[K-ISMS 인증기준] 정보보호대책 7. 물리적보안 #2

K-ISMS 인증기준 - 7. 물리적보안

---

7.2 시스템 보안

7.2.1 케이블 보안

데이터를 송수신하는 통신케이블이나 전력을 공급하는 전력 케이블은 손상을 입지 않도록 보호하여야 한다.

7.2.1.1 전력 및 통신케이블이 외부로부터의 물리적 손상이나 전기적 영향(예 : 간섭)으로부터 보호되고 있는가?

ㅇ 전력 및 통신케이블 등이 외부의 영향 없이 안정적으로 전력 및 데이터 전송이 이루어질 수 있도록 다음과 같은 보호조치를 취하여야 한다. - 전력 및 통신케이블은 물리적으로 구분하여 배선 - 전력 및 통신케이블에 대한 식별 (어느 시스템에 연결되어 있는 지 확인 필요) - 전력 및 통신케이블 사이의 상호간섭을 방지하기 위한 거리유지 - 케이블을 지지하고 보호할 수 있는 설비 설치 (예 : 케이블 트레이) - 도청이나 손상이 일어나지 않도록 케이블을 보이지 않게 매설할 것 - 약전실, 강전실, 배전반 등에 대한 접근통제 등 ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)' - 방송통신설비의 기술기준에 관한 규정

7.2.2 시스템 배치 및 관리

시스템은 그 특성에 따라 분리하여 배치하고 장애 또는 보안사고 발생 시 주요 시스템의 위치를 즉시 확인할 수 있는 체계를 수립하여야 한다.

7.2.2.1 정보시스템의 특성을 고려하여 배치 장소를 분리하고 있는가?

ㅇ 서버, 네트워크 장비, 정보보호시스템, 백업장치 등 정보시스템 특성에 따라 분리하여 배치하고 전산랙(Rack)등을 이용하여 시스템을 외부로부터 보호하여야 한다. ㅇ 개인정보 또는 사내 기밀정보 등 중요정보를 저장하고 있는 서버나 중요 네트워크 장비(백본 등)의 경우 전산랙에 잠금장치를 설치하는 등 인가된 자에 한해 접근이 가능하도록 관리하여야 한다.

7.2.2.2 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하고 있는가?

ㅇ 장애 또는 보안사고 발생 시 신속한 조치를 위하여 시스템의 위치를 담당자가 즉시 확인할 수 있도록 물리적 배치도(시설 단면도, 배치도 등) 또는 목록을 마련하여 최신본으로 관리하여야 한다.  - 또한 시스템 정보자산목록에 물리적 위치 항목을 포함하여 목록에서 언제든지 물리적 배치를 확인 가능하도록 하여야 한다.

---

7.3 사무실 보안

7.3.1 개인업무 환경 보안

일정시간 동안 자리를 비울 경우에는 책상 위에 중요한 문서나 저장매체를 남겨놓지 않고 컴퓨터 화면에 중요정보가 노출되지 않도록 화면보호기 설정, 패스워드 노출 금지 등 보호대책을 수립하여야 한다.

7.3.1.1 개인업무 환경에서의 정보보호에 대한 정책을 수립 ∙ 이행하고 있는가?

- 자리 이석 시 중요문서 및 저장매체 방치 금지

- 자리 이석 시 컴퓨터 화면보호기 및 패스워드 설정

- 개인용컴퓨터 보안설정

- 중요문서 파기대책 등

ㅇ 일상업무를 수행하는 사무실 환경에 대해 다음과 같은 보호대책이 명시된 정책을 수립하고 이행하여야 한다. - 일정시간 자리 이석, 퇴근, 휴가 시 책상 위에 중요문서, 저장매체방치 금지 - 중요 문서가 보관된 서랍장, 캐비넷 잠금장치 사용 - 일정시간 컴퓨터 미사용 시 화면보호기를 설정, 재시작 시 로그인 설정, 장기간 자리 이석 시 컴퓨터 로그오프  - 안전한 로그인 비밀번호 사용 및 주기적 변경 - 개인용컴퓨터 백신설치, 최신 패치, 공유폴더 설정 제한  - 개인용컴퓨터 및 업무시스템 안전한 로그인 비밀번호 사용 및 주기적 변경, 로그인정보(ID, 비밀번호) 노출 금지 (포스트잇 기록 부착 등) - 중요 정보가 포함된 문서 폐기 시 세절기를 이용한 파쇄 등

7.3.1.2 개인업무 환경에서의 정보보호 준수여부를 주기적으로 점검하고 있는가?

ㅇ 임직원으로 하여금 개인업무환경에서의 정보보호 준수여부를 자가진단하게 하고 주기적으로 관리부서에서 정보보호 준수여부를 점검하여야 한다.  - 또한 개인업무 환경보안 미준수자는 상벌규정에 따라 관리되어야 한다.

7.3.2 공용업무 환경 보안

사무실에서 공용으로 사용하는 사무처리 기기, 문서고, 공용 PC, 파일서버 등을 통해 중요정보 유출이 발생하지 않도록 보호대책을 마련하여야 한다.

7.3.2.1 팩스, 복사기, 프린터, 공용 PC, 파일서버, 문서고 등 공용으로 사용하는 사무장비 및 시설에 대한 보호대책을 수립 ∙ 이행하고 있는가?

ㅇ 공용으로 사용하는 사무기기, PC, 파일서버, 문서고 등에 대해 다음과 같은 보호대책을 수립하고 이행하여야 한다. - 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요정보문서 방치 금지 - 공용PC : 일정기간 미사용 시 화면보호기를 설정, 재 시작 시 로그인 암호설정, 공용패스워드 사용 시 주기적으로 패스워드 변경, 중요정보 저장 제한 - 파일서버 : 파일서버 접근권한을 부서별, 업무별 등으로 부여하여 불필요한 정보공개 최소화, 사용자 별도 접근계정 발급, 공용 PC 보안대책 적용 - 문서고 : 문서고에 대한 접근권한을 부서별 혹은 업무별로 부여하여 출입가능인원을 최소화하고 CCTV 혹은 출입통제시스템을 설치하여 출입이력 관리 - 공용 사무실 : 회의실, 프로젝트룸, 화상회의실 등 공용사무실 내 중요정보 문서 방치 금지  - 기타 공용업무환경에 대한 보안대책 수립

7.3.2.2 공용업무 환경 보안에 대한 관리자를 지정하고 준수여부를 주기적으로 검토하고 있는가?

ㅇ 공용업무 환경 보안을 담당하는 관리자를 지정하고 각 사무기기, 파일서버, 문서고 등에 적용해야 할 보호대책 준수 여부를 주기적을 점검하여야 한다. 또한 미준수 사항 발견 시 관련 내용을 임직원들에게 공고 또는 교육을 수행하여 주의를 환기시켜야 한다. (예 : 복사기 주변 프린트물 방치 발견 시, 관련 내용을 사내메일 등을 통해 공고하여 주의 환기를 통한 재발방지 유도)