자격증
ISMS-P 인증기준
YouAndMe
2023. 6. 5. 17:17
반응형
1.1 관리체계 기반 마련
1.1.1 경영진의 참여
| 인증 기준 | 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영 활동 전반에 경영진 참여가 이루어지도록 보고 및 의사 결정 체계 수립 및 운영해야한다. |
| 결함 사례 | - 정보보호 및 개인정보보호 정책서에 분기별 현황을 경영진에게 보고해야하나, 장기간 보고를 수행하지 않은 경우 - 중요 정보보호 수행 활동 관련 보고, 승인 등 의사결정에 경영진 또는 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않는 경우 |
1.1.2 최고책임자의 지정
| 인증 기준 | 최고경영자는 정보보호 업무 총괄 정보보호 최고책임자와 개인정보보호 업무 총괄 개인정보보호 책임자를 예산, 인력 등에 자원을 할당할 수 있는 임원급으로 지정해야한다. |
| 결함 사례 | - 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자 지정 및 신고를 하지 않은 경우 - 개인정보보호법을 적용 받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 정보보호 책임자로 지정한 경우 - 조직도 상 정보보호 최고책임자 및 개인저오 보호 책임자를 명시하고 있으나, 인사 발령 등 공식적인 절차를 거치지 않은 경우 - isms 인증 의무대상자이면서 전년도 말 기준 자산 총액 5천억 초과 정보통신 서비스 제공자이지만 정보보호 책임자가 CIO를 겸직하고 있는 경우 |
1.1.3 조직 구성
| 인증 기준 | 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무 조직, 주요 사항 검토 및 의결할 수 있는 위원회, 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영해야한다. |
| 결함 사례 | - 위원회를 구성했으나, 임원 등 경영진 없이 실무 부서의 장으로 구성되어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우 - 내부 지침에 따라 팀장급으로 협의체를 구성했으나 장기간 운영 실적이 없는 경우 - 위원회를 개최했으나, 교육 계획 및 예산 인력 등에 대한 검토 및 의사 결정이 되지 않은 경우 |
1.1.4 범위 설정
| 인증 기준 | 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯한 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화해야 한다. |
| 결함 사례 | - 정보시스템 및 개인정보처리시스템 개발 업무에 관련한 개발 및 시험 시스템, 외주업체직원 PC, 테스트용 단말기 등이 관리체계에 누락된 경우 - 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대해 중요 의사 결정자 역할을 수행하는 임직원, 사업부서 등의 핵심 조직(인력)을 인증 범위에 포함하지 않은 경우 - 인증 범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC 보안, 백신, 패치 등)을 인증 범위에서 배제하고 있는 경우 - 정보통신망법에 따른 정보보호 관리체계 인증 의무 대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹 사이트가 관리체계 범위에서 누락된 경우 |
1.1.5 정책 수립
| 인증 기준 | 정보보호와 개인정보보호 정책 및 시행 문서를 수립, 작성하며, 이때 조직의 방침 및 방향을 명확하게 제시해야 한다. 정책과 시행 문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달해야 한다. |
| 결함 사례 | - 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제정 및 개정 시, 정보보호 및 개인정보보호 위원회의 의결을 거치지않고, 정보보호 최고책임자 및 개인정보보호 책임자의 승인을 근거로 개정한 경우 - 정보보호 및 개인정보보호 정책 및 지침서가 최근 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유나 전달이 되지 않아 일부 부서에서 구버전의 지침서 기준으로 업무를 수행하는 경우 - 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고, 임직원이 열람할 수 있도록 게시판과 문서 등의 방법으로 제공하지 않는 경우 |
1.1.6 자원 할당
| 인증 기준 | 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리 체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. |
| 결함 사례 | - 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안 인력을 구성한 경우 - 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 - 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우 |
반응형