ISMS-P 인증 준비, 업무환경 보안

ISMS-P 인증 

2.4 물리 보안

2.4.1 보호구역 지정

2.4.2 출입통제

2.4.3 정보시스템 보호

2.4.4 보호설비 운영

2.4.5 보호구역 내 작업

2.4.6 반출입 기기 통제

2.4.7 업무환경 보안

 

ISMS-P 간편인증(7의3)

2.4 물리 보안

2.4.1 출입통제

2.4.2 업무환경 보안

 

ISMS-P 간편인증(7의2) 

2.3 물리 보안

2.3.1 보호구역 지정

2.3.2 정보시스템 보호

2.3.3 반출입 기기 통제

2.3.4 업무환경 보안

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경 (업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다

 

주요확인사항

1. 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가?
2. 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하고 있는가?
3. 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가?
4. 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하고 있는가?

 

관련법규

* 개인정보 보호법 제29조(안전조치의무)
* 개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치), 제12조(출력·복사시 안전조치)

 

세부 설명

 

1. 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용기기에 대한 보호대책을 수립· 
이행하여야 한다.
▶ 문서고 : 출입인원 최소화, 부서·업무별 출입 접근권한 부여, 출입 이력관리
▶ 공용PC : 담당자 지정, 화면보호기 설정, 로그인 암호설정, 주기적 패스워드 변경, 중요정보 저장 제한, 
백신 설치, 보안업데이트 등
▶ 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요 문서 방치 금지
▶ 파일서버 : 부서별·업무별 접근권한 부여, 불필요한 정보공개 최소화, 사용자별 계정 발급
▶ 공용 사무실 : 회의실, 프로젝트룸 등 공용사무실 내 중요정보(개인정보) 문서 방치 금지
▶ 기타 공용업무환경에 대한 보호대책 수립

 

2. 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 
보호대책을 수립·이행하여야 한다.
▶ 이석 시 보호조치 : 개인정보 및 개인정보가 포함된 서류와 보조저장매체 방치 금지(클린데스크), 
화면보호기 및 비밀번호 설정 등
▶ 모니터 및 책상 등에 로그인 정보(비밀번호 등) 노출 금지
▶ 개인정보 및 중요정보가 포함된 서류 및 보조저장매체는 잠금장치가 있는 안전한 장소에 보관 
▶ 개인정보 및 중요정보가 포함된 서류는 세절기 등을 이용하여 복구되지 않도록 파쇄
▶ 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 등

 

3. 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력·복사물을 통한 개인정보의 분실·도난·유출 등을 
방지하고 출력·복사물을 안전하게 관리하기 위하여 필요한 보호조치를 하여야 한다.

※ 출력·복사물 보호조치(예시)
· 출력·복사물 보호 및 관리 정책, 규정, 지침 등 마련
· 출력·복사물 생산·관리 대장 마련 및 기록
· 출력·복사물 운영·관리 부서 지정 및 운영
· 출력·복사물 외부반출 및 재생산 통제·신고·제한
· 인쇄자, 인쇄일시 등 출력·복사물 기록 저장·관리
· 종이 인쇄물에 대한 파기 절차, 파기여부 확인 등을 포함하는 파기계획 수립 및 주기적 점검
· 복합기 보안, 출력물 워터마크 등 출력·복사물 보안기술 적용 등

4. 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하여야 한다.
▶ 개인 및 공용업무 환경 보안규정 미준수자는 상벌규정에 따라 관리

※ 사무실 보안점검 방안(예시)
· 개인업무 환경 : 정보보호 준수 여부를 자가진단, 주기적으로 관리 부서에서 정보보호 준수 여부 점검
· 공용업무 환경 : 공용업무 보호대책 준수 여부를 주기적으로 점검, 미준수 사항은 공지 또는 교육 수행

증거자료

* 사무실 및 공용공간 보안점검 보고서
* 사무실 및 공용공간 보안점검표 
* 미준수자에 대한 조치 사항(교육, 상벌 등)
* 출력·복사물 보호조치 현황

결함사례

* 개인정보 내부 관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우
* 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
* 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우
* 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우

 

간편인증을 받을때에도 ISMS 인증기준에서 '업무환경 보안' 이 동일하게 들어간 이유가 있을것 입니다. 그만큼 업무환경 보안이 놓쳐서는 안될 중요한 장소이기 때문일것입니다. 

 

매달 특정일을 정보보호의 날로 지정하여 정기적으로 업무환경 보안에 대한 점검을 진행하는게 좋겠습니다. 출력물, 복사물등은 Ahnlab EPrM , OfficeKeeper 등을 통해 개인정보가 출력될 경우에 마스킹 처리되게 할수 있습니다.

 

그리고, 심사위원이 심사중에 사무실 책상이나 PC등을 점검하고 클린데스크 운영 여부를 점검하는 경우도 있으니 PC에 개인정보가 담긴 문서나 중요문서를 방치하지 않도록 해야겠습니다. 모니터에 비밀번호를 붙여놓는 실수를 하는 직원들도 가끔씩 있는데요.

 

이런 개선해야할 부분 하나하나를 정보보호의 날에 정기적으로 점검하고 직원들에게 교육을 통해 상기시킨다면 잘 준비할 수 있을 것 같습니다. 

 

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB