[ISMS-P인증기준] 2.4.7 업무환경 보안

항목

---

2. 보호대책 요구사항

  - 2.4. 물리 보안

  - 2.4.7 업무환경 보안

 

인증기준

---

공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.

2.4.7 업무환경 보안

 

세부설명

---

■ 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용기기에 대한 보호대책을 수립·이행하여야 한다.

 

- 문서고 : 출입인원 최소화, 부서·업무별 출입 접근권한 부여, 출입 이력관리

- 공용PC : 담당자 지정, 화면보호기 설정, 로그인 암호설정, 주기적 패스워드 변경, 중요정보 저장 제한, 백신 설치, 보안업데이트 등

- 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요 문서 방치 금지

- 파일서버 : 부서별·업무별 접근권한 부여, 불필요한 정보공개 최소화, 사용자별 계정 발급

- 공용 사무실 : 회의실, 프로젝트룸 등 공용사무실 내 중요정보(개인정보) 문서 방치 금지

- 기타 공용업무환경에 대한 보호대책 수립

 

 

■ 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하여야 한다.

 

- 이석 시 보호조치 : 개인정보 및 개인정보가 포함된 서류와 보조저장매체 방치 금지(클린데스크), 화면보호기 및 비밀번호 설정 등

- 모니터 및 책상 등에 로그인 정보(비밀번호 등) 노출 금지

- 개인정보 및 중요정보가 포함된 서류 및 보조저장매체는 잠금장치가 있는 안전한 장소에 보관

- 개인정보 및 중요정보가 포함된 서류는 세절기 등을 이용하여 복구되지 않도록 파쇄

- 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 등

 

■ 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력·복사물을 통한 개인정보의 분실·도난·유출 등을 방지하고 출력·복사물을 안전하게 관리하기 위하여 필요한 보호조치를 하여야 한다.

 

■ 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하여야 한다.

 

- 개인 및 공용업무 환경 보안규정 미준수자는 상벌규정에 따라 관리

 

결함사례

---

‧ 사례 1 : 개인정보 내부 관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우

 

‧ 사례 2 : 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우

 

‧ 사례 3 : 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우

 

‧ 사례 4 : 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."