반응형 결함사례4 ISMS-P 인증기준 (4) 1.4 관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 인증 기준 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 결함 사례 - 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행 문서에도 해당 내용을 반영하지 않아 정책서 및 시행 문서 내용이 법령 내용과 일치하지 않은 경우 - 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우 - 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우 - 개인정보 보호법에 따라 개인정보.. 2023. 6. 21. ISMS-P 인증기준 (3) 1.3 관리체계 운영 1.3.1 보호대책 구현 인증 기준 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인해야 한다. 결함 사례 - 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우 - 위험조치 이행결과보고서는 '조치 완료'로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행 결과의 정확성 및 효과성이 확인되지 않은 경우 - 전년도 정보보호대책 이행 계획에 따라 중, 장기로 분류된 위험들이 해당 연도에 구현이 되고 있지 않거나 이행 결과를 경영진이 검토 및 확인하고 있지 않은 경우 1.3.2 보호대책 공유 인증 기준 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 .. 2023. 6. 13. ISMS-P 인증기준 (2) 1.2 위험 관리 1.2.1 정보자산 식별 인증 기준 조직의 업무 특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보 자산을 식별 및 분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 결함 사례 - 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요 정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서 암호화, USB 매체제어 등의 내부 정보 유출 통제 시스템이 누락되어 있는 경우 - 정보보호 및 개인정보보호 관리체계 범위 내에서 제 3자로부터 제공받은 개인 정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 - 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하.. 2023. 6. 13. ISMS-P 인증기준 1.1 관리체계 기반 마련 1.1.1 경영진의 참여 인증 기준 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영 활동 전반에 경영진 참여가 이루어지도록 보고 및 의사 결정 체계 수립 및 운영해야한다. 결함 사례 - 정보보호 및 개인정보보호 정책서에 분기별 현황을 경영진에게 보고해야하나, 장기간 보고를 수행하지 않은 경우 - 중요 정보보호 수행 활동 관련 보고, 승인 등 의사결정에 경영진 또는 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않는 경우 1.1.2 최고책임자의 지정 인증 기준 최고경영자는 정보보호 업무 총괄 정보보호 최고책임자와 개인정보보호 업무 총괄 개인정보보호 책임자를 예산, 인력 등에 자원을 할당할 수 있는 임원급으로 지정해야한다. 결함 사례 - 정보통신망법에 따.. 2023. 6. 5. 이전 1 다음 반응형