익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리
편집하기
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
[[분류: ISMS-P 인증 기준]] *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] *'''분류''': [[ISMS-P 인증 기준 2.2.인적 보안|2.2.인적 보안]] ==개요== {| class="wikitable" !항목 !2.2.1.주요 직무자 지정 및 관리 |- | style="text-align:center" |'''인증기준''' |개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. |- |'''주요 확인사항''' | *개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? **'''(가상자산 사업자)''' 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가? *주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? *업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가? *업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하고 있는가? |- |'''관련법규''' | *개인정보 보호법 제28조(개인정보취급자에 대한 감독), 제29조(안전조치의무) * 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검) |} ==세부 설명== ====주요 직무 기준 정의==== 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.<blockquote>'''※ 주요 직무의 기준(예시)''' *중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급 *중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리 *정보보호 및 개인정보보호 관리 업무 수행 *보안시스템 운영 등 </blockquote> ====주요 직무 수행자 현행화 ==== 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다. *주요 직무자 현황을 파악하여 '''주요 직무자로 공식 지정''' * 지정된 주요 직무자에 대하여 '''목록으로 관리''' *주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트 * 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 '''목록 최신화''' ====개인정보 취급자 현행화==== 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다. * 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리 *개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능) *정기적으로 '''[[개인정보취급자]]''' 지정 현황 및 적정성을 검토하여 목록 최신화 <blockquote>'''※ 개인정보취급자의 정의''' *임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자 </blockquote> ====주요 직무 수행자 최소화 방안 수립 ==== 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다. *업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정 * 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련 *주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등) ==증거 자료== * 주요 직무 기준 *주요직무자 목록 *개인정보취급자 목록 *중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장 *주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등) ==결함 사례== *주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우 *주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우 *부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우 *내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우 ==관련 인증 기준== '''[[ISMS-P 인증 기준 2.2.2.직무 분리|2.2.2.직무 분리]]''' *권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. '''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]''' *정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. '''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]''' *임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. '''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]''' *퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. '''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]''' *임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. ==같이 보기== *[[정보보호 및 개인정보보호관리체계 인증]] *[[ISMS-P 인증 기준]] *[[ISMS-P 인증 기준 세부 점검 항목]] ==참고 문헌== *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록