ISMS-P 인증 기준 2.4.7.업무환경 보안

주요사항

개인·공용 시설/사무기기 보호대책 수립·이행, 준수 여부 주기적 검토

인증기준

공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.

확인사항

• 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가?
• 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하고 있는가?
• 개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?

세부설명

• 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용기기에 대한 보호대책을 수립·이행하여야 한다.
  • 문서고 : 출입인원 최소화, 부서·업무별 출입 접근권한 부여, 출입 이력관리
  • 공용PC : 담당자 지정, 화면보호기 설정, 로그인 암호설정, 주기적 패스워드 변경, 중요정보 저장 제한, 백신 설치, 보안업데이트 등
  • 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요 문서 방치 금지
  • 파일서버 : 부서별·업무별 접근권한 부여, 불필요한 정보공개 최소화, 사용자별 계정 발급
  • 공용 사무실 : 회의실, 프로젝트룸 등 공용사무실 내 중요정보(개인정보) 문서 방치 금지
  • 기타 공용업무환경에 대한 보호대책 수립
• 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하여야 한다.
  • 이석 시 보호조치 : 개인정보 및 개인정보가 포함된 서류와 보조저장매체 방치 금지(클린데스크), 화면 보호기 및 비밀번호 설정 등
  • 모니터 및 책상 등에 로그인 정보(비밀번호 등) 노출 금지
  • 개인정보 및 중요정보가 포함된 서류 및 보조저장매체는 잠금장치가 있는 안전한 장소에 보관
  • 개인정보 및 중요정보가 포함된 서류는 세절기 등을 이용하여 복구되지 않도록 파쇄
  • 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 등
• 개인 및 공용업무 환경에서의 정보보호 준수 여부를 주기적으로 검토하여야 한다.
  • 개인 및 공용업무 환경 보안규정 미준수자는 상벌규정에 따라 관리

 

증적자료

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치)
• 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지), 제9조(출력· 복사 시 보호조치)

 

결함사례

• 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나 이를 이행하지 않은 경우
• 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
• 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우
• 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우