④ 비밀 유지서약서 작성
조직 내 모든 내부자에게 “비밀 유지서약서”를 받아야 한다. 여기서 내부자는 광의의 내부자를 의미한다. 비밀 유지서약서에는 보안 규정 미준수로 인한 “벌칙”과 “손해배상 책임” 등의 내용을 명시하고 “서명”을 받아야 한다. 또한 임직원의 퇴사 시 또는 외부자와의 계약 만료, 업무 종료 시 별도의 비밀 유지서약서를 받고 위반 시 “법적 책임”이 있음을 상기시켜야 한다. 비밀 유지서약서는 “법적 분쟁” 발생 시 “증거자료”로 사용할 수 있도록 보존하고 관리하여야 한다.
관련표준 및 지침
| K-ISMS | 6.1.3 비밀유지서약서 |
| ISO/IEC 27002:2013 | A.7.1.2 Terms and conditions of employment A.13.2.4 Confidentiality or non-disclosure agreements |
| NIST SP 800-53 | PL-4, PS-6 PL-4, PS-6, SA-9 |
⑤ 퇴직 및 직무 변경 관리
퇴직 및 직무 변경 시 관련 부서에 인사 변경 내용이 공유되어야 하며, “자산반납”, “접근권한 조정 및 회수” 등을 절차에 따라 시행하여야 한다.
관련표준 및 지침
| K-ISMS | 6.2.1 퇴직 및 직무변경 관리 |
| ISO/IEC 27002:2013 | A.7.3.1 Termination or change of employment responsibilities |
| NIST SP 800-53 | PS-4, PS-5 |
5) 물리 보안
물리보안은 조직의 중요 자산과 정보에 대해서 물리적 접근, 훼손, 방해로부터 안전하게 보호하는 것을 목적으로 두고 있다. 중요하거나 민감한 중요 자산과 설비는 보호구역을 지정하여 안전하게 보호되어야 하며, 보호구역은 인가된 내부자만 접근이 가능하도록 적절한 출입 통제가 이루어져야 한다. 또한 보호구역 내 작업은 절차에 의해 수행되고 기록되어야 하며, 사무실 내에서 중요 자산이 분실되지 않도록 보호 대책을 수립하여야 한다.
① 보호구역 지정
업무의 중요도 및 정보자산 위치에 따라 물리적 보호구역을 지정하고 구역별 보호 대책을 수립하고 이행하여야 한다. 보호구역은 “접견 구역”, “제한구역”, “통제구역”으로 <표 24>와 같이 구분할 수 있다. 또한 통제구역은 “통제구역임을 표시”하고 출입 통제를 차단하며 “불법적인 접근시도 여부”를 “주기적으로 검토”하여야 한다.
<표 24> 물리적 보호구역 유형
| 보호구역 유형 | 설명 |
| 접견구역 | 외부인이 출입증 없이 출입이 가능한 구역 (예: 접견 장소 등) |
| 제한구역 | 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 출입증이 필요한 구역 (예: 사무실 등) |
| 통제구역 | 출입자격이 사전 등록된 특정인으로 한정되며 출입을 위하여 추가적인 절차가 필요한 구역 (예: 전산센터, 관제실, 공조실, 발전실 등) |
관련표준 및 지침
| K-ISMS | 7.1.1 보호구역 지정 |
| ISO/IEC 27002:2013 | A.11.1.1 Physical security perimeter |
| NIST SP 800-53 | PE-3, PE-4, PE-5 |
② 보호구역 내 작업 통제
보호구역 내에서의 작업이 필요한 경우 “작업절차”를 수립하고 작업절차에 따라 작업이 이행되었는지를 “작업기록”을 통하여 주기적으로 검토하여야 한다. 작업절차에는 “작업신청서 작성”, “작업기록 검토”, “출입하기로 검토” 등이 정의되어야 한다.
관련표준 및 지침
| K-ISMS | 7.1.3 보호구역 내 작업 |
| ISO/IEC 27002:2013 | A.11.1.5 Working in secure areas |
| NIST SP 800-53 | PE-1 |
③ 출입 통제
보호구역은 인가된 내부자만이 접근할 수 있도록 “출입 통제 절차”를 마련하고 “출입 및 접근 이력”을 “일정 기간 보존”하고 “주기적으로 검토”하여야 한다. 보호구역은 사전 출입할 수 있는 내부자를 식별하고 “출입 절차”에 의해서만 출입하여야 하며, 출입할 수 있는 내부자는 업무 목적에 따라 “최소한의 인원”만 출입할 수 있도록 통제하여야 한다. 특히 외부자 혹은 외부인이 출입할 경우에는 “별도의 절차를 마련하고 담당자가 동행”하여야 한다. 또한 모든 출입 및 접근 시도는 기록되어야 하고 기록된 출입 기록은 “주기적으로 검토”되어야 한다.
관련표준 및 지침
| K-ISMS | 7.1.4 출입통제 |
| ISO/IEC 27002:2013 | A.11.1.2 Physical entry controls A.11.1.6 Delivery and loading areas |
| NIST SP 800-53 | MA-5, PE-2, PE-3, PE-4, PE-5, PE-6, PE-8 PE-3 , PE-16 |
④ 중요자산 반·출입 통제
보호구역 내 중요 자산에 대한 “반·출입 관련 정책 및 절차”를 수립하고 이행하여야 한다. 중요 자산은 “장비”, “문서”, “저장매체” 등을 포함하며 중요 자산의 반출입할 때에는 “반·출입 관리대장”에 이력 관리하고 “반·출입 관리대장”은 주기적으로 검토되어야 한다. 또한 보호구역 내 “모바일기기 반·출입”은 “중요정보 유출” 및 “내부망 악성코드 감염” 등의 문제가 발생할 수 있으므로 보안사고 예방을 위하여 “반·출입을 통제하는 절차를 수립”하고 반·출입 내역은 기록 및 관리되어야 한다.
관련표준 및 지침
| K-ISMS | 7.1.4 출입통제 7.1.5 모바일기기 반출입 |
| ISO/IEC 27002:2013 | A.8.1.4 Return of assets |
| NIST SP 800-53 | PS-4, PS-5 |
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 예방(5) (0) | 2022.07.20 |
|---|---|
| 단계별 내부통제항목 - 예방(4) (0) | 2022.07.19 |
| 단계별 내부통제항목 - 예방(2) (0) | 2022.07.17 |
| 단계별 내부통제항목 - 예방(1) (0) | 2022.07.16 |
| 단계별 내부통제항목 - 억제(2) (0) | 2022.07.15 |
댓글