개요
카테고리 : 접근 통제
통제항목번호 : A-18
위험도 : 상
통제항목 : 외부 네트워크 원격작업(재택근무, 장애대응 등)에 대한 책임자 승인, 작업내용 및 범위, 기간 설정, 접근 로그 기록/검토 등이 포함된 정책(절차)가 존재하며, 원격작업 허용 시 이를 준수
판단(평가기준)
만족
• 재택근무 등 원격작업에 대한 정책, 절차가 수립되어 있음
부분만족
• 재택근무 등 원격작업을 수행하고 있으나 수립된 정책, 절차가 없음
N/A
• 절차를 수립하여야 할 재택근무 등 원격작업이 없는 경우
관련 법령 및 규칙
관련 법령 및 규칙
○ 국가 정보보안 기본지침
- 제59조(원격근무 보안)
○ 행정안전부 소관 주요정보통신기반시설 보호지침
- 제25조(정보통신망 보안관리)
증빙문서 및 참고사항
증빙 문서
• 원격근무 보안서약서
• 원격근무서비스(GVPN) 이용자 신청서
• 원격근무서비스(GVPN) 이용자 관리 현황
참고 사항
○ 기관의 접근통제 정책은 네트워크, 서버, 응용프로그램, DB, 모바일기기 등 영역별 접근통제 규칙, 방법, 절차 등을 포함하고 있어야 하며, 업무상 불가피하게 접근통제 정책 예외사항이 발생할 경우 이를 보완할 수 있는 통제 방안(허가기간, 단말기, 접근 위치 등)을 마련한 후 한시적으로 허용해야 한다. 따라서 이것이 공식적인 문서로 존재하고 활용되고 있는지 확인
○ 정보시스템에 사용자 계정 생성 및 변경 시 직무별 또는 역할별 정보시스템 접근권한을 정의한 접근권한 분류체계를 가지고 관리하여야 하며, 접근 권한은 업무 수행에 필요한 최소한으로 할당하고 업무 담당자 직무에 따라 차등 부여하고 있는지 확인
Comment
외부 네트워크 원격작업에 대한 정책과 절차를 수립하고 준수하는 것은 다음과 같은 이유로 중요합니다:
보안 강화: 책임자 승인, 작업 범위 설정, 접근 로그 기록 및 검토 등의 절차를 통해 원격 작업 시 발생할 수 있는 보안 위험을 최소화할 수 있습니다. 이는 데이터 유출이나 무단 접근과 같은 보안 위협으로부터 조직의 정보 자산을 보호하는 데 중요합니다.
생산성 및 효율성 향상: 명확한 정책과 절차는 원격 작업자들이 업무 범위와 기간을 이해하고 집중할 수 있게 합니다. 이는 조용하고 개인적인 작업 공간에서의 근무로 인한 집중력 향상과 함께 전반적인 생산성 증가로 이어질 수 있습니다.
법적 규정 준수: 원격 작업에 대한 체계적인 정책과 절차는 데이터 보안 및 개인정보 보호와 관련된 법적 요구사항을 충족하는 데 도움이 됩니다. 이는 잠재적인 법적 문제를 예방하고 조직의 규정 준수를 보장하는 데 중요합니다.
'주요정보통신기반시설 > 관리적 분야' 카테고리의 다른 글
| A-20 통제항목 정보통신망에 비인가 PC, 노트북 등을 연결 시 차단 (0) | 2025.02.21 |
|---|---|
| A-19 스마트폰, 개인휴대단말기(PDA), 전자제어장비 등 첨단 정보통신기기를 활용하는 경우, 업무자료 등 중요정보 보호 및 전한 전송을 위한 방안 마련 (0) | 2025.02.21 |
| A-17 담당업무(조직)에 따라 접근통제의 방법과 범위 등을 정의하고 문서화 (0) | 2025.02.21 |
| A-16 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시 (0) | 2025.02.21 |
| A-15 교육 훈련 대상은 관련된 모든 내외 임직원 및 외부 인력을 포함하고 있으며 정보자산에 간접적으로 접근하는 일반 외부용역 직원에 대해서도 정보보호교육훈련 수행 (0) | 2025.02.21 |