ISMS-P 인증 기준 1.1.5.정책 수립 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
* '''분류''': [[ISMS-P 인증기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.1.5.정책 수립
!1.1.5.정책 수립
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
|정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 [[정보보호 정책|정보보호 및 개인정보보호 정책]]을 수립하고 있는가?
* 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
*정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
* 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
**'''(가상자산 사업자)''' 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?
* 정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
*정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
* 정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?
*정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?
**'''(가상자산 사업자)''' 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가?
|}
==세부 설명==
 
====최상위 수준의 정보보호·개인정보보호 정책 수립====
조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
 
*조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
*조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
*조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
 
====세부 지침·절차 등 하위 실행 문서 수립====
정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.
 
*하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립
*'''하위 실행 문서(예시)'''
 
{| class="wikitable"
!보호대상 관점
!수행주체 관점
|-
|
*서버보안 지침
*네트워크보안 지침
*데이터베이스보안 지침
*애플리케이션보안 지침
*웹서비스 보안 지침
*클라우드 보안 지침
|
*임직원보안 지침
*개발자보안 지침
*운영자보안 지침 등
|}
 
*정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
*개인정보를 처리하는 경우 개인정보 보호법에 따른 [[내부 관리계획]]을 관련 법규에서 요구하는 사항을모두 포함하여 수립
*개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항 (2023. 11)
 
{| class="wikitable"
|-
|
*1. 개인정보 보호 조직의 구성 및 운영에 관한 사항
*2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
*3. 개인정보 보호책임자와 개인정보취급자의역할 및 책임에 관한 사항
*4. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항
*5. 접근 권한의 관리에 관한 사항
* 6. 접근 통제에 관한 사항
*7. 개인정보의 암호화 조치에 관한 사항
*8. 접속기록 보관 및 점검에 관한 사항
*9. 악성프로그램 등 방지에 관한 사항
* 10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
*11. 물리적 안전조치에 관한 사항
*12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
*13. 위험 분석 및 관리 관한 사항
*14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
*15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
*16. 그 밖에 개인정보 보호를 위하여 필요한 사항
 
※ 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략 가능
|}
|}
== 세부 설명 ==


====정책 제·개정 시 최고경영자 승인====
* 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
 
** 조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
*정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다.
** 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
**정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
** 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
**정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
* 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를조직의 특성에 맞게 수립하여야 한다.
**회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
** 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립
**검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
 
* ※ 하위 실행 문서(예시)<table><tr><th>보호대상 관점</th><th>수행주체 관점</th></tr><tr><td>
====임직원에서 최신화된 정책 배포====
** 서버보안 지침
 
*** 네트워크보안 지침
*정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.
** 데이터베이스보안 지침
**임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
*** 애플리케이션보안 지침
**정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지
** 웹서비스 보안 지침
 
*** 클라우드 보안 지침</td><td>
==증거 자료 ==
** 임직원보안 지침
 
*** 개발자보안 지침
*정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
** 운영자보안 지침 등</td></tr></table></div>
*정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
** 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
*개인정보 내부관리계획
** 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을모두 포함하여 수립
*정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
** 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항<table><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr><tr><td>
*정보보호 및 개인정보보호위원회 회의록
* 1. 개인정보 보호책임자의 지정에 관한 사항
 
* 2. 개인정보 보호책임자 및 개인정보취급자의역할 및 책임에 관한 사항
==결함 사례==
* 3. 개인정보취급자에 대한 교육에 관한 사항
 
* 4. 접근 권한의 관리에 관한 사항
*내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
* 5. 접근 통제에 관한 사항
*정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
* 6. 개인정보의 암호화 조치에 관한 사항
*정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
* 7. 접속기록 보관 및 점검에 관한 사항
 
* 8. 악성프로그램 등 방지에 관한 사항
==같이 보기==
* 9. 물리적 안전조치에 관한 사항
 
* 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항1* 1. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항1* 2. 위험도 분석 및 대응방안 마련에 관한 사항1* 3. 재해 ․ 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항1* 4. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항1* 5. 그 밖에 개인정보 보호를 위하여 필요한 사항
*[[정보보호 및 개인정보보호관리체계 인증]]
* ※ 다만 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보 조치 기준 별표 참조).</td><td>
*[[ISMS-P 인증 기준]]
* 1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
*[[ISMS-P 인증 기준 세부 점검 항목]]
* 2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
 
* 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
==참고 문헌==
* 4. 개인정보의 기술적 ․ 관리적 보호조치 이행 여부의 내부 점검에 관한 사항
 
* 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
* 6. 개인정보의 분실․ 도난․ 누출․ 변조․ 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
* 7. 개인정보보호 교육에 관한 사항(교육목적 및 대상, 교육내용, 교육 일정 및 방법)
* 8. 개인정보의 기술적 ․ 관리적 보호조치에 관한 사항(접근통제, 접속기록의 위 ․ 변조방지, 개인정보의 암호화, 악성프로그램 방지 등)
* 9. 그 밖에 개인정보 보호를 위하여 필요한 사항</td></tr></table>
* 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다.
** 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
** 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
** 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
** 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
* 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운형태로 제공하여야 한다.
** 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
** 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지
== 증거 자료 ==
* 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
* 정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
* 개인정보 내부관리계획
* 정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
* 정보보호 및 개인정보보호위원회 회의록
== 결함 사례 ==
* 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
* 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
* 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_1.1.5.정책_수립"