항목 : 2.4.1 보호구역 지정
■ 인증기준 : 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.
■ 주요 확인사항
- 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가?
- 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립· 이행하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
- 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지)
금융분야 추가확인사항
- 전자금융감독규정 제11조(전산실 등에 관한 사항) 제10호
■ 세부 설명
① 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하여야 한다
- 접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정
- 보호구역의 용어와 구분은 조직의 환경에 맞게 선택`
② 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.
- 구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용
- 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토
금융분야 추가확인사항
- 금융회사 또는 전자금융업자는 중요시설 및 지역을 보호구역으로 설정하여 관리할 것
- 전산센터 및 재해복구센터
- 전산자료 보관실
- 정보보호시스템 설치장소
- 그 밖에 보안관리가 필요하다고 인정되는 정보처리시스템 설치장소
■ 증적예시
- 물리적 보안 지침(보호구역 지정 기준)
- 보호구역 지정 현황
- 보호구역 표시
- 보호구역별 보호대책 현황
■ 결함사례
- 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
- 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.3 정보시스템 보호) (0) | 2023.02.15 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.2 출입통제) (0) | 2023.02.15 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.3 외부자 보안(2.3.4 외부자 계약 변경 및 만료 시 보안) (0) | 2023.02.15 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.3 외부자 보안 이행 관리) (0) | 2023.02.14 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.2 외부자 계약시 보안) (0) | 2023.02.14 |