K-ISMS 인증기준 - 7. 물리적보안
7.1 물리적 보호구역
7.1.1 보호구역 지정
비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 ∙ 이행하여야 한다.
7.1.1.1 주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 다음과 같이 정의하고 구역별 보호대책을 수립 ∙ 이행하고 있는가?
- 접견구역 : 외부인 접견 구역
- 제한구역 : 사무실 지역 등
- 통제구역 : 주요 정보처리 설비 및 시스템 구역 등
ㅇ 전산실, 시스템 운영 및 개발 공간, 통신장비실, 관제센터 등 업무의 중요도 및 정보자산 위치에 따라 물리적 보호 구역을 다음과 같이 구분하고 구역별 보호대책을 수립하고 이행하여야 한다. - 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등) - 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등) - 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등) ㅇ 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도여부를 주기적으로 검토하여야 한다. |
7.1.2 보호설비
각 보호구역의 중요도 및 특성에 따라 화재, 전력이상 등 인․재해에 대비하여 온습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 설비를 충분히 갖추고 운영절차를 수립하여 운영하여야 한다. 또한 주요 시스템을 외부 집적정보통신시설에 위탁운영하는 경우 관련 요구사항을 계약서에 반영하고 주기적으로 검토를 수행하여야 한다.
7.1.2.1 각 보호구역의 중요도 및 특성에 따라 화재, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립 ∙ 관리하고 있는가?
ㅇ 보호구역의 중요도와 특성에 따라 화재, 전력이상, 비인가된 외부침입 등을 방지하기 위하여 보호구역별 필요한 다음과 같은 설비를 갖추고 운영절차를 마련하여야 한다. - 온습도 조절기 (항온항습기 또는 에어컨) - 화재감지 및 소화설비 - 누수감지기 - UPS, 비상발전기, 전압유지기 - CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 ) - 전력선 이중화 - 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등 ㅇ 특히 통제구역에 해당하는 전산실의 경우 상기설비를 갖추고 화재, 전력이상, 장애 등의 비상 시 신속한 복구 및 대응이 가능하도록 운영절차를 마련하여야 한다. ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)' |
7.1.2.2 보호구역 내 주요 시스템 및 인력을 화재로부터 보호하기 위하여 필요한 설비를 설치하고 지속적으로 운영 ∙ 관리하고 있는가?
ㅇ 화재 감지기를 적절한 간격으로 설치하고 충분한 용량의 소화기를 비치하여야 한다. - 보호구역 면적에 대비하여 화재 감지기(예 : 열감지, 연기감지) 및 소화기를 설치하여야 하며 주기적으로 화재감지기 및 소화기 상태를 점검하여야 한다. ※ 참고 ※ - 소방시설 설치 ∙ 유지 및 안전관리에 관한 법률 |
7.1.2.3 보호구역 내 주요 시스템을 수해로부터 보호할 수 있도록 누수를 탐지할 수 있는 설비를 설치하고 지속적으로 운영 ∙ 관리하고 있는가?
ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 누수 발생 시 탐지가 가능하도록 누수감지기를 설치하고 정상적인 작동유무를 주기적으로 점검하여야 한다. |
7.1.2.4 보호구역 내 주요 정보시스템이 안정적인 환경에서 동작할 수 있도록 적절한 온도와 습도를 유지시키는 항온항습 또는 에어컨을 설치하여 운영 ∙ 관리하고 있는가?
ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 온도 16~26도, 습도 40~70%를 항시 유지하기 위하여 전산실 규모에 따른 적정한 규모의 항온항습기 또는 에어컨을 설치하고 주기적으로 항온항습기 또는 에어컨 상태를 점검하여야 한다. |
7.1.2.5 보호구역 내 주요 시스템이 전력을 안정적으로 공급받을 수 있도록 시설을 설치하고 지속적으로 운영 ∙ 관리하고 있는가?
ㅇ 정전, 전기사고 등 갑작스러운 전력공급 중단 시 주요 정보시스템이 전력을 안정적으로 공급받을 수 있도록 전산실 및 시스템 규모를 고려하여 다음과 같은 설비를 구축하고 주기적으로 상태를 점검하여야 한다. - 무정전전원장치 (UPS) - 비상발전기 - 이중전원선 - 전압유지기 - 접지시설 등 ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)' |
7.1.2.6 화재 등의 재해 발생 시 임직원이 대피절차에 따라 안전하게 대피할 수 있도록 비상벨, 비상등, 비상통로 안내표지 등을 설치하고 있는가?
ㅇ 화재 등의 재해 발생 시 임직원이 대피할 수 있도록 대피절차를 별도로 마련하고 절차에 따라 신속하게 대피할 수 있도록 비상벨, 비상등, 비상로 안내표지 등을 설치하여야 한다. |
7.1.2.7 주요 정보시스템을 외부 집적정보통신시설(IDC)에 위탁운영하는 경우, 물리적보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?
ㅇ 주요 정보시스템을 외부 집적정보통신시설(IDC)에 위탁운영하는 경우 화재, 수재, 전력이상, 온도, 습도, 환기 등의 환경적 위협 및 파손, 도난 등 물리적 위협으로부터 보호되도록 보안요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하여야 한다 - 온습도 조절기 (항온항습기 또는 에어컨) - 화재감지 및 소화설비 - 누수감지기 - UPS, 비상발전기, 전압유지기 - CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 ) - 전력선 이중화 - 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등 - 구조의 안전성 (설비 하중을 견딜 수 있는 구조) - IDC의 책입보험 가입여부 (미가입 시 1천만원 이하의 과태료 부과) ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조(집적된 정보통신시설의 보호) - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조(보험가입) |
7.1.3 보호구역 내 작업
유지보수 등 주요 설비 및 시스템이 위치한 보호구역 내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토하여야 한다.
7.1.3.1 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우 작업신청 및 수행 관련 절차를 수립하고 작업기록을 주기적으로 검토하고 있는가?
ㅇ 주요 시설 및 정보시스템이 위치한 통제구역(전산실 등)에서 정보시스템 도입 및 폐기, 유지보수(정기점검 포함) 등의 사유로 임직원 및 외부인이 작업을 수행할 경우 다음 사항을 고려하여 작업신청 및 승인, 작업기록 작성, 모바일 기기 반출입 통제 등의 절차를 마련하고 그 기록을 정기적으로 검토하여야 한다. - 작업신청 시 관련자(예 : 보호구역 출입통제 담당자, 작업신청부서장 등) 검토 ∙ 승인 필요 - 작업기록에는 작업일자, 작업시간, 작업목적, 작업내용, 작업업체 및 담당자명, 검토자 승인자 등 포함 - 작업 수행을 위한 보호구역 출입 절차 마련 및 출입기록의 주기적 검토 - 작업 수행을 위한 모바일기기 반출입 및 모바일 기기 안전성 확보 절차(백신 설치 등) 마련 ㅇ 주요 시설 및 시스템이 위치한 통제구역 내 모바일기기(노트북, 스마트기기 등) 사용은 원칙적으로 금지하는 것이 바람직하다. 다만 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용해야 하는 경우 사전 승인 및 모바일 기기의 보안성 검토를 수행한 후 사용하여야 한다. |
7.1.4 출입통제
보호구역 및 보호구역 내 주요 설비 및 시스템은 인가된 사람만이 접근할 수 있도록 출입을 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
7.1.4.1 각 보호구역별 내 ∙ 외부자 출입통제 절차를 마련하고 출입 가능한 임직원 현황을 관리하고 있는가?
ㅇ 각 보호구역별로 출입 가능한 부서, 직무, 업무를 정의하고 출입권한이 부여된 임직원을 식별하여 그 현황을 관리하여야 한다. ㅇ 공식적인 출입절차(출입신청, 책임자 승인, 출입권한부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등)를 마련하고 인가된 사람만이 출입할 수 있도록 하여야 한다. ㅇ 또한 주요 시설 및 시스템이 위치하고 있는 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제하여야 한다. ㅇ 특히 보호구역에 외부인 출입이 필요한 경우 내부 임직원 출입절차와는 별도의 절차 (방문객 출입증 발급 및 패용, 방문장소로 출입권한 제한, 담당자 동행, 출입대장 작성 등) 를 마련하여 출입을 통제하여야 한다. |
7.1.4.2 각 보호구역에 대한 내 ∙ 외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
- 업무 목적에 적합한 출입권한 부여
- 절차에 따른 출입권한 부여
- 퇴직자 또는 직무변경자 출입권한 삭제∙조정 및 출입증 회수
- 업무시간 외 출입
- 비인가자의 출입 시도 등
ㅇ 각 보호구역 출입의 책임추적성을 확보할 수 있도록 출입기록을 일정기간 보존하고 출입의 적정성을 확인하기 위하여 다음과 같은 기준으로 출입기록을 주기적으로 검토하여야 한다. - 업무 목적에 적합한 출입권한 부여 : 업무 목적에 비해 과도한 출입권한 부여 시 권한 조정, 장기간 미출입 시 권한 회수 등 조치 - 절차에 따른 출입권한 부여 : 보호구역 출입절차에 따른 권한 부여 여부 확인 (임의적 출입권한 생성 확인) - 퇴직자 또는 직무변경자 출입권한 삭제 ∙ 조정 및 출입증 회수 : 퇴직자 출입증 회수 및 출입권한을 삭제, 직무변경에 따른 출입권한 조정 - 업무시간 외 출입 : 일상 업무시간 이외 출입 시 출입사유 확인 - 비인가자의 출입 시도 : 중요한 보호구역인 통제구역의 비인가자 출입시도를 확인하여 그 사유를 확인하고 조치 - 외부자 출입기록 : 유지보수, 비상 시 외부자 출입 적정성 검토 상기 검토 기준 이외에도 조직의 업무특성에 따른 기준을 별도로 마련하여 보호구역 출입 적정성을 검토하는 것이 좋다.
ㅇ 또한 시스템적으로 출입로그를 남기지 않는 단순 잠금장치(자물쇠)를 사용하는 경우에는 반드시 출입대장을 작성하여 출입기록을 확인할 수 있도록 하여야 한다. |
7.1.4.3 보호구역 내 중요한 장비, 문서, 매체 등에 대한 반출입 관련 정책 및 절차를 수립 ∙ 이행하고 있는가?
|
7.1.5 모바일기기 반출입
노트북 등 모바일 기기 미승인 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방을 위하여 보호구역 내 임직원 및 외부자 모바일 기기 반출입 통제절차를 수립하고 기록 ∙ 관리하여야 한다.
7.1.5.1 노트북, 패드 등 모바일 기기 반출입 시 반출입 통제 및 보안사고 예방 절차를 수립하고 있는가?
ㅇ 보호구역별로 모바일기기(노트북, 탭, 패드 등)의 반출입에 대한 통제절차를 다음과 같이 마련하여야 한다. - 보호구역 출입통제 책임자 사전승인 - 반출입 관리대장 기록 - 모바일 기기 보안 점검 수행 - 모바일 기기 반출입내역 주기적 점검 등 ㅇ 모바일기기 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방절차 수립 시 다음과 같은 사항을 고려하여야 한다. - (반입시) 안티바이러스 S/W 통한 악성코드 감염여부 점검 - (반입시) USB 포트 차단 및 USB 반입 금지 - (반입시) 모바일 기기 장착된 카메라 렌즈 봉인 등 - (반출시) 중요정보 저장 여부 확인 ㅇ 주요 시설 및 정보자산이 위치한 통제구역 내 모바일기기(노트북, 탭, 패드 등)의 반입은 원칙적으로 금지하는 것이 바람직하며 업무목적으로 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용하여야 하는 경우 사전 승인을 받고 상기 모바일 기기 보안사고 예방절차를 이행한 후 사용하는 것이 좋다. - 다만, 개인용 스마트폰의 경우 예외정책을 적용할 수 있으나 내부 네트워크에 연결하여 사용하지 않도록 하여야 한다. |
7.1.5.2 모바일 기기 반출입 절차에 따라 반출입대장을 작성하고 관리자는 주기적으로 모바일 기기 반출입 이력을 점검하고 있는가?
ㅇ 보호구역 내 임직원 혹은 외부자가 업무목적을 위한 모바일 기기를 반출입하는 경우, 모바일기기 반출입 통제 절차에 따라 허가를 받고 '반출입대장' 이력을 기록하여야 한다. - 반출입 관리대장에 포함될 내용 : 일시, 사용자, 기종(모델), 기기식별번호(MAC, 시리얼 번호 등), 사유, 반출입 장소, 보안점검 결과, 관리자 확인서명 등 ㅇ 모바일 반출입대장은 관리자가 주기적으로 점검하여 반출입이 적정한 절차에 따라 이루어졌는지 검토하여야 한다. |
'ISMS' 카테고리의 다른 글
[K-ISMS 인증기준] 정보보호대책 8. 시스템 개발보안 #1 (0) | 2017.10.17 |
---|---|
[K-ISMS 인증기준] 정보보호대책 7. 물리적보안 #2 (0) | 2017.08.24 |
[K-ISMS 인증기준] 정보보호대책 6. 인적보안 (0) | 2017.06.23 |
[K-ISMS 인증기준] 정보보호대책 5. 정보보호교육 (0) | 2017.06.23 |
[K-ISMS 인증기준] 정보보호대책 4. 정보자산분류 (0) | 2017.06.18 |