[ISMS 2영역] 보호대책 요구사항에 대한 정리 1

서론

이 글은 학습과정에서 이해한 내용에 대한 개인적인 이해입니다.

[카테고리에 대한 설명]

 

ISMS 2영역을 보면서 느낀 건,
2영역은 크게 두 가지로 나뉜다는 점이다.

하나는 사람과 환경을 관리하는 쪽이고,
다른 하나는 계정이나 시스템을 관리하는 쪽이다.

이 글에서는 그중에서도
사람을 관리하는 영역이라고 생각한 부분을 정리한다.

 

2.1 정책, 조직, 자산 관리

2.1은 1.3, 1.4의 연장선이라고 생각한다.

 

1영역에서
정책을 수립하고, 직원에게 교육을 하고,
어떻게 운영하겠다는 방향을
회사 입장에서 정리하고 점검했다면,

 

2.1은
그게 실제 현업에서 어떻게 적용되고 있는지를
현업자 입장에서 보는 영역이라고 이해했다.

 

2.1에서는
정책이 문서로만 존재하는지,
아니면 실제로 적용되고 있는지를 보고,

조직이 정해진 역할과 책임대로 운영되고 있는지,
자산이 정의된 기준에 따라 관리되고 있는지를

실제 운영 환경의 설정값이나
현업자들의 업무 프로세스를 기준으로 점검하는 영역이라고 느꼈다.

 

2.2 인적 보안

2.1에서 정책이 실제로 적용되고 있는지,
업무 프로세스가 어떻게 돌아가는지를 확인했다면,

2.2는 그 업무를 수행하는 사람 자체에 대한 점검이라고 이해했다.

나는 2.2를 세 가지 단계로 나눠서 생각해봤다.

 

1. 신입

새로 채용되는 직원의 경우,
보안적으로 문제가 될 만한 요소가 없는지 점검해야 하고,
회사의 보안 정책과 업무 프로세스를 충분히 인지시키는 과정이 필요하다고 이해했다.

또한 필요하다면
NDA와 같은 비밀유지계약서 작성도 포함된다.

 

2. 재직자

재직자의 경우에는
주기적으로 변경되는 보안 정책이나 프로세스에 대해 교육을 받아야 하고,
본인의 업무 수행에 필요한 최소한의 권한만을 가지고 있는지 점검해야 한다.

또한
본인의 업무 범위를 벗어난 활동을 하고 있지는 않은지 역시
점검 대상이 된다고 이해했다.

 

3. 퇴직자(휴직자)

퇴직자의 경우에는
업무 프로세스에서 벗어나는 시점에 맞춰
즉시 권한을 회수하고 계정을 폐기해야 한다고 생각한다.

업무에 사용하던 장비를 회수하고,
재택근무 등을 위해 설정되어 있던 VPN 접속 권한도 함께 제거해야 한다.

 

마찬가지로 필요 시
NDA와 같은 비밀유지계약서가 적용될 수 있으며,

 

만약 퇴직자가
인증 로직이나 인증 키를 생성·관리하는 업무를 맡고 있었다면,
해당 로직에 대한 검토 및 키 변경이 필요하다고 생각했다.

 

추가로,
신입·재직자·퇴직자와 같은 내부 직원이
보안 규정을 위반했을 경우에 대한
처벌 조항 역시 필요하다고 이해했다.

 

2.3 외부자 보안

2.3은 외부자에 대한 보안 절차를 점검하는 영역이라고 이해했다.

 

1영역에서 보안 범위를 지정할 때
중요 정보자산에 접근이 가능한 외주 업체나 외부 직원 역시
보안 범위에 포함되어야 한다고 했었다.

 

2.3은 이러한 외부자에 대해
보안 정책이 실제로 적용되고 있는지를 점검하는 부분이라고 생각했다.

 

우선
외부자의 현황을 정확히 파악하고 있어야 한다고 이해했다.

현재 정보자산에 접근이 가능한 외부자가 몇 명인지,
그 외부자들의 권한이 어디까지 설정되어 있는지를
명확히 파악해야 한다.

 

외부자와의 계약 절차 또한 점검 대상이 된다.

외부자와의 계약 과정에서

최소 권한 원칙이 적용되고 있는지,
보안 교육을 통해 책임에 대한 인지를 시키고 있는지를 확인해야 한다.

 

필요한 경우
NDA와 같은 비밀유지계약서 작성도 포함된다고 이해했다.

 

외부자 역시
내부 직원과 마찬가지로 보안 교육의 대상이 되며,
보안에 대한 책임을 주기적으로 인지시켜야 한다고 이해했다.

 

외부자의 계약이 만료되거나
업무가 종료될 경우에는

퇴직자와 마찬가지로
즉시 권한과 계정을 회수해야 하며,
회사 내부 자료나 정보가 포함된 장비 역시 회수해야 한다.

 

또한
외부에서 접근이 가능하도록 설정되어 있던 경우에는
VPN에 대한 허용 정책 역시 제거해야 한다고 이해했다.

 

2.4 물리 보안

2.4는 사람이 아니라 환경에 대한 점검이라고 이해했다.

 

내부자, 외부자, 외부인을 모두 포함해서
그들이 접근 가능한 공간과
접근이 불가능한 공간을 구분하여 관리해야 한다고 이해했다.

 

보호구역을 지정하고,
권한이 없는 사람이 들어올 수 없도록
출입 통제를 해야 하며,
출입에 대한 기록 역시 남겨야 한다.
(CCTV, 출입 기록 등)

 

업무 환경에서는
자리를 비울 경우 화면 보호기를 설정하는 등
외부인이 눈으로 보거나 만지는 방식으로
정보를 습득할 가능성을 줄여야 한다고 이해했다.

 

같은 이유로
서류가 정리되지 않은 채로 방치되거나,
제대로 폐기되지 않는 경우 역시
점검 대상이 된다고 이해했다.

 

보호구역 내부에는
인가된 기기만 반입이 가능해야 하며
(외부 카메라, 개인 촬영 장비 등),

 

마찬가지로
인가된 기기만 반출이 가능해야 한다고 이해했다.
(회사 장비 무단 반출 등)

 

그 외에도

방문객 출입 시에는 동행이 필요하며,
야간이나 비근무 시간대의 출입 역시 통제되어야 한다고 이해했다.

 

또한 서버실, 전산실과 같은 중요 공간의 위치가
외부에 노출되지 않도록 관리해야 하며,

 

화재와 같은 재난에 대한 대비 역시
물리적 보안 점검의 일부라고 이해했다.

---

후기

ISMS 2영역 중 일부에 대한 내용을 정리해보았다.

 

어려운 단어를 사용하기보다는,
왜 이런 항목이 존재하는지,
그 의도가 무엇인지를 이해하는 데 초점을 두었다.

 

그 과정에서
세부 항목이나 표현이 일부 생략된 부분도 있는 것 같지만,

 

이렇게 전체적인 틀을 먼저 이해하고,
그 위에 세부 항목이나 용어를 하나씩 올려가는 방식이
나의 학습 방법에는 더 잘 맞는다고 느꼈다.

 

틀린 내용도 있을 수 있으니 나중에 검토가 필요한 내용