[보안맨] 국내 소규모 IT 기업에서의 출입 통제 방안 마련 사례 공유



안녕하세요,

정보보호 관리체계 인증 (이하 ‘ISMS’) 취득을 위해, ‘출입 통제’ 인증 기준을 이해하고 부족한 부분을 조치한 업무에 대해 공유드리고자 본 글을 작성하게 되었습니다.

보안 업무 특성  자세한 내용을 담을  없는  양해 부탁 드리겠습니다.

 

일정 규모 이상의 기업이라면출입통제시스템을 도입 합니다관리적보안적으로 여러 이점이 있기 때문이라고 생각합니다만일출입통제시스템이 존재하지 않는 회사가 ISMS 인증 취득을 목표로 한다면단기간에 할 수 있는 업무/장기적으로 출입통제 인증기준을 충족할 수 있는 방안을 마련할 것 입니다.

 

ISMS  출입통제 인증 기준은 아래와 같습니다.

보호 구역은 인가된 사람만이 출입하도록 통제하고 책임 추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토해야 한다.”

 

필자가 국내 소규모 IT 기업에서 출입 통제' ISMS 인증 기준을 위해 진행한 업무에 대해 크게 아래와 같이 세 단계로 구분해 설명 드리겠습니다.


  • 현황 파악

  • 물리 보안 지침 전면 개정

  • 개선 계획 수립/적용

  • 출입관리대장 양식 생성/운영

  • 잔재 위험 보고 (to. CISO)

 

 

 

  • 1.현황 파악

 

사전에 ISMS 인증기준 출입통제 중요 확인사항관련 법령 (e.g. 개인정보보호법기술적/관리적 보호조치 기준 및 관련 가이드), 사내 지침을 숙독했습니다.

이후,   담당자와  차례 미팅을 통해 다음과 같은 이슈를 확인할  있었습니다.

  • 전산실을 출입보안 영역으로  지정

  • 출입 내역(관련 이력) 대한 주기적 검토  수행

  • 전산실 출입 통제를 위한 출입관리시스템 부재

  • 물리 보안 지침 (출입통제 관련 내용 포함) 현행화 미흡





Figure 1. 현황 파악용 담당자 인터뷰 질문지 (예시)

 






  • 2.물리 보안 지침 전면 개정

 

현황 파악을 통해사내 게시판 내 게시 및 임직원에게 공표된 물리 보안 지침이 현행화가 전혀 안되어 있음을 확인 했습니다심사원들이 ISMS 결함 보고서를 작성할 때사내 지침도 근거 목록으로 사용하는데여러 정책/지침들이 현행화가 안되어 있을 경우, ‘1.1.5 정책 수립’ 결함이 나올 수 도 있는 상황이었습니다.

물리 보안 지침 개정을 위해 다음과 같은 action plans 수립했습니다.


  •  지침에서 명시되어 있는 통제 항목이 실제 업무 환경 내 구현되어 있는지 체크

(아래 예시)

  • 전산센터 운영 여부

  • 보호 구역 지정 여부

  • 보호 구역 내 전산기기 반출/반입 통제 여부

  • 전산실  작업  통제 여부

  • 전산실  출입관리 통제 여부  다수

  • 지침  ISMS 주요 기준  관련 법규 누락여부 확인

  •  기간  (ISMS 심사 ) 조치 가능한 계획 수립  조치

  • 물리 보안 지침 내용 현행화 , 관련 담당 부서/담당자 미팅 (회의록 작성 포함)

  • 지침 현행화 관련 CISO 보고

  • 임직원 공표 및 그룹웨어 게시

 






  • 3.개선 계획 수립/적용

 

 물리 보안 지침 전면 개정에 따른 단기 개선 과제를 도출하고/장기적으로 추진해야 하는 과제에 대해서는 별도 정리해서 CISO (정보보호 최고 책임자)께 보고 드렸습니다.

 

단기적으로출입관리대장 양식을 고안해 전산실에 비치한 사례를 말씀 드리고 싶습니다회사 빌딩 관리 구조 상전산실이 회사 공간 외부에 있었고출입관리시스템을 통해 통제되지 않는 상황이었습니다최소한의 방책으로 출입관리대장 양식을 고안했습니다양식은 주로 인터넷, ISMS 인증 실무 가이드()을 참고 했습니다.


 

No.

 

출입일시

출입 시간

퇴실 시간

 

소속

 

성명

 

출입 목적

 

서명

 

비고

 

e.g.

 

2022.09.12

 

10:00

 

14:00

 

AB마트

 

홍길동

IPS 펌웨어 업그레이드 작업

 

 

1

 

 

 

 

 

 

 

 

2

 

 

 

 

 

 

 

 

3

 

 

 

 

 

 

 

 

4

 

 

 

 

 

 

 

 

5

 

 

 

 

 

 

 

 

6

 

 

 

 

 

 

 

 

7

 

 

 

 

 

 

 

 

8

 

 

 

 

 

 

 

 

9

 

 

 

 

 

 

 

 

10

 

 

 

 

 

 

 

 

Figure 2. 전산실 출입관리대장 (예시)


 

전산실에 대한 출입 관리 주체는 보안 담당자 1인에게 지정하고주기적으로 점검 (e.g.분기 1되도록 해당 담당자를 별도 교육 했습니다.



참고로전산실에는 출입관리대장을 비치하지 않는 것으로 합의 했습니다관리대장 자체가 불에 잘 타는 소재이기 때문입니다대신반드시 전산실 출입 관리 담당자(보안 담당자)를 거쳐서 출입이 될 수 있도록 빌딩 관리자내부 담당자 등과 협의 후 관련 지침에 반영 했습니다.

 

 

장기적 조치가 필요한 사안은 전산실 내 CCTV 운영’ 였습니다사실 관련 법령에서 구체적으로 요하는 사안은 아니지만, IT 위험 평가 관점에서, 1) 출입관리대장 비치의 한계점을 보완하고, 2) 사무실 내 CCTV 보다대고객 서비스 운영 측면에서 중요 작업이 이루어질  있는 업무 공간으로 판단 했습니다따라서, CISO에게 다음과 같은 포인트를 고려해 업무 보고 했습니다.


  • 통제 인증 기준: e.g. 출입 보안

  • 장기 보안 과제: e.g. 전산실  CCTV 운영

  • 현황사무실 내에는 CCTV  운영하고 있으나전산실  CCTV 운영되고 있지 않음

  • 예산 필요 여부: e.g. Yes

  • 위험도:  (내부 위험 평가 기준에 따름)

  • 위험 시나리오: -

  • 보완 대책: e.g. 출입관리대장 비치/운영, 작업 계획 프로세스 수립/운영

  • 추진 시기: e.g. 금년 

  • 담당 부서: e.g. IT운영팀

 

현업에 도움이 되셨으면 좋겠습니다.

궁금하신 사항은 댓글로 질문 남겨 주세요. 감사합니다.

3개의 댓글이 있습니다.

9달 전

좋은자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

11달 전

내용 잘 읽었습니다. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

11달 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입