최근에 사건이 좀 생겨서, 외부인 출입절차 관련해서 지침이나 절차를 추가하려고 하는데
참고할 만한 곳이 없어서요 ㅠㅠ
혹시 해당 규정 있으신분들 좀 알려주시면 안될까요?
생각하고 있는 부분은
1.방문자 출입대장 작성 시 총 방문 인원 기재
2.전산장비(Laptop) 반입 시 사전에 보안실로 접수
3.내부망 연결 금지
최근 외부인이 사내망에 연결을 해서 S/W 라이선스 위반관련 이슈가 있어 규정을 만드려고 합니다.
선배님들의 많은 도움 좀 부탁드립니다. (보.린.이 입니다..ㅎㅎ 보안 어린이)
4개의 답변이 있습니다.
회사마다 여러가지 환경에 따라 차이가 있을 거라 보여 지고요.
보안이 엄격하다면, 개인 휴대 기기 반입 등에게 엄격하게 관리할 필요가 있을 걸로 보여지고요.
소지품을 모두 개인별 사물함에 보관해 뒀다가 나갈때 찾아 가도록 할 수도 있을 것 같고,
개일별로 보안과 관련될만한 기기들에 대한 목록을 기재하도록 할 수도 있을 것 같고,
단순히 휴대폰 카메라 등에 스티커만 부착해서 사진 촬영등을 하지 못하게 할 수도 있을 것 같고요.
업무 망과 분리된 방문자용 WI-FI를 별도 구축해서 사용할 수 있게 해 주는 곳도 있을 것 같고, 허용된 인원에 대해서만 WI-FI 를 사용할 수 있게 해준다거나, LTE 등 개인 인터넷까지 차단 시키는 기술적 방법을 도입해 적용할 수도 있을 것 같고요.
외부인이 사용하는 인터넷 망은 업무용 망과 별도로 운영해야 하겠고...
그리고, 일반 가정용 인터넷 처럼 유동 IP를 할당받는 형태의 인터넷 회선으로 고객망을 구축해서 사용할 수 있도록 해 주는게 맞을 것 같네요.
정부청사 출입에 대한 지침입니다.
거의 모든 회사들이 비슷하다고 보시면 됩니다.
서식 등도 다운로드 가능하니 참고하시기 바랍니다.
https://www.law.go.kr/LSW/admRulLsInfoP.do?admRulSeq=2100000191004
https://www.mois.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_00068333jNwy5Gv&fileSn=0
대강 내용으로는 '사무실에' '외부인이' '노트북을 갖고와서' '내부망에 연결했다가' '라이선스 문제가 생겼다' 로 보이네요
지침에 사무실 보안 혹은 제한구역 보안 부분에
■외부인 출입 시 미등록 된 외부 자산의 반입 시 사전에 보안담당자의 승인을 받아야 한다.
■보안담당자는 미등록 된 외부 자산에 대해서 반입 신청서를 징구하여야 한다.
양식의 경우
1. 신청 담당자/부서,
2. 방문자 (업체명/방문인 이름),
3. 방문 시간,
4. 단말기 종류 (노트북, 태블릿PC 등),
5. 단말기 명 (윈도우10의 경우 디바이스 이름 이라고 있습니다),
6. 연결망 (내부망/외부망)
7. 발급 IP (내부적으로 고정IP를 쓴다면 등록하고, 자동IP 쓰면 이 부분은 없어도 됩니다)
8. 보안담당자 서명
저같은 경우 이런 지침을 추가하고, 양식을 받고 있습니다.
양식의 경우 필요한 내역이 있다면 추가하면 되구요
redhairadol | 3년 이하 전
아 글고 따로 외부인 장비 반출입 양식을 만들어서 언제 외부인이 외부 자산 갖고 왔는지 리스트도 남겨둡니다
https://securityse.tistory.com/65
K-ISMS 물리적 보안에 대한 블로그 입니다.
외부인 출입절차 관련하여 참고할만한 내용들이 좀 있을거에요.