ISMS-P 인증
2.4 물리 보안
2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안
ISMS-P 간편인증(7의3)
2.4 물리 보안
2.4.1 출입통제
2.4.2 업무환경 보안
ISMS-P 간편인증(7의2)
2.3 물리 보안
2.3.1 보호구역 지정
2.3.2 정보시스템 보호
2.3.3 반출입 기기 통제
2.3.4 업무환경 보안
(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업
심사팀장은 먼저 네트워크 구성도를 체크할것입니다. 네트워크 구성도를 보면 개인정보처리시스템, 보안시스템(방화벽, 웹방화벽등), 백업 장비의 위치를 알수 있기 때문에 그에 따른 증적자료를 추가로 요구할것이고요. 준비하시는 분은 심사위원에게 제출하면 이 항목의 기준을 통과할 수 있을것 같습니다.
1. 사내망에 정보시스템이 위치해 있다면?
- 그에 해당하는 CCTV, 전산랙 잠금장치등을 통해 시스템이 외부로부터 보호되고 있는지 여부를 확인
2. IDC 에 정보시스템이 위치해 있다면?
- 심사기간내 담당자와 심사위원이 IDC에 방문하여 역시 CCTV, 전산랙 잠금장치등을 통해 시스템이 외부로부터 보호되고 있는지 여부를 확인
- 추가적으로 IDC 에 데이터센터 자료를 요청하여 책임보험 가입 및 보호구역 점검 , 출입절차 프로세스, 재해복구 절차 및 결과서, 해당 전산랙이 위치한 CCTV 화면등을 첨부하여 정보시스템 보호 현황 문서를 만들어 증적자료로 제출하면 도움이 될것입니다.
개요
인증기준
정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
주요확인사항
1. 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
2. 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
3. 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
세부 설명
1. 정보시스템의 안전한 배치
정보시스템의 중요도, 용도, 특성을 고려하여 배치 장소를 분리하여야 한다.
* 정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라 전산랙을 이용하여 시스템을 외부로부터 보호
* 개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리
2. 정보시스템 배치도 & 자산목록 최신화
정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하여야한다.
* 보안사고, 장애 발생 시 신속한 조치를 위한 물리적 배치도(시설 단면도, 배치도 등), 자산목록 관리
* 자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본 유지
3. 전력 및 통신케이블 물리적 보호조치
전력 및 통신케이블을 물리적 손상 및 전기적 영향으로부터 안전하게 보호하여야 한다.
* 물리적으로 구분·배선, 식별 표시, 상호 간섭받지 않도록 거리 유지, 케이블 매설 등 조치
* 배전반, 강전실, 약전실 등에는 인가된 최소한의 인력만 접근할 수 있도록 접근통제
증거자료
* 정보처리시설 도면
* 정보시스템 배치도
* 자산목록
결함사례
* 시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
* 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
참고 문헌
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)
'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글
ISMS-P 인증 준비, 위험 관리 (1) | 2025.01.15 |
---|---|
ISMS-P 인증 준비, 보호설비 운영 (1) | 2025.01.14 |
ISMS-P 인증 준비, 출입통제 (0) | 2025.01.10 |
ISMS-P 인증 준비, 보호구역 지정 (0) | 2025.01.09 |
ISMS-P 인증 준비, 외부자 계약 시 보안 (1) | 2025.01.08 |