ISMS-P 인증 기준 2.1.1.정책의 유지관리 편집하기

[[분류: ISMS-P 인증 기준]]

*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]

==개요==
{| class="wikitable"
!항목
!2.1.1.정책의 유지관리
|-
| style="text-align:center" |'''인증기준'''
|정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.
|-
|'''주요 확인사항'''
|
*정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?
*조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?
*정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?
*정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?
|}
==세부 설명==

==== 정책의 정기적인 검토 ====

*정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 '''정기적인 타당성검토 절차를 수립·이행'''하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
**정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
**법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
***상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
**정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
***정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
**위험평가 및 관리체계 점검 결과 반영
***새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)'''

*검토 주기 및 시기 : 연 1회 이상 검토 필요
*관련 조직별 역할 및 책임
*담당 부서 및 담당자
*검토 방법
*후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등</div>

==== 대내외 환경 영향 검토 및 대응 ====

*다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
**정보보호 및 개인정보보호 관련 법규 제·개정
**비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
**정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
**내·외부의 중대한 보안사고 발생
**새로운 위협 또는 취약성 발견 등

==== 정책 관련 이해관계 협의 ====

*정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
**정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
**정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
**회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영

==== 정책 변경관리 ====

*정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
**문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
**관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리

==증거 자료==

*정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
*정책·지침 정기·비정기 타당성 검토 결과
*정책·지침 관련 부서와의 검토 회의록, 회람내용
*정책·지침 제·개정 이력

==결함 사례==

*'''지침서와 절차서 간''' 패스워드 설정 규칙에 '''일관성이 없는 경우'''
*정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 '''내부 규정, 지침, 절차'''에 서로 '''다르게 명시'''되어 '''일관성이 없는 경우'''
*데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 [[접근통제 솔루션|접근통제 '''솔루션''']]'''을 신규로 도입'''하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 '''내부 보안지침에''' 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 '''반영되어 있지 않은 경우'''
*개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
*개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

==같이 보기==

*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]

==참고 문헌==

*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)