2.4.1 보호구역 지정
상세 내용
물리적∙환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역∙제한구역∙접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립∙이행하여야 한다.
주요 확인사항
•
물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가?
•
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립∙이행하고 있는가?
2.4.2 출입통제
상세 내용
보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
주요 확인사항
•
보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
•
각 보호구역에 대한 내∙외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
2.4.3 정보시스템 보호
상세 내용
정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
주요 확인사항
•
정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
•
정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
•
전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
2.4.4 보호설비 운영
상세 내용
보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도∙습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립∙운영하여야 한다.
주요 확인사항
•
각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?
•
외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?
2.4.5 보호구역 내 작업
상세 내용
보호구역 내에서의 비인가행위 및 권한 오∙남용 등을 방지하기 위한 작업 절차를 수립∙이행하고, 작업 기록을 주기적으로 검토하여야 한다.
주요 확인사항
•
정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립∙이행하고 있는가?
•
보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
2.4.6 반출입 기기 통제
상세 내용
보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립∙이행하고 주기적으로 검토하여야 한다.
주요 확인사항
•
정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립∙이행하고 있는가?
•
반출입 통제절차에 따른 기록을 유지∙관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
2.4.7 업무환경 보안
상세 내용
공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립∙이행하여야 한다.
주요 확인사항
•
문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립∙이행하고 있는가?
•
업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유∙노출을 방지하기 위한 보호대책을 수립∙이행하고 있는가?
•
개인정보가 포함된 종이 인쇄물 등 개인정보의 출력∙복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가?
•
개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?