---
## 📋 ISMS-P 영역 2: 보호대책 요구사항 핵심 요약
### 1. 관리적 보안 (사람과 조직)
* **2.1~2.3 (관리/인적/외부자):** 보안 정책을 문서화하고, 조직을 구성하며, 특히 **'사람'**에 의한 보안 사고를 막는 데 집중합니다.
* *핵심:* 직무 분리(권한 오남용 방지), 퇴직자 계정 회수, 외부 업체(클라우드/유지보수) 계약 시 보안 조항 포함 등.
### 2. 물리적 보안 (시설과 환경)
* **2.4 (물리 보안):** 서버실, 전산실 등 중요 구역에 대한 출입 통제입니다.
* *핵심:* CCTV 운영, 출입 기록 관리, 업무 외 시간에 PC 잠금, 중요 문서 방치 금지(Clean Desk).
### 3. 기술적 보안 (인증과 통제)
* **2.5~2.7 (인증/접근통제/암호화):** IT 시스템 보안의 핵심이자 가장 기술적인 부분입니다.
* *핵심:* **2단계 인증(MFA)** 적용, 비밀번호 복잡도, 데이터베이스(DB) 접근 제어, 개인정보 암호화 저장 및 전송.
### 4. IT 라이프사이클 보안 (개발과 운영)
* **2.8~2.10 (개발/운영/보안관리):** 시스템을 만들고 운영하는 전 과정의 보안입니다.
* *핵심:* 개발 환경과 운영 환경의 분리(중요!), 소스코드 보안 취약점 점검, 클라우드 설정 보안, 로그 기록 및 6개월~1년 이상 보관.
### 5. 대응 및 복구 (회복 탄력성)
* **2.11~2.12 (사고대응/재해복구):** "사고는 반드시 터진다"는 전제하에 대응하는 영역입니다.
* *핵심:* 침해사고 대응 매뉴얼, 연 1회 이상의 사고 대응 및 재해 복구 훈련, 백업 데이터의 안전한 보관.
---
