본문 바로가기
Cloud/보안

[ISMS] 인력 및 물리 보안 정책 (개인공부)

engineer-collie 2022. 4. 20. 00:05

요약

  • 외부자 보안, 인적 보안은 외부 입력에 대해서는 계약 및 보안 이행 상황을 관리한다. 예를 들어 정보보호 서약서 등을 작성하여 인증을 받음으로써, 외부 유출 등의 보안 문제가 생겼을 때, 책임 소재를 분명하게 하고, 교육을 통해 해당 내용을 공유하고, 위반 시에는 조치하는 것이 주된 내용이다.
  • 물리적 보안은 물리 보안 장비가 어떤 것인지 정의하고, 보호 구역을 지정해서, 출입 통제와 기기 반출입, 보조저장 매체 사용을 통제함으로써 정보 유출 사고에 대비한다. 또한 업무환경 보안도 수행하여 정보 유출에 대비한다.
  • 운영 보안은 보안 자원(인력,장비,예산)등을 관리하고, 법적 요구사항을 준수했는지 지속적으로 확인하며, 법 조항의 개정이 발생했을 시 공유와 관리체계 개선에 대한 내용이 주된 내용
  • 모든 보안 정책은 효과성을 판단하여 다음 정책에 반영해야 한다...

내용

  • 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...)
    • 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리, 현황 및 흐름 분석, 자산 재사용 및 폐기
    • 정보보호 정책 → 정보보호 정책 설정 및 위험 평가, 보호대책 선정/구현/공유, 정책 유지관리
    • 정보보호 조직 → 관리 체계 조직 마련 (회의록, 관리자 선정)
    • 외부자 보안 → 계약 관리, 보안 이행 관리, 현황 관리
    • 인적 보안 → 보안 서약, 보안 교육, 퇴직 및 직무변경 관리, 보안 위반 조치
    • 물리적 보안 → 보호 구역 지정, 출입통제, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안, 보조 저장 매체 차단 정책, 관리 대장
    • 운영 보안 → 운영 현황 관리, 법적 요구사항 준수 검토, 개정 내부 공유, 관리체계 개선
    • 시스템 개발 보안
    • 암호 통제 → 암호키 관리, 계정 관리
    • 접근 통제
    • 침해사고 관리
    • IT 재해복구

메뉴얼 기반으로 내가 이해한 내용 기반으로 정리한 것은 아래와 같다.

  • 외부자 보안
    • 외부자 현황을 식별하고 법적 요구사항, 외부자 문제 시 대응할 보호 대책이 필요하다.
    • 외부자 계약 시 정보 보호 및 개인 정보보호 요구 사항이 포함되어 있어야 한다.
    • 계약서에 적힌 정보보호 대책 이행 여부를 주기적으로 점검/감독해야 한다.
  • 인적 보안
    • 정보자산을 취급하는 인원이 준수사항을 명확하게 인지하도록 정보보호 서약을 받아야 함
    • 관리체계와 정책에 대해 연간 인식 제고 및 교육 훈련 계획을 수립, 운영해야 한다.
    • 퇴직, 직무 변경 시 계정 및 접근 권한 회수 조정 등 절차를 수립하고 관리한다.
    • 보안 위반 및 내부 정책 위반 시 조치 절차를 수립해야 한다.
  • 물리적 보안 (서비스와 관련 없는 장비라면 상관없음, CSP에서 동작하면 할 수 없음)
    • 재해 등 위협으로부터 보호 구역을 설정해 장비, 중요 문서 등의 물리적 보호 구역을 지정하고 구역 별 보호 대책 수립 및 출입 통제한다.
    • 보호 구역 내 작업 및 기기 반출입에 대해서 관리를 한다.
    • 공용으로 사용하는 사무용 기기(복합기, 파일서버 etc)를 통해 중요 정보가 노출되지 않도록 업무 환경 보호대책을 수립, 이행해야 한다.
  • 운영 보안
    • 조직이 수립한 관리체계 및 정책에 따라 주기적으로 수행이 제대로 되고 있는지
    • 정보보호 관련 법 개정을 파악하여 규정에 반영하고, 공유하고, 준수하는지(AS-IS → TO-BE)
    • 개정한 규정이 제대로 지켜지고 있는지 점검을 통해 효과성 여부 파악 (경영진 포함)

배울 점 및 생각

  • 외부자 보안에서는 외부 계약에 보안 관련 내용을 명시하고, 관리 감독해야 한다.
  • 인적 보안에서는 정보보호 서약서 등에 대한 문서와 교육 계획, 시행 등에 있어서 교육 계획서, 참석자 명단 같은 수행 증적 자료 등이 있어야 할 것 같다.
  • 물리적 보안은 클라우드에서 운영하고 있다던지, 아니면 서비스와 관련 없는 장비일 경우에는 문제가 없다.
  • 운영 보안은 조직이 수립한 관리체계 자체의 정책이 문제가 없는지, 잘 이행되고 있는지, 문제가 있다면 어떻게 수정할 것인지에 대한 지속적인 관리가 필요한 것 같다.
  • 내용이 어떻게 보면 정책적인 내용과 많이 겹치는 것 같다.

추후 해야 할 것

  • 접근 통제에 대해서 한 번 알아보자,
728x90
반응형
저작자표시 비영리 동일조건 (새창열림)

'Cloud > 보안' 카테고리의 다른 글

[ISMS] 침해사고 관리, IT 재해복구 (개인공부)  (0) 2022.04.28
[ISMS] 접근제어 (개인공부)  (0) 2022.04.27
[ISMS] 정보보호 정책 (개인공부)  (0) 2022.04.18
[ISMS] 정보보호 조직 + 예산 (개인공부)  (0) 2022.04.18
[ISMS] 암호 통제 - 암호키 관리,암호 통제 (개인공부)  (0) 2022.04.17

'Cloud/보안' Related Articles

티스토리툴바