회사가 성장할수록 고객들의 개인 정보 보호, 회사의 기술력 보호 등 보안의 중요성이 커집니다. ISMS/PIMS/PIPL 등 인증 제도를 통해 국가의 여러 기관에서도 회사가 보안에 신경 쓰도록 장려하고 있습니다. 오늘은 여러 보안 인증 제도 중 연간 매출액 1500억 이상, 정보통신 서비스 매출액 100억 이상 등 회사가 일정 규모 이상 커지면 의무적으로 인증을 받아야 하는 ISMS 보안 인증에 대하여 살펴보려고 합니다.
ISMS 보안 인증 요건
ISMS 인증을 받기 위해서는 보안 정책 수립, 외부자 보안, 물리 보안 등과 같은 항목을 충족해야 합니다. 이 중에서도 오늘은 방문자 관리와 관련된 항목을 깊게 다뤄보려고 합니다.
1. 관련 법규
ISMS 인증 항목 중 방문자 관리와 관련된 법률의 규정들이 있습니다.
- 개인정보 보호법 29조 : 개인 정보 처리자는 개인정보가 분실, 도난, 유출 등이 되지 않도록 안정성 확보에 필요한 기술적, 물리적 조치를 하여야 한다.
- 개인정보의 안정성 확보 조치 기준 제 10조 : 개인정보 처리자는 전산실, 자료 보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우엔 출입 통제 절차를 수립/ 운영하여야 한다.
위와 같이 개인 정보 처리자는 개인 정보에 대한 엄격한 관리 및 운영을 필요로 합니다. 이로부터 발현된 ISMS 인증 항목인 물리 보안에 관한 내용을 살펴보겠습니다.
2. ISMS ‘물리 보안’ 항목에 대하여
- 인정 기준
보호구역은 인가된 사람만이 출입하도록 통제하고 책임을 추적할 수 있도록 출입 및 접근 이력을 주기적으로 검토해야 합니다. 이때 보호 구역은
1) 출입 절차에 따라 출입이 허가된 자만 출입하도록 통제되고 있는지
2) 보호구역에 대한 내부자가 출입 기록을 일정 기간 보존하고 출입 기록 및 출입 권한을 주기적으로 검토하고 있는지
에 중점을 두고 인정 여부를 판단합니다. 잘 이해가 안 될 수 있으니, 각각의 항목을 충족하는지 판단하는 자세한 방법을 설명해 드리겠습니다.
- 출입이 허가된 자만 출입하도록 통제되고 있는지 여부
출입이 허가된 자만 출입하도록 통제하고 있는지 여부는
1) 출입 신청, 책임자 승인, 출입 권한 부여 및 회수, 출입 내역 기록, 출입기록 정기적 검토 등 출입 절차가 명확히 이루어지고 있는지
2) 비밀번호 기반, ID카드 기반, 출입 허가 인증서 등을 통해 출입하도록 하는 출입 통제 장치가 설치되어 있는지
3) 출입자 등록 및 삭제, 출입 권한 관리, 방문자 관리, 출입 대장 관리 등 출입 통제 절차의 수립 및 운영이 이루어지고 있는지
를 기준으로 판단합니다.
- 출입 기록을 일정기간 보존하고 출입 기록 및 출입 권한 검토 여부
출입 기록을 일정 기간 보존하고 출입 기록 및 출입 권한 검토 여부는
1) 출입 기록을 문서적, 전자적으로 일정 기간 보존하는지
2) 주기적으로 출입 기록을 검토하는지
3) 장기 미출입자, 퇴직자 등의 출입 권한을 주기적으로 조정하는지
등을 기준으로 판단합니다.
- 주의해야 할 사례
ISMS 인증 요건을 충족하지 못하는 주의해야 할 사례들이 있습니다.
(1) 보호 대책을 수립하여 출입 가능한 임직원이 관리하고 있으나, 출입 기록을 주기적으로 검토하지 않아 문제가 있는 경우
(2) 일부 외부 협력업체 직원에게 과도하게 출입할 수 있는 출입 카드를 부여하고 있는 경우
(3) 출입 통제 장치가 설치되어 있으나 타당한 사유 없이 장시간 개방 상태로 유지하고 있는 경우
등 일부 요건을 충족하나 다른 요건을 충족하지 못하는 경우를 조심해야 합니다.
스타트업들이 방문자 관리를 해야하는 이유가 궁금하시다면? ←—- Click!
ISMS 요건 충족 방법
위 요건에 나오는 단어들을 하나씩 해석해 보면 ISMS 인증 요건을 충족하는 방법을 알 수 있습니다.
(1) 보호 구역 지정
우선 회사 내에서 개인 정보를 다루는 보호 구역을 지정해야 합니다. 하지만 대기업이 아닌 대부분의 회사는 출입을 통제하는 보호구역을 따로 지정하기 어렵습니다. 이런 경우를 고려하여, 따로 보호구역을 지정하지 않은 경우에는 회사 내의 출입을 통제함으로써(즉, 회사 전체를 보호 구역으로 보는 것이죠.) 이를 충족할 수 있습니다.
(2) 출입 통제
출입을 통제한다고 보기 위해서는 보호구역의 입장 자체를 특정한 비밀번호, 출입 카드, 출입 인증서 등으로 출입할 수 있도록 해야 합니다. 즉, 별도의 보호구역이 없다면 회사 출입 시에 비밀번호, 출입카드 등을 통해 인증된 사람만이 출입이 가능하도록 통제해야 합니다.
(3) 방문자 기록 관리
방문자의 출입이 있었던 경우에는 해당 방문자에 대한 기록 관리도 필요합니다. 방문자를 관리하는 시스템을 사용할 수도 있고, 시스템이 없다고 하더라도 최소한 수기로 작성하는 방명록을 통하여 방문자의 출입 관리를 해야합니다. 작성된 수기 방명록은 잘 보관해 두었다가 문제가 발생한 경우나 인증에 필요한 경우 제출해야 합니다.
(4) 증거자료
ISMS 인증에 필요한 증거 자료는 출입 관리 대장, 출입 등록 신청서 및 승인 내역, 출입 기록 검토서, 출입 통제 시스템 화면 등을 활용할 수 있습니다.
(5) 방문자 관리 시스템 도입
위와 같이 출입 통제부터 방문자 기록 관리까지 각 방문자에 대한 담당자가 책임을 지며, 수기로 작성된 방문자 기록을 누적해서 관리자가 관리해야 합니다.
하지만 그런 과정에서 방문 리마인드 연락부터 오시는 길 안내, 수기 방명록 작성까지 회사 내 임직원과 방문자 모두가 단순 반복 행위들을 해야 합니다.
이를 해결하기 위해서 방문자 관리 시스템을 도입하기도 합니다. 방문자 관리 시스템을 사용하면 방문자에게 자동으로 리마인드 알림톡, 오시는 길 상세 설명 등이 보내져 직원들이 별도의 안내를 할 필요가 없고, 방문객도 전송받은 QR코드만 찍어도 자동으로 방문자 기록이 시스템상에 남아 방문 과정이 간편해집니다.
방문자 경험 향상과 보안 강화를 모두 신경 쓰는 회사라면 방문자 관리 시스템 도입을 충분히 고려해 볼 수 있습니다.
우리 회사에 도입할만한 방문자 관리 시스템 알아보기 ←— Click
오늘은 ISMS 보안 인증 요건부터 요건 충족 방법까지 세세하게 살펴보았습니다. 보안 강화 절차는 임직원들 또는 방문자에게 불편함을 수반할 수 있기에 이러한 장벽을 최소화해 주는 것 또한 회사의 역할이라고 생각합니다. ISMS 인증 받는 것이 까다롭지만 인증 받은 기업은 고객들과 다른 회사(특히 글로벌 회사)들로부터 신뢰를 인정받을 수 있으므로 회사가 어느 정도 규모를 이루었다면 인증받는 것을 추천해 드립니다.
ISMS 인증에 대한 고민이 한층 해결 되셨길 바라며, 다음에도 양질의 콘텐츠로 찾아 뵙겠습니다.
Share article
오피스 공간 운영과 관련된 콘텐츠를 발간되자마자 받아보세요!
