항목 : 2.4.3 정보시스템 보호
■ 인증기준 : 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
■ 주요 확인사항
- 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
- 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
- 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
■ 관련 법규(금융분야 추가확인사항)
- 전자금융감독규정 제10조(전원, 공조 등 설비에 관한 사항) 제1호, 제11조(전산실 등에 관한 사항) 제7호
■ 세부 설명
① 정보시스템의 중요도, 용도, 특성을 고려하여 배치 장소를 분리하여야 한다.
- 정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라 전산랙을 이용하여 시스템을 외부로부터 보호
- 개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금 장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리
② 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하여야 한다.
- 보안사고, 장애 발생 시 신속한 조치를 위한 물리적 배치도(시설 단면도, 배치도 등), 자산목록 관리
- 자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본 유지
③ 전력 및 통신케이블을 물리적 손상 및 전기적 영향으로부터 안전하게 보호하여야 한다.
- 물리적으로 구분·배선, 식별 표시, 상호 간섭받지 않도록 거리 유지, 케이블 매설 등 조치
- 배전반, 강전실, 약전실 등에는 인가된 최소한의 인력만 접근할 수 있도록 접근통제
■ 증적예시
- 정보처리시설 도면
- 정보시스템 배치도
- 자산목록
■ 결함사례
- 시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
- 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.5 보호구역 내 작업) (0) | 2023.02.16 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.4 보호설비 운영) (0) | 2023.02.16 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.2 출입통제) (0) | 2023.02.15 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.1 보호구역 지정) (0) | 2023.02.15 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.3 외부자 보안(2.3.4 외부자 계약 변경 및 만료 시 보안) (0) | 2023.02.15 |