2.4.5 보호구역 내 작업¶
인증 기준¶
보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다.
주요 확인사항¶
-
정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하고 있는가?
-
보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
세부 설명¶
-
정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하여야 한다.
-
작업절차 : 통제구역에서 작업 수행 시 작업 신청, 승인, 작업 기록 작성 등
-
작업기록 : 작업일시, 작업목적 및 내용, 작업업체 및 담당자명, 검토자 및 승인자 등
-
통제방안 : 작업 수행을 위한 보호구역 출입 절차, 작업내역에 대한 책임추적성 확보 및 모니터링 방안 등
-
-
보호구역 내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하여야 한다.
-
작업검토 : 사전 승인 내역, 출입기록, 작업 기록 등에 대한 정기적 검토 수행 등
-
검토방법 : 출입 신청서와 출입 내역(관리대장, 시스템 로그 등) 일치성 등
-
증거자료¶
예시
작업 신청서, 작업 일지
통제구역 출입 대장
통제구역에 대한 출입기록 및 작업기록 검토 내역
결함사례¶
사례 1 : 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)
사례 2 : 내부 규정에는 보호구역 내 작업기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우