4 보호대책 요구사항(2)
2.3 외부자 보안
- 단계별 보호 대책 적용(계약 - 업무 수행 - 업무종료)
외부자 보안 보호대책
-
외부자와 계약시
- 정보보호 및 개인정보보호 요구사항을 계약 관련 문서에 반영
- 법률 요구사항이 누락되지 않도록 주의
-
외부자와 업무 수행 시
- 보호대책 준수여부 확인, 주기적인 점검 또는 감사 수행
-
외부자와 업무 종료 시
- 정보유출에 대비해 공식적인 절차를 통해 자료 회수 및 삭제
2.3.1 외부자 현황 관리
< 인증 기준 >
업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
< 주요 확인사항 >
관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설 서비스의 이용 현황을 식별하고 있는가
업무 위탁 및 외부 시설 서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가
2.3.2 외부자 계약 시 보안
<인증기준>
외부서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
<주요확인사항>
중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가
외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가
정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가
외부자 계약 시 체크사항
-
정보보호 및 개인정보보호 요구사항을 식별하여 계약서나 협정서, 협약서, SLA등에 명시
-
개인정보 처리업무를 위탁하는 경우, 개인정보보호 관련법 필수사항 포함
-
정보시스템 및 개인정보처리시스템을 개발하는 경우, 개발시 준수사항 추가 명시
2.3.3 외부자 보안 이행 관리
< 인증기준 >
계약서 협정서 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적으로 점검 또는 감사 등 관리 감독하여야 한다.
< 주요확인사항 >
-
외부자가 계약서,협정서,내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가
-
외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선 계획을 수립 이행 하고 있는가
-
개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가
2.3.4 외부자 계약 변경 및 만료 시 보안
< 인증기준 >
외부자 계약 만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
< 주요확인사항 >
-
외부자 계약만료, 업무종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등이 이루어질수 있도록 보호대책을 수립 이행하고 있는가
-
외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수 파기할수 있도록 절차를 수립 이행하고 있는가
외부자 위탁 종료 시 체크사항
업무 관련 모든 자료는 회수 또는 삭제, 별도 복사본의 보관 여부 확인
사용한 저장매체는 복원이 불가능한 방법으로 완전삭제
중요정보 및 개인정보는 보유하고 있지 않는다는 확약서 징구 가능
2.4 물리보안
지속적인 물리 보안은 필수
출입통제
- 업무를 고려하여 필요한 인원만 출입 허용
- 출입내역 기록 및 주기적인 기록 검토
정보시스템 보호 및 보호설비 운영
- 안전한 환경 내 정보시스템 및 업무가 유지되도록 장비보호
- 화재, 누수, 전력차단 등 물리적 영향을 고려하여 설비 운영
보호구역 내 작업
반출입 기기 통제
업무환경 보안
2.4.1 보호구역 지정
< 인증기준 >
물리적 환경적 위협으로 부터 개인정보 및 중요정보 문서 저장매체 주요설비 및 시스템 등을 보호하기 위하여 통제구역 제한구역 접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립 이행하여야 한다.
< 주요확인사항 >
물리적 환경적 위협으로부터 개인정보 및 중요정보 문서 저장매체 주요 설비 및 시스템 등을 보호하기 위하여 통제구역 제한구역 접견구역 등 물리적 보호구역 지정 기준을 마련하고 있는가
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대택을 수립 이행하고 있는가
물리적으로 구역 구분
- 물리적, 환경적 위협으로 부터 보호해야 하는 자산을 고려
- 기준에 따라 보호구역 지정, 구역별 보호대책 수립 및 이행
- 강화된 보호대책이 필요한 보호구역의 경우 세부 보안활동 명시
2.4.2 출입통제
< 인증 기준 >
보호구역은 인가된 사람만이 출입하도록 통제하고 책임 추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
< 주요확인사항 >
보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가
각 보호구역에 대한 내 외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가
통제구역 : 강화된 보호대책이 필요한 구역
- 책임자 승인 하에, 최소한의 인원만 출입
- 출입기록의 정기적 검토
2.4.3 정보시스템 보호
< 인증기준 >
정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
< 주요확인사항 >
정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가
정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가
전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가
2.4.4 보호 설비 운영
< 인증기준 >
보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도 습도 조절 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립 운영하여야 한다.
< 주요확인사항 >
-
각 보호구역의 중요도 및 특성에 따라 화재 수해 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가
-
외부 직접정보통신시설에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가
2.4.5 보호구역 내 작업
< 인증기준 >
보호구역 내에서의 비인가 행위 및 권한 오 남용 등을 방지하기 위한 작업 절차를 수립 이행하고 작업 기록을 주기적으로 검토하여야 한다.
< 주요확인사항 >
정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행절차를 수행 이행하고 있는가
보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가
보호구역 내 작업 시 보안사고 대비
공식적인 작업 신청 및 수행 절차 수립
작업관리 대장 등을 통해 작업기록 관리
정보시스템 작업 로그
2.4.6 반출입 기기 통제
< 인증기준 >
보호구역 내 정보시스템, 모바일 기기, 저장매채 등에 대한 반출입 통제절차를 수립 이행하고 주기적으로 검토하여야 한다.
< 주요확인사항 >
정보시스템, 모바일기기, 저장매채 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제절차를 수립 이행하고 있는가
반출입 통제절차에 따른 기록을 유지 관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으러 점검하고 있는가
2.4.7 업무환경 보안
< 인증 기준 >
공용으로 사용하는 사무용 기기(문서고, 공용PC, 복합기, 파일서버 등) 및 개인업무환경(업무용 PC, 책상등)을 통해 개인정보 및 중요정보가 비인가자에게 노출또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립 이행하여야 한다.
< 주요확인사항 >
-
문서고, 공용PC, 복합기, 파일서버 등 고용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립 이행하고 있는가
-
업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유 노출을 발지하기 위한 보호대책을 수립 이행하고 있는가
-
개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가
