Home » ISMS 인증기준 – 정보보호대책 (물리적보안)

ISMS 인증기준 – 정보보호대책 (물리적보안)

물리적 보호구역

7.1.1 보호구역 지정

비인가자의 물리적 접근 및 각종 물리적, 환경적 재난으로부터 주요 설비 및 시스템을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 ∙ 이행하여야 한다.

  • 주요 설비 및 시스템을 보호하기 위하여 물리적 보호구역을 다음과 같이 정의하고 구역별 보호대책을 수립 ∙ 이행하고 있는가?
    • 접견구역 : 외부인 접견 구역
    • 제한구역 : 사무실 지역 등
    • 통제구역 : 주요 정보처리 설비 및 시스템 구역 등
ㅇ 전산실, 시스템 운영 및 개발 공간, 통신장비실, 관제센터 등 업무의 중요도 및 정보자산 위치에 따라 물리적 보호 구역을 다음과 같이 구분하고 구역별 보호대책을 수립하고 이행하여야 한다.

– 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등)
– 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등)
– 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)

ㅇ 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도여부를 주기적으로 검토하여야 한다.

7.1.2 보호설비

각 보호구역의 중요도 및 특성에 따라 화재, 전력이상 등 인․재해에 대비하여 온습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 설비를 충분히 갖추고 운영절차를 수립하여 운영하여야 한다. 또한 주요 시스템을 외부 집적정보통신시설에 위탁운영하는 경우 관련 요구사항을 계약서에 반영하고 주기적으로 검토를 수행하여야 한다.

  • 각 보호구역의 중요도 및 특성에 따라 화재, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립 ∙ 관리하고 있는가?
ㅇ 보호구역의 중요도와 특성에 따라 화재, 전력이상, 비인가된 외부침입 등을 방지하기 위하여 보호구역별 필요한 다음과 같은 설비를 갖추고 운영절차를 마련하여야 한다.

– 온습도 조절기 (항온항습기 또는 에어컨)
– 화재감지 및 소화설비
– 누수감지기
– UPS, 비상발전기, 전압유지기
– CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 )
– 전력선 이중화
– 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등

ㅇ 특히 통제구역에 해당하는 전산실의 경우 상기설비를 갖추고 화재, 전력이상, 장애 등의 비상 시 신속한 복구 및 대응이 가능하도록 운영절차를 마련하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘집적정보 통신시설 보호지침(고시)’

  • 보호구역 내 주요 시스템 및 인력을 화재로부터 보호하기 위하여 필요한 설비를 설치하고 지속적으로 운영 ∙ 관리하고 있는가?
ㅇ 화재 감지기를 적절한 간격으로 설치하고 충분한 용량의 소화기를 비치하여야 한다.

– 보호구역 면적에 대비하여 화재 감지기(예 : 열감지, 연기감지) 및 소화기를 설치하여야 하며 주기적으로 화재감지기 및 소화기 상태를 점검하여야 한다.

※ 참고 ※
– 소방시설 설치 ∙ 유지 및 안전관리에 관한 법률

  • 보호구역 내 주요 시스템을 수해로부터 보호할 수 있도록 누수를 탐지할 수 있는 설비를 설치하고 지속적으로 운영 ∙ 관리하고 있는가?
ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 누수 발생 시 탐지가 가능하도록 누수감지기를 설치하고 정상적인 작동유무를 주기적으로 점검하여야 한다.
  • 보호구역 내 주요 정보시스템이 안정적인 환경에서 동작할 수 있도록 적절한 온도와 습도를 유지시키는 항온항습 또는 에어컨을 설치하여 운영 ∙ 관리하고 있는가?
ㅇ 전산실과 같이 주요 시스템이 위치한 보호구역의 경우 온도 16~26도, 습도 40~70%를 항시 유지하기 위하여 전산실 규모에 따른 적정한 규모의 항온항습기 또는 에어컨을 설치하고 주기적으로 항온항습기 또는 에어컨 상태를 점검하여야 한다.
  • 보호구역 내 주요 시스템이 전력을 안정적으로 공급받을 수 있도록 시설을 설치하고 지속적으로 운영 ∙ 관리하고 있는가?
ㅇ 정전, 전기사고 등 갑작스러운 전력공급 중단 시 주요 정보시스템이 전력을 안정적으로 공급받을 수 있도록 전산실 및 시스템 규모를 고려하여 다음과 같은 설비를 구축하고 주기적으로 상태를 점검하여야 한다.

– 무정전전원장치 (UPS)
– 비상발전기
– 이중전원선
– 전압유지기
– 접지시설 등

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘집적정보 통신시설 보호지침(고시)’

  • 화재 등의 재해 발생 시 임직원이 대피절차에 따라 안전하게 대피할 수 있도록 비상벨, 비상등, 비상통로 안내표지 등을 설치하고 있는가?
ㅇ 화재 등의 재해 발생 시 임직원이 대피할 수 있도록 대피절차를 별도로 마련하고 절차에 따라 신속하게 대피할 수 있도록 비상벨, 비상등, 비상로 안내표지 등을 설치하여야 한다.
  • 주요 정보시스템을 외부 집적정보통신시설(IDC)에 위탁운영하는 경우, 물리적보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?
ㅇ 주요 정보시스템을 외부 집적정보통신시설(IDC)에 위탁운영하는 경우 화재, 수재, 전력이상, 온도, 습도, 환기 등의 환경적 위협 및 파손, 도난 등 물리적 위협으로부터 보호되도록 보안요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하여야 한다

– 온습도 조절기 (항온항습기 또는 에어컨)
– 화재감지 및 소화설비
– 누수감지기
– UPS, 비상발전기, 전압유지기
– CCTV, 외부침입감지 및 경보, 출입통제시스템 (예 : 지문인식, 출입카드시스템 등 )
– 전력선 이중화
– 파손방지 (예 : 정보시스템기기의 rack 설치 등) 등
– 구조의 안전성 (설비 하중을 견딜 수 있는 구조)
– IDC의 책입보험 가입여부 (미가입 시 1천만원 이하의 과태료 부과)

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조(집적된 정보통신시설의 보호)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조(보험가입)

7.1.3 보호구역 내 작업

유지보수 등 주요 설비 및 시스템이 위치한 보호구역 내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토하여야 한다.

  • 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우 작업신청 및 수행 관련 절차를 수립하고 작업기록을 주기적으로 검토하고 있는가?
ㅇ 주요 시설 및 정보시스템이 위치한 통제구역(전산실 등)에서 정보시스템 도입 및 폐기, 유지보수(정기점검 포함) 등의 사유로 임직원 및 외부인이 작업을 수행할 경우 다음 사항을 고려하여 작업신청 및 승인, 작업기록 작성, 모바일 기기 반출입 통제 등의 절차를 마련하고 그 기록을 정기적으로 검토하여야 한다.

– 작업신청 시 관련자(예 : 보호구역 출입통제 담당자, 작업신청부서장 등) 검토 ∙ 승인 필요
– 작업기록에는 작업일자, 작업시간, 작업목적, 작업내용, 작업업체 및 담당자명, 검토자 승인자 등 포함
– 작업 수행을 위한 보호구역 출입 절차 마련 및 출입기록의 주기적 검토
– 작업 수행을 위한 모바일기기 반출입 및 모바일 기기 안전성 확보 절차(백신 설치 등) 마련

ㅇ 주요 시설 및 시스템이 위치한 통제구역 내 모바일기기(노트북, 스마트기기 등) 사용은 원칙적으로 금지하는 것이 바람직하다. 다만 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용해야 하는 경우 사전 승인 및 모바일 기기의 보안성 검토를 수행한 후 사용하여야 한다.

7.1.4 출입통제

보호구역 및 보호구역 내 주요 설비 및 시스템은 인가된 사람만이 접근할 수 있도록 출입을 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.

  • 각 보호구역별 내 ∙ 외부자 출입통제 절차를 마련하고 출입 가능한 임직원 현황을 관리하고 있는가?
ㅇ 각 보호구역별로 출입 가능한 부서, 직무, 업무를 정의하고 출입권한이 부여된 임직원을 식별하여 그 현황을 관리하여야 한다.

ㅇ 공식적인 출입절차(출입신청, 책임자 승인, 출입권한부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등)를 마련하고 인가된 사람만이 출입할 수 있도록 하여야 한다.

ㅇ 또한 주요 시설 및 시스템이 위치하고 있는 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제하여야 한다.

ㅇ 특히 보호구역에 외부인 출입이 필요한 경우 내부 임직원 출입절차와는 별도의 절차 (방문객 출입증 발급 및 패용, 방문장소로 출입권한 제한, 담당자 동행, 출입대장 작성 등) 를 마련하여 출입을 통제하여야 한다.

  • 각 보호구역에 대한 내 ∙ 외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
    • 업무 목적에 적합한 출입권한 부여
    • 절차에 따른 출입권한 부여
    • 퇴직자 또는 직무변경자 출입권한 삭제∙조정 및 출입증 회수
    • 업무시간 외 출입
    • 비인가자의 출입 시도 등
ㅇ 각 보호구역 출입의 책임추적성을 확보할 수 있도록 출입기록을 일정기간 보존하고 출입의 적정성을 확인하기 위하여 다음과 같은 기준으로 출입기록을 주기적으로 검토하여야 한다.

– 업무 목적에 적합한 출입권한 부여 : 업무 목적에 비해 과도한 출입권한 부여 시 권한 조정, 장기간 미출입 시 권한 회수 등 조치
– 절차에 따른 출입권한 부여 : 보호구역 출입절차에 따른 권한 부여 여부 확인 (임의적 출입권한 생성 확인)
– 퇴직자 또는 직무변경자 출입권한 삭제 ∙ 조정 및 출입증 회수 : 퇴직자 출입증 회수 및 출입권한을 삭제, 직무변경에 따른 출입권한 조정
– 업무시간 외 출입 : 일상 업무시간 이외 출입 시 출입사유 확인
– 비인가자의 출입 시도 : 중요한 보호구역인 통제구역의 비인가자 출입시도를 확인하여 그 사유를 확인하고 조치
– 외부자 출입기록 : 유지보수, 비상 시 외부자 출입 적정성 검토

상기 검토 기준 이외에도 조직의 업무특성에 따른 기준을 별도로 마련하여 보호구역 출입 적정성을 검토하는 것이 좋다.

ㅇ 또한 시스템적으로 출입로그를 남기지 않는 단순 잠금장치(자물쇠)를 사용하는 경우에는 반드시 출입대장을 작성하여 출입기록을 확인할 수 있도록 하여야 한다.

  • 보호구역 내 중요한 장비, 문서, 매체 등에 대한 반출입 관련 정책 및 절차를 수립 ∙ 이행하고 있는가?
ㅇ 보호구역 내 다음 항목에 대한 반출입 통제 정책 및 절차를 수립하고 이행하여야 한다.

– 장비 (예 : 서버, 네트워크 장비, 항온항습기 등)
– 문서 (예 : 업무관련 대외비 이상의 문서)
– 저장매체 (예 : CD, 테이프 등)

ㅇ ‘반출입관리대장’을 별도로 마련하여 일시, 품명 및 수량, 반출입 담당자, 반출입장소, 반출입 사유, 관리부서 확인 및 서명 등과 내용이 포함되어 이력관리를 하고 책임자가 주기적으로 관리대장 내용의 적정성을 확인하여야 한다.

7.1.5 모바일기기 반출입

노트북 등 모바일 기기 미승인 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방을 위하여 보호구역 내 임직원 및 외부자 모바일 기기 반출입 통제절차를 수립하고 기록 ∙ 관리하여야 한다.

  • 노트북, 패드 등 모바일 기기 반출입 시 반출입 통제 및 보안사고 예방 절차를 수립하고 있는가?
ㅇ 보호구역별로 모바일기기(노트북, 탭, 패드 등)의 반출입에 대한 통제절차를 다음과 같이 마련하여야 한다.

– 보호구역 출입통제 책임자 사전승인
– 반출입 관리대장 기록
– 모바일 기기 보안 점검 수행
– 모바일 기기 반출입내역 주기적 점검 등

ㅇ 모바일기기 반출입을 통한 중요정보 유출, 내부망 악성코드 감염 등의 보안사고 예방절차 수립 시 다음과 같은 사항을 고려하여야 한다.

– (반입시) 안티바이러스 S/W 통한 악성코드 감염여부 점검
– (반입시) USB 포트 차단 및 USB 반입 금지
– (반입시) 모바일 기기 장착된 카메라 렌즈 봉인 등
– (반출시) 중요정보 저장 여부 확인

ㅇ 주요 시설 및 정보자산이 위치한 통제구역 내 모바일기기(노트북, 탭, 패드 등)의 반입은 원칙적으로 금지하는 것이 바람직하며 업무목적으로 작업의 원활한 수행을 위하여 불가피하게 모바일기기를 사용하여야 하는 경우 사전 승인을 받고 상기 모바일 기기 보안사고 예방절차를 이행한 후 사용하는 것이 좋다.

– 다만, 개인용 스마트폰의 경우 예외정책을 적용할 수 있으나 내부 네트워크에 연결하여 사용하지 않도록 하여야 한다.

  • 모바일 기기 반출입 절차에 따라 반출입대장을 작성하고 관리자는 주기적으로 모바일 기기 반출입 이력을 점검하고 있는가?
ㅇ 보호구역 내 임직원 혹은 외부자가 업무목적을 위한 모바일 기기를 반출입하는 경우, 모바일기기 반출입 통제 절차에 따라 허가를 받고 ‘반출입대장’ 이력을 기록하여야 한다.

– 반출입 관리대장에 포함될 내용 : 일시, 사용자, 기종(모델), 기기식별번호(MAC, 시리얼 번호 등), 사유, 반출입 장소, 보안점검 결과, 관리자 확인서명 등

ㅇ 모바일 반출입대장은 관리자가 주기적으로 점검하여 반출입이 적정한 절차에 따라 이루어졌는지 검토하여야 한다.

시스템 보호

7.2.1 케이블 보안

데이터를 송수신하는 통신케이블이나 전력을 공급하는 전력 케이블은 손상을 입지 않도록 보호하여야 한다.

  • 전력 및 통신케이블이 외부로부터의 물리적 손상이나 전기적 영향(예 : 간섭)으로부터 보호되고 있는가?
ㅇ 전력 및 통신케이블 등이 외부의 영향 없이 안정적으로 전력 및 데이터 전송이 이루어질 수 있도록 다음과 같은 보호조치를 취하여야 한다.

– 전력 및 통신케이블은 물리적으로 구분하여 배선
– 전력 및 통신케이블에 대한 식별 (어느 시스템에 연결되어 있는 지 확인 필요)
– 전력 및 통신케이블 사이의 상호간섭을 방지하기 위한 거리유지
– 케이블을 지지하고 보호할 수 있는 설비 설치 (예 : 케이블 트레이)
– 도청이나 손상이 일어나지 않도록 케이블을 보이지 않게 매설할 것
– 약전실, 강전실, 배전반 등에 대한 접근통제 등

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘집적정보 통신시설 보호지침(고시)’
– 방송통신설비의 기술기준에 관한 규정

7.2.2 시스템 배치 및 관리

시스템은 그 특성에 따라 분리하여 배치하고 장애 또는 보안사고 발생 시 주요 시스템의 위치를 즉시 확인할 수 있는 체계를 수립하여야 한다.

  • 정보시스템의 특성을 고려하여 배치 장소를 분리하고 있는가?
ㅇ 서버, 네트워크 장비, 정보보호시스템, 백업장치 등 정보시스템 특성에 따라 분리하여 배치하고 전산랙(Rack)등을 이용하여 시스템을 외부로부터 보호하여야 한다.

ㅇ 개인정보 또는 사내 기밀정보 등 중요정보를 저장하고 있는 서버나 중요 네트워크 장비(백본 등)의 경우 전산랙에 잠금장치를 설치하는 등 인가된 자에 한해 접근이 가능하도록 관리하여야 한다.

  • 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하고 있는가?
ㅇ 장애 또는 보안사고 발생 시 신속한 조치를 위하여 시스템의 위치를 담당자가 즉시 확인할 수 있도록 물리적 배치도(시설 단면도, 배치도 등) 또는 목록을 마련하여 최신본으로 관리하여야 한다.

– 또한 시스템 정보자산목록에 물리적 위치 항목을 포함하여 목록에서 언제든지 물리적 배치를 확인 가능하도록 하여야 한다.

사무실 보안

7.3.1 개인업무 환경 보안

일정시간 동안 자리를 비울 경우에는 책상 위에 중요한 문서나 저장매체를 남겨놓지 않고 컴퓨터 화면에 중요정보가 노출되지 않도록 화면보호기 설정, 패스워드 노출 금지 등 보호대책을 수립하여야 한다.

  • 개인업무 환경에서의 정보보호에 대한 정책을 수립 ∙ 이행하고 있는가?
    • 자리 이석 시 중요문서 및 저장매체 방치 금지
    • 자리 이석 시 컴퓨터 화면보호기 및 패스워드 설정
    • 개인용컴퓨터 보안설정
    • 중요문서 파기대책 등
“ㅇ 일상업무를 수행하는 사무실 환경에 대해 다음과 같은 보호대책이 명시된 정책을 수립하고 이행하여야 한다.

– 일정시간 자리 이석, 퇴근, 휴가 시 책상 위에 중요문서, 저장매체방치 금지
– 중요 문서가 보관된 서랍장, 캐비넷 잠금장치 사용
– 일정시간 컴퓨터 미사용 시 화면보호기를 설정, 재시작 시 로그인 설정, 장기간 자리 이석 시 컴퓨터 로그오프
– 안전한 로그인 비밀번호 사용 및 주기적 변경
– 개인용컴퓨터 백신설치, 최신 패치, 공유폴더 설정 제한
– 개인용컴퓨터 및 업무시스템 안전한 로그인 비밀번호 사용 및 주기적 변경, 로그인정보(ID, 비밀번호) 노출 금지 (포스트잇 기록 부착 등)
– 중요 정보가 포함된 문서 폐기 시 세절기를 이용한 파쇄 등”

  • 개인업무 환경에서의 정보보호 준수여부를 주기적으로 점검하고 있는가?
ㅇ 임직원으로 하여금 개인업무환경에서의 정보보호 준수여부를 자가진단하게 하고 주기적으로 관리부서에서 정보보호 준수여부를 점검하여야 한다.

– 또한 개인업무 환경보안 미준수자는 상벌규정에 따라 관리되어야 한다.

7.3.2 공용업무 환경 보안

사무실에서 공용으로 사용하는 사무처리 기기, 문서고, 공용 PC, 파일서버 등을 통해 중요정보 유출이 발생하지 않도록 보호대책을 마련하여야 한다.

  • 팩스, 복사기, 프린터, 공용 PC, 파일서버, 문서고 등 공용으로 사용하는 사무장비 및 시설에 대한 보호대책을 수립 ∙ 이행하고 있는가?
“ㅇ 공용으로 사용하는 사무기기, PC, 파일서버, 문서고 등에 대해 다음과 같은 보호대책을 수립하고 이행하여야 한다.

– 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요정보문서 방치 금지
– 공용PC : 일정기간 미사용 시 화면보호기를 설정, 재 시작 시 로그인 암호설정, 공용패스워드 사용 시 주기적으로 패스워드 변경, 중요정보 저장 제한
– 파일서버 : 파일서버 접근권한을 부서별, 업무별 등으로 부여하여 불필요한 정보공개 최소화, 사용자 별도 접근계정 발급, 공용 PC 보안대책 적용
– 문서고 : 문서고에 대한 접근권한을 부서별 혹은 업무별로 부여하여 출입가능인원을 최소화하고 CCTV 혹은 출입통제시스템을 설치하여 출입이력 관리
– 공용 사무실 : 회의실, 프로젝트룸, 화상회의실 등 공용사무실 내 중요정보 문서 방치 금지
– 기타 공용업무환경에 대한 보안대책 수립”

  • 공용업무 환경 보안에 대한 관리자를 지정하고 준수여부를 주기적으로 검토하고 있는가?
“ㅇ 공용업무 환경 보안을 담당하는 관리자를 지정하고 각 사무기기, 파일서버, 문서고 등에 적용해야 할 보호대책 준수 여부를 주기적을 점검하여야 한다. 또한 미준수 사항 발견 시 관련 내용을 임직원들에게 공고 또는 교육을 수행하여 주의를 환기시켜야 한다.
(예 : 복사기 주변 프린트물 방치 발견 시, 관련 내용을 사내메일 등을 통해 공고하여 주의 환기를 통한 재발방지 유도)”