ISMS-P 인증 기준 1.4.3.관리체계 개선 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
9번째 줄: | 9번째 줄: | ||
!1.4.3.관리체계 개선 | !1.4.3.관리체계 개선 | ||
|- | |- | ||
| style="text-align:center | | style="text-align:center" |'''인증기준''' | ||
|법적 요구사항 준수검토 및 관리체계 점검을 | |법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |||
| | | | ||
*법적 요구사항 준수검토 및 관리체계 점검을 | *법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가? | ||
*재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가? | *재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====근본 원인 분석 및 개선 대책 수립·이행==== | ==== 근본 원인 분석 및 개선 대책 수립·이행 ==== | ||
법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 | 법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립·이행하여야 한다. | ||
*식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석 | *식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석 | ||
*근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책의 수립·이행 | *근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책의 수립·이행 | ||
<blockquote style="width:70%;">'''※ 재발방지 대책(예시)''' | *수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시 | ||
<blockquote style="width:70%;">'''※ 재발방지 대책(예시)''' | |||
*정보보호 및 개인정보보호 정책·지침·절차 개정 | *정보보호 및 개인정보보호 정책·지침·절차 개정 | ||
*임직원 및 외부자에 대한 교육 강화 또는 개선 | *임직원 및 외부자에 대한 교육 강화 또는 개선 | ||
37번째 줄: | 32번째 줄: | ||
*내부점검 체크리스트 또는 방식 개선 등 | *내부점검 체크리스트 또는 방식 개선 등 | ||
</blockquote> | </blockquote> | ||
==== | ==== 개선 결과확인을 위한 기준·절차 수립 ==== | ||
재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하여야 한다. | 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하여야 한다. | ||
*재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 | *재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 관리체계 측면에서의 핵심성과지표(보안성과지표) 도출 | ||
*핵심성과지표(보안성과지표)에 대한 측정 및 모니터링 절차 수립·이행 | |||
<blockquote | *재발방지 및 개선조치의 정확성·효과성에 대한 확인 및 측정 결과는 경영진에게 보고 | ||
<blockquote>'''※ 재발방지 및 개선조치 관련 보안성과지표(예시)''' | |||
*보안 정책·지침 위반율(외부 전송규정 위반율, 보안우회 시도율 등) | *보안 정책·지침 위반율(외부 전송규정 위반율, 보안우회 시도율 등) | ||
*보안 예외 승인 건수 | *보안 예외 승인 건수 | ||
50번째 줄: | 45번째 줄: | ||
*자가점검 수행률 등 | *자가점검 수행률 등 | ||
</blockquote> | </blockquote> | ||
==증거 자료== | ==증거 자료== | ||
* | *내부점검 결과보고서 | ||
*재발방지 대책 | *재발방지 대책 | ||
*효과성 측정 지표 및 측정 결과(경영진 보고 포함) | *효과성 측정 지표 및 측정 결과(경영진 보고 포함) | ||
==결함 사례== | ==결함 사례== | ||
*내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 | *내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 '''동일하게 반복되어 발생'''되는 경우 | ||
*내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우 | *내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우 | ||
*관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우 | *관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우 | ||
==같이 보기== | ==같이 보기== | ||
76번째 줄: | 66번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |