[ISMS-P인증기준] 2.4.2 출입통제

항목

---

2. 보호대책 요구사항

  - 2.4. 물리 보안

  - 2.4.2 출입통제

 

인증기준

---

보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.

2.4.2 출입통제

 

세부설명

---

■ 보호구역별로 허가된 자만이 출입할 수 있도록 내·외부자 출입통제 절차를 마련하고, 출입 가능한 인원 현황을 관리하여야 한다.

 

- 보호구역별로 출입 가능한 부서·직무·업무를 정의, 출입권한이 부여된 임직원을 식별하고 그 현황을 관리

- 통제구역의 경우 업무목적에 따라 최소한의 인원만 출입할 수 있도록 통제

- 출입절차 : 출입신청, 책임자 승인, 출입권한 부여 및 회수, 출입내역 기록, 출입기록 정기적 검토 등

- 출입통제 장치 설치 : 비밀번호 기반, ID카드 기반, 생체정보 기반 등

- 출입통제 절차 수립·운영 : 출입자 등록·삭제, 출입권한 관리, 방문자 관리, 출입대장 관리 등

 

 

■ 각 보호구역에 대한 내·외부자 출입기록을 일정기간 보존하고, 출입기록 및 출입권한을 주기적으로 검토하여야 한다.

 

- 출입기록을 일정기간 보존하여 사후 모니터링이 가능하도록 문서적 또는 전자적으로 보존

- 출입기록 및 출입권한 검토 : 장기 미출입자, 비정상적인 출입 시도, 출입권한 과다부여 여부 등

- 비인가자 출입 시도, 장기 미출입자 등을 확인하여 그 사유를 확인하고 조치

- 주기적 검토를 통하여 퇴직자 출입증 회수 및 출입권한 삭제, 직무변경에 따른 출입권한 조정

- 시스템적으로 출입로그를 남길 수 없는 경우 출입대장을 작성하여 출입기록 확인

 

결함사례

---

‧ 사례 1 : 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우

 

‧ 사례 2 : 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우

 

‧ 사례 3 : 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."