2.4.1. 보호구역 지정
물리적· 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역· 제한구역· 접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립· 이행하여야 한다.
(간편인증-7의2) 2.3.1. 보호구역 지정
내외부의 위협으로부터 주요 설비 및 자료 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립하고 이행 여부를 주기적으로 검토하여야 한다.
1. 물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정 기준을 마련하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 접견구역, 제한구역, 통제구역 등으로 물리적 보호구역을 지정
- 보호구역의 용어와 구분은 조직의 환경에 맞게 선택
※ 물리적 보호구역(예시)
- 접견구역: 외부인이 별다른 출입증 없이 출입이 가능한 구역(예: 접견장소 등)
- 제한구역: 비인가 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소(예: 부서별 사무실 등)
- 통제구역: 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳(예: 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등)
(가상자산사업자) 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리하고 있는가?
상세 기준 ▶
- 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리
2. 물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립· 이행하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 구역별로 출입통제 방식(ID카드, 생체인식 등), 출입 가능자, 출입 절차, 영상감시 등 보호대책 적용
- 통제구역은 조직 내부에서도 출입 인가자를 최소한으로 제한하고 있으므로 필요시 통제구역임을 표시하여 접근시도 자체를 원천적으로 차단하고 불법적인 접근시도 여부를 주기적으로 검토
(가상자산사업자) 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가?
상세 기준 ▶
- 출입구에 CCTV 설치
- 월렛룸 출입부터 금고까지의 접근 권한 최소화 및 권한 분산
: Ex) 출입권한 보유자, 금고열쇠 보유자, 금고번호 보유자 분산
- 출입통제장치를 통한 출입 기록
- 금고관리대장을 통한 금고열람 기록
운영 내역(증적) 예시
- 물리적 보안 지침(보호구역 지정 기준)
- 보호구역 지정 현황
- 보호구역 표시
- 보호구역 별 보호대책 현황
** 인증심사 결함사항 예시 **
- 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통 제구역에서 누락된 경우
- 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나 일부 통제구역에 표시판을 설치하지 않은 경우
2.4.2. 출입통제
보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
(간편인증-7의2) 2.3.1. 보호구역 지정과 병합
(간편인증-7의3) 2.4.1. 출입통제
통제구역은 비인가자의 출입을 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.
1. 보호구역별로 허가된 자만이 출입할 수 있도록 내· 외부자 출입통제 절차를 마련하고 출입 가능 인원 현황을 관리하고 있는가?은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가? (개정 23.11.23.) (간편인증-7의2)
(간편인증-7의3) 통제구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
상세 기준 ▶
- 보호구역별로 출입 가능한 부서· 직무· 업무를 정의, 출입권한이 부여된 임직원 식별하고 그 현황을 관리
- 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제
- 출입절차 : 출입신청, 책임자 승인, 출입권한부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등
- 출입통제 장치 설치 : 비밀번호 기반, ID카드 기반, 생체정보 기반 등
- 출입통제 절차 수립· 운영 : 출입자 등록· 삭제, 출입권한 관리, 방문자 관리, 출입대장 관리 등
(가상자산사업자) 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가?
상세 기준 ▶
- 출입자에 대한 최소 권한 부여
- 출입권한 부여는 출입권한을 보유한 인원이 부여
2. 각 보호구역에 대한 내· 외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가? (간편인증-7의2)
(간편인증-7의3) 각 통제구역에 대한 내∙외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
상세 기준 ▶
- 출입기록을 일정기간 보존하여 사후 모니터링이 가능하도록 문서적 또는 전자적으로 보존
- 출입기록 및 출입권한 검토 : 장기 미출입자, 비정상적인 출입 시도, 출입권한 과다부여 여부 등
- 비인가자 출입 시도, 장기 미출입자 등을 확인하여 그 사유를 확인하고 조치
- 주기적 검토를 통하여 퇴직자 출입증 회수 및 출입권한 삭제, 직무변경에 따른 출입권한 조정
- 시스템적으로 출입로그를 남길 수 없는 경우 출입대장을 작성하여 출입기록 확인
(가상자산사업자) 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고 하고 있는가?
상세 기준 ▶
- 출입관리시스템, CCTV, 출입관리대장의 정상 기록 여부 및 출입 기록 일치성 점검
- 비인가 출입 시도 이력 점검
- 출입권한 최소부여 및 적절성 점검
운영 내역(증적) 예시
- 출입 관리대장 및 출입로그
- 출입 등록 신청서 및 승인 내역
- 출입기록 검토서
- 출입통제시스템 관리화면(출입자 등록 현황 등)
** 인증심사 결함사항 예시 **
- 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우
- 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기톡을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우
- 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
(CELA)통제구역 내 출입 관리대장을 운영하고 있으나 담당자 확인 서명란이 누락되는 등 작성이 미흡한 경우
- (CELA)통제구역 출입 신청 절차가 없어, 출입 신청 이력에 대한 내용을 확인할 수 없는 경우
- (CELA)통제구역 출입 기록에 대한 주기적인 검토를 수행하지 않고 있는 경우
2.4.3. 정보시스템 보호
정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.
(간편인증-7의2) 2.3.2. 정보시스템 보호
1. 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라 전산랙을 이용하여 시스템을 외부로부터 보호
- 개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금 장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리
2. 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 보안사고, 장애 발생 시 신속한 조치를 위한 물리적 배치도(시설 단면도, 배치도 등), 자산목록 관리
- 자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본 유지
3. 전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 물리적으로 구분· 배선, 식별 표시, 상호 간섭 받지 않도록 거리 유지, 케이블 매설 등 조치
- 배전반, 강전실, 약전실 등에는 인가된 최소한의 인력만 접근할 수 있도록 접근통제
운영 내역(증적) 예시
- 정보처리시설 도면
- 정보시스템 배치도
- 자산목록
** 인증심사 결함사항 예시 **
- 시스템 배치도가 최신 변경사항을 반영하여 업데이트 되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우
- 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우
- (CELA)IDC 센터 내 장비의 USB 포트를 차단하지 않은 경우
2.4.4. 보호설비 운영
보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도· 습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립· 운영하여야 한다.
1. 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?
상세 기준 ▶
※ 물리적 보호설비(예시)
- 온· 습도 조절기(항온항습기 또는 에어컨)
- 화재감지 및 소화설비
- 누수감지기
- UPS, 비상발전기
- 전압유지기, 접지시설
- 이중전원선
- 침입 경보기
- CCTV
- 출입통제시스템(ID카드, 생체인식, 무게감지 등)
- 비상등, 비상로 안내표지 등
2. 외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가? (개정 23.11.23.)
상세 기준 ▶
- 정보보호 관련 법규 준수, 화재, 전력 이상 등 재난· 재해 대비, 출입통제, 자산 반출입 통제, 영상감시 등 물리적 보안통제 적용 및 사고 발생 시 손해 배상에 관한 사항 등
- IDC의 책임보험 가입여부 (미가입 시 1천만원2천만원(개정 23.11.23.) 이하의 과태료 부과)
※ 집적정보통신시설 관련 참고 법령 및 고시
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조(집적된 정보통신시설의 보호)
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조(보험가입)
- 집적정보통신시설 보호지침
- 방송통신발전 기본법 제35조의3(통신시설의 등급 지정), 제36조(방송통신재난관리기본계획의 수립절차), 제36조의2(방송통신재난관리계획의 이행)
- 방송통신발전 기본법 시행령 제23조(주요방송통신사업자), 제23조의3(통신시설의 등급 분류기준 등)
- 주요통신사업자의 통신시설 등급 지정 및 관리 기준
(개정 23.11.23)
운영 내역(증적) 예시
- 물리적 보안 지침(보호설비 관련)
- 전산실 설비 현황 및 점검표
- IDC 위탁운영 계약서, SLA 등
** 인증심사 결함사항 예시 **
- 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
- 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 및 점검기준을 수립하고 있지 않은 경우
- 운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우
2.4.5. 보호구역 내 작업
보호구역 내에서의 비인가행위 및 권한 오· 남용 등을 방지하기 위한 작업 절차를 수립· 이행하고, 작업 기록을 주기적으로 검토하여야 한다.
(간편인증-7의2) 2.3.3. 반출입 기기 통제와 병합
1. 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립· 이행하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 작업절차: 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
- 작업기록: 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
- 통제방안: 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
(가상자산사업자) 월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가?
상세 기준 ▶
- 보호구역 내 작업절차에는 소지품 제한, 주소 오입력 방지, 작업내용 사전 공유/승인, 1원 전송, 작업 감시(입회인), 작업 이후 검증 등의 절차 포함
※ 실제 거래는 불가하더라도, 테스트넷을 통한 활용, 관련 인프라, 시스템, 절차 등을 오픈했을 때와 동일하게 준비 필요
2. 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 작업검토: 사전 승인 내역, 출입기록, 작업 기록 등에 대한 정기적 검토 수행 등
- 검토방법: 출입 신청서와 출입 내역(관리대장, 시스템 로그 등) 일치성 등
운영 내역(증적) 예시
- 작업 신청서, 작업 일지
- 통제구역 출입 대장
- 통제구역에 대한 출입기록 및 작업기록 검토 내역
** 인증심사 결함사항 예시 **
- 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
- 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 직업기록에 대한 점검이 이루어자고 있지 않은 경우
(CELA)보호구역 내 반출입 기기에 대한 보안점검을 수행하고 있지 않은 경우
2.4.6. 반출입 기기 통제
보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립· 이행하고 주기적으로 검토하여야 한다.
(간편인증-7의2) 2.3.3. 반출입 기기 통제
보호구역 내에서의 비인가행위 및 권한 오∙남용 등을 방지하기 위하여 작업 절차를 수립∙이행하고, 반출입 이력을 주기적으로 검토하여야 한다.
1. 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립‧이행하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 반출입 통제 대상: 정보시스템(서버, 네트워크 장비 등), 모바일기기(노트북, 스마트패드, 스마트폰 등), 저장매체(HDD, SDD, USB메모리, 외장하드디스크, CD/DVD, 테이프 등) 등
- 반출입 통제 절차: 보호구역 출입통제 책임자 사전승인, 반출입 관리 대장 기록, 반출입 기기에 대한 보안점검 수행(백신설치 여부, 보안업데이트 여부, 악성코드 감염 여부, 보안스티커 부착 여부, 중요 정보 유출 여부 등) 반· 출입 내역 주기적 검토 등
- 예외 사용 절차 예외 신청· 승인, 반출입 관리대장 기록 등
※ 반출입 관리대장 기록사항(예시)
- 반출입 일시 및 장소
- 사용자 정보
- 기종(모델), 기기식별정보(시리얼번호 등)
- 반출입 사유
- 보안 점검 결과
- 관리자 확인 서명 등
2. 반출입 통제절차에 따른 기록을 유지‧관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가? (간편인증-7의2)
상세 기준 ▶
- 보호구역 내 반출입 이력에 대한 기록 유지(반출입 관리대장, 반출입 통제시스템 로그 등)
- 보호구역 내 반출입이 통제 절차에 따라 적절하게 수행되었는지 여부 검토
운영 내역(증적) 예시
- 보호구역 내 반출입 신청서
- 반출입 관리대장
- 반출입 이력 검토 결과
** 인증심사 결함사항 예시 **
- 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우
- 내부 지침에 따라 전산장비 반·출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서 명이 다수 누락되어 있는 경우
2.4.7. 업무환경 보안
공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립· 이행하여야 한다.
(간편인증-7의2) 2.3.4. 업무환경 보안 (간편인증-7의3) 2.4.2. 업무환경 보안
1. 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립· 이행하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 문서고: 출입인원 최소화, 부서· 업무별 출입 접근권한 부여, 출입이력 관리
- 공용PC: 담당자 지정, 화면보호기 설정, 로그인 암호설정, 주기적 패스워드 변경, 중요정보 저장 제한, 백신 설치, 보안업데이트 등
- 공용사무기기: 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요 문서 방치 금지
- 파일서버: 부서별, 업무별 접근권한 부여, 불필요한 정보공개 최소화, 사용자별 계정 발급
- 공용 사무실: 회의실, 프로젝트룸 등 공용사무실 내 중요정보(개인정보) 문서 방치 금지
- 기타 공용업무환경에 대한 보호대책 수립
2. 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유· 노출을 방지하기 위한 보호대책을 수립‧이행하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 이석 시 보호조치 개인정보 및 개인정보가 포함된 서류와 보조저장매체 방치 금지(클린데스크), 화면보호기 및 비밀번호 설정 등
- 모니터 및 책상 등에 로그인 정보(비밀번호 등) 노출 금지
- 개인정보 및 중요정보가 포함된 서류 및 보조저장매체는 잠금장치가 있는 안전한 장소에 보관
- 개인정보 및 중요정보가 포함된 서류는 세절기 등을 이용하여 복구되지 않도록 파쇄
- 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 등
3. 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가? (개정 23.11.23.) (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
※ 출력·복사물 보호조치(예시)
- 출력·복사물 보호 및 관리 정책, 규정, 지침 등 마련
- 출력·복사물 생산·관리 대장 마련 및 기록
- 출력·복사물 운영·관리 부서 지정 및 운영
- 출력·복사물 외부반출 및 재생산 통제·신고·제한
- 인쇄자, 인쇄일시 등 출력·복사물 기록 저장·관리
- 종이 인쇄물에 대한 파기 절차, 파기여부 확인 등을 포함하는 파기계획 수립 및 주기적 점검
- 복합기 보안, 출력물 워터마크 등 출력·복사물 보안기술 적용 등
(개정 23.11.23.)
4. 개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 개인 및 공용업무 환경 보안규정 미준수자는 상벌규정에 따라 관리
※ 사무실 보안점검 방안(예시)
- 개인업무 환경: 정보보호 준수여부를 자가진단, 주기적으로 관리부서에서 정보보호 준수여부 점검
- 공용업무 환경: 공용업무 보호대책 준수 여부를 주기적으로 점검, 미준수 사항은 공지 또는 교육 수행
운영 내역(증적) 예시 (개정 23.11.23.)
- 사무실 및 공용공간 보안점검 보고서
- 사무실 및 공용공간 보안점검표
- 미준수자에 대한 조치 사항(교육, 상벌 등)
- 출력·복사물 보호조치 현황 (개정 23.11.23.)
** 인증심사 결함사항 예시 **
- 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나 이를 이행하지 않은 경우
- 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우
- 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우
- 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한경우