ISMS-P 인증기준 (3)

1.3 관리체계 운영

1.3.1 보호대책 구현

인증 기준	선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인해야 한다.
결함 사례	- 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우 - 위험조치 이행결과보고서는 '조치 완료'로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행 결과의 정확성 및 효과성이 확인되지 않은 경우 - 전년도 정보보호대책 이행 계획에 따라 중, 장기로 분류된 위험들이 해당 연도에 구현이 되고 있지 않거나 이행 결과를 경영진이 검토 및 확인하고 있지 않은 경우

1.3.2 보호대책 공유

인증 기준	보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.
결함 사례	- 정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유 및 교육을 하지않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우

1.3.3 운영현황 관리

인증 기준	조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행해야 하는 운영 활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다.
결함 사례	- 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우 - 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우