ISMS-P 인증 기준 2.4.5.보호구역 내 작업

 

주요사항

작업신청 및 수행절차 수립·이행, 작업기록 주기적 검토

인증기준

보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다.

확인사항

• 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하고 있는가?
• 보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?

가상자산 사업자 확인사항

• 월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가?

세부 설명

• 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다.
  • 작업절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
  • 작업기록 : 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
  • 통제방안 : 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
• 보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하여야 한다.
  • 작업검토 : 사전 승인 내역, 출입기록, 작업 기록 등에 대한 정기적 검토 수행 등
  • 검토방법 : 출입 신청서와 출입 내역(관리대장, 시스템 로그 등) 일치성 등

증적자료

• 작업 신청서, 작업 일지
• 통제구역 출입 대장
• 통제구역에 대한 출입기록 및 작업기록 검토 내역

결함사례

• 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
• 내부 규정에는 보호구역 내 작업기록에 대해 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 직업기록에 대한 점검이 이루어지고 있지 않은 경우