글

ISMS-P 인증 준비, 반출입 기기 통제  (1) 2025.01.16
ISMS-P 인증 준비, 위험 관리  (1) 2025.01.15
ISMS-P 인증 준비, 정보시스템 보호  (2) 2025.01.13
ISMS-P 인증 준비, 출입통제  (0) 2025.01.10
ISMS-P 인증 준비, 보호구역 지정  (0) 2025.01.09

관련글

티스토리툴바