항목 : 2.4.6 반출입 기기 통제
■ 인증기준 : 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립· 이행하고 주기적으로 검토하여야 한다.
■ 주요 확인사항
- 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보 유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하고 있는가?
- 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
- 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지)
■ 세부 설명
① 정보시스템, 모바일 기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립·이행하여야 한다.
- 반출입 통제 대상 : 정보시스템(서버, 네트워크 장비 등), 모바일 기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
- 반출입 통제 절차 : 보호구역 출입통제 책임자 사전승인, 반출입 관리대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등), 반출입 내역 주기적 검토 등
- 예외 사용 절차 : 예외 신청·승인, 반출입 관리대장 기록 등
② 반출입 통제절차에 따른 기록을 유지·관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하여야 한다.
- 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)
③ 반출입 이력을 주기적으로 점검하여 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토
■ 증적예시
- 보호구역 내 반출입 신청서
- 반출입 관리대장
- 반출입 이력 검토 결과
■ 결함사례
- 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우
- 내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.5 인증 및 권한관리(2.5.1 사용자 계정 관리) (0) | 2023.02.17 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.7 업무환경 보안) (0) | 2023.02.16 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.5 보호구역 내 작업) (0) | 2023.02.16 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.4 보호설비 운영) (0) | 2023.02.16 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.3 정보시스템 보호) (0) | 2023.02.15 |