ISMS-P 인증 기준 1.3.3.운영현황 관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | * '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | ||
* '''분류''': [[ISMS-P | * '''분류''': [[ISMS-P 인증기준 1.3.관리체계 운영|1.3.관리체계 운영]] | ||
== 개요 == | == 개요 == | ||
{| class="wikitable" | {| class="wikitable" | ||
17번째 줄: | 17번째 줄: | ||
== 세부 설명 == | == 세부 설명 == | ||
* 관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다. | |||
관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.< | <div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | ||
* ※ 주기적인 정보보호 및 개인정보보호 활동(예시) | |||
* 주요직무자, 개인정보취급자의 접속기록 검토 | * 주요직무자, 개인정보취급자의 접속기록 검토 | ||
* 주요직무자의 접근권한 검토 | * 주요직무자의 접근권한 검토 | ||
28번째 줄: | 28번째 줄: | ||
* 법적 준거성 검토 | * 법적 준거성 검토 | ||
* 침해 대응 모의훈련, IT 재해 복구 모의훈련 | * 침해 대응 모의훈련, IT 재해 복구 모의훈련 | ||
* 내부감사 등 | * 내부감사 등</div> | ||
</ | * 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다. | ||
** 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고 | |||
** 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등) | |||
경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다. | |||
* 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고 | |||
* 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등) | |||
== 증거 자료 == | == 증거 자료 == | ||
* 정보보호 및 개인정보보호 연간계획서 | * 정보보호 및 개인정보보호 연간계획서 | ||
42번째 줄: | 39번째 줄: | ||
* 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우 | * 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우 | ||
* 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우 | * 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우 | ||
== 같이 보기 == | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | * [[정보보호 및 개인정보보호관리체계 인증]] |