ISMS-P 인증 기준 2.1.2.조직의 유지관리 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
*'''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.1.2.조직의 유지관리
!2.1.2.조직의 유지관리
|-
|-
| style="text-align:center; width:10%" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
|조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
|-
|-
|style="text-align:center" |'''주요 확인사항'''
|'''주요 확인사항'''
|
*정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?
*정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
*정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하고 있는가?
|-
|style="text-align:center" |'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
*정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)
|}
==세부 설명==
 
==== 조직의 각 구성원별 역할 및 책임 할당====
 
*정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다.
**[[정보보호 최고책임자]] 및 [[개인정보 보호책임자]]
**정보보호, 개인정보보호 관리자 및 담당자
**부서별 정보보호, 개인정보보호 책임자 및 담당자
**정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의
**정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행
 
{| class="wikitable"
! style="width : 50%" |정보보호 최고책임자
! style="width : 50%" |개인정보 보호책임자
|-
|
|
*정보보호 관리체계의 수립·시행 개선
* 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 책임을 명확히 정의하고 있는가?
*정보보호 실태와 관행의 정기적인 감사 개선
* 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
*정보보호 위험의 식별 평가 정보보호 대책 마련
* 정보보호 및 개인정보보호 관련 조직 조직의 구성원간 상호 의사소통할 수 있는 체계 절차를 수립‧이행하고 있는가?
*정보보호 교육과 모의 훈련 계획의 수립 시행
*그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
|
*개인정보 보호 계획의 수립 시행
*개인정보 처리 실태 관행의 정기적인 조사 및 개선
*개인정보 처리와 관련한 불만의 처리 및 피해 구제
*개인정보 유출 및 오·남용 방지를 위한 내부 통제시스템의 구축
*개인정보 보호 교육 계획의 수립 및 시행
*개인정보파일의 보호 및 관리·감독
*개인정보 처리방침의 수립·변경 및 시행
*개인정보보호 관련 자료의 관리
*처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기
|}
|}
== 세부 설명 ==


====조직 활동 평가====
* 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다.
 
** 정보보호 최고책임자 및 개인정보 보호책임자
*정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.
** 정보보호, 개인정보보호 관리자 및 담당자
**조직 내 [[KPI|핵심성과지표(KPI)]], [[MBO]](Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가
** 부서별 정보보호, 개인정보보호 책임자 및 담당자
 
** 정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행<table><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr><tr><td>
====의사소통 체계 수립 및 이행====
** 정보보호 관리체계의 수립·시행 및 개선
 
*** 정보보호 실태와 관행의 정기적인 감사 및 개선
*정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다.
** 정보보호 위험의 식별 평가 및 정보보호 대책 마련
**정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행
*** 정보보호 교육과 모의 훈련 계획의 수립 및 시행
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
** 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행</td><td>
'''※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)'''
** 개인정보 보호 계획의 수립 및 시행
 
*** 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
*의사소통 관리 계획 개요 : 목적 및 범위
** 개인정보 처리와 관련한 불만의 처리 및 피해 구제
*의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
*** 개인정보 유출 및 오·남용 방지를 위한 내부 통제시스템의 구축
** 개인정보 보호 교육 계획의 수립 및 시행
*** 개인정보파일의 보호 및 관리·감독
** 개인정보 처리방침의 수립·변경 및 시행
*** 개인정보보호 관련 자료의 관리
** 처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기</td></tr></table>
** 정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및역할을 구체적으로 정의
* 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.
** 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가
* 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다.
** 정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)
* 의사소통 관리 계획 개요 : 목적 및 범위
* 의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
* 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
* 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
*의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등</div>
* 의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등</div>
==증거 자료==
== 증거 자료 ==
 
* 정보보호 및 개인정보보호 조직도
*정보보호 및 개인정보보호 조직도
* 정보보호 및 개인정보보호 조직 직무기술서
* 정보보호 및 개인정보보호 조직 직무기술서
*정보보호 및 개인정보보호 업무 분장표
* 정보보호 및 개인정보보호 업무 분장표
*정보보호 및 개인정보보호 정책·지침, 내부관리계획
* 정보보호 및 개인정보보호 정책·지침, 내부관리계획
*정보보호 및 개인정보보호 의사소통 관리계획
* 정보보호 및 개인정보보호 의사소통 관리계획
*의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
* 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
*의사소통 채널(정보보호포털, 게시판 등)
* 의사소통 채널(정보보호포털, 게시판 등)
 
== 결함 사례 ==
==결함 사례 ==
* 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
 
* 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
*내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
* 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
*정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 '''평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우'''
* 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
*내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
== 같이 보기 ==
*정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
* [[정보보호 및 개인정보보호관리체계 인증]]
 
* [[ISMS-P 인증 기준]]
==같이 보기==
* [[ISMS-P 인증 기준 세부 점검 항목]]
 
== 참고 문헌 ==
*[[정보보호 및 개인정보보호관리체계 인증]]
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.1.2.조직의_유지관리"