ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
18번째 줄: 18번째 줄:
*주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?
*주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?
*업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?
*업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?
*업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하고 있는가?
*업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립‧이행하고 있는가?
|-
|'''관련법규'''
|
*개인정보 보호법 제28조(개인정보취급자에 대한 감독), 제29조(안전조치의무)
* 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)
|}
|}
==세부 설명==
==세부 설명==


====주요 직무 기준 정의====
==== 주요 직무 기준 정의 ====
개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.<blockquote>'''※ 주요 직무의 기준(예시)'''  
개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.<blockquote>'''※ 주요 직무의 기준(예시)'''
*중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
*중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
*중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리
*중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리
35번째 줄: 30번째 줄:
</blockquote>
</blockquote>


====주요 직무 수행자 현행화 ====
==== 주요 직무 수행자 현행화 ====
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
*주요 직무자 현황을 파악하여 '''주요 직무자로 공식 지정'''
*주요 직무자 현황을 파악하여 주요 직무자로 공식 지정
* 지정된 주요 직무자에 대하여 '''목록으로 관리'''
*지정된 주요 직무자에 대하여 목록으로 관리
*주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트
*주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트
* 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 '''목록 최신화'''
*정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화


====개인정보 취급자 현행화====
==== 개인정보 취급자 현행화 ====
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.
* 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리
*업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리
*개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능)
*개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능)
*정기적으로 '''[[개인정보취급자]]''' 지정 현황 및 적정성을 검토하여 목록 최신화
*정기적으로 '''[[개인정보취급자]]''' 지정 현황 및 적정성을 검토하여 목록 최신


<blockquote>'''※ 개인정보취급자의 정의'''
==== 주요 직무 수행자 최소화 방안 수립 ====
*임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자
</blockquote>
 
====주요 직무 수행자 최소화 방안 수립 ====
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.
*업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정
*업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정
* 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련
*주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련
*주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)
*주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)


==증거 자료==
==증거 자료==


* 주요 직무 기준
*주요 직무 기준
*주요직무자 목록
*주요직무자 목록
*개인정보취급자 목록
*개인정보취급자 목록
73번째 줄: 64번째 줄:
*내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
*내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우


==관련 인증 기준==
== 관련 인증 기준 ==
'''[[ISMS-P 인증 기준 2.2.2.직무 분리|2.2.2.직무 분리]]'''  
'''[[ISMS-P 인증 기준 2.2.2.직무 분리|2.2.2.직무 분리]]'''


*권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
* 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.


'''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]'''
'''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]'''


*정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
* 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.


'''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]'''
'''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]'''


*임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
* 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.


'''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]'''
'''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]'''


*퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
* 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.


'''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]'''
'''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]'''


*임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
* 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.


==같이 보기==
==같이 보기==
102번째 줄: 93번째 줄:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)