ISMS-P 인증 기준 1.1.5.정책 수립: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.1.5.정책 수립
!1.1.5.정책 수립
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
|정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
*조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 [[정보보호 정책|정보보호 및 개인정보보호 정책]]을 수립하고 있는가?
* 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
*정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
* 정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
*정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
* 정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?
*정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
*조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
**조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
**조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
**조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
*정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를조직의 특성에 맞게 수립하여야 한다.
**하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
*※ 하위 실행 문서(예시)<table class="wikitable"><tr><th>보호대상 관점</th><th>수행주체 관점</th></tr><tr><td>
*서버보안 지침
**네트워크보안 지침
*데이터베이스보안 지침
**애플리케이션보안 지침
*웹서비스 보안 지침
**클라우드 보안 지침 </td><td>
*임직원보안 지침
**개발자보안 지침
*운영자보안 지침 등</td></tr></table></div>
 
*정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
*개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을모두 포함하여 수립
*개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항<table class="wikitable"><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr><tr><td>
*1. 개인정보 보호책임자의 지정에 관한 사항
*2. 개인정보 보호책임자 및 개인정보취급자의역할 및 책임에 관한 사항
*3. 개인정보취급자에 대한 교육에 관한 사항
*4. 접근 권한의 관리에 관한 사항
*5. 접근 통제에 관한 사항
*6. 개인정보의 암호화 조치에 관한 사항
*7. 접속기록 보관 및 점검에 관한 사항
*8. 악성프로그램 등 방지에 관한 사항
*9. 물리적 안전조치에 관한 사항
*10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항1* 1. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항1* 2. 위험도 분석 및 대응방안 마련에 관한 사항1* 3. 재해 ․ 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항1* 4. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항1* 5. 그 밖에 개인정보 보호를 위하여 필요한 사항
*※ 다만 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보 조치 기준 별표 참조).</td><td>
*1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
*2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
*3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
*4. 개인정보의 기술적 ․ 관리적 보호조치 이행 여부의 내부 점검에 관한 사항
*5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
*6. 개인정보의 분실․ 도난․ 누출․ 변조․ 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
*7. 개인정보보호 교육에 관한 사항(교육목적 및 대상, 교육내용, 교육 일정 및 방법)
*8. 개인정보의 기술적 ․ 관리적 보호조치에 관한 사항(접근통제, 접속기록의 위 ․ 변조방지, 개인정보의 암호화, 악성프로그램 방지 등)
*9. 그 밖에 개인정보 보호를 위하여 필요한 사항</td></tr></table>
*정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다.
**정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
**정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
**회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
**검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
*정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운형태로 제공하여야 한다.
**임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
**정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지
 
==증거 자료==
 
*정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
*정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
*개인정보 내부관리계획
*정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
*정보보호 및 개인정보보호위원회 회의록
 
==결함 사례==
 
*내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
*정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
*정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
** 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
** 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
* 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를조직의 특성에 맞게 수립하여야 한다.
** 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 하위 실행 문서(예시)<table><tr><th>보호대상 관점</th><th>수행주체 관점</th></tr><tr><td>
** 서버보안 지침
*** 네트워크보안 지침
** 데이터베이스보안 지침
*** 애플리케이션보안 지침
** 웹서비스 보안 지침
*** 클라우드 보안 지침</td><td>
** 임직원보안 지침
*** 개발자보안 지침
** 운영자보안 지침 등</td></tr></table></div>
** 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
** 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을모두 포함하여 수립
** 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항<table><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr><tr><td>
* 1. 개인정보 보호책임자의 지정에 관한 사항
* 2. 개인정보 보호책임자 및 개인정보취급자의역할 및 책임에 관한 사항
* 3. 개인정보취급자에 대한 교육에 관한 사항
* 4. 접근 권한의 관리에 관한 사항
* 5. 접근 통제에 관한 사항
* 6. 개인정보의 암호화 조치에 관한 사항
* 7. 접속기록 보관 및 점검에 관한 사항
* 8. 악성프로그램 등 방지에 관한 사항
* 9. 물리적 안전조치에 관한 사항
* 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항1* 1. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항1* 2. 위험도 분석 및 대응방안 마련에 관한 사항1* 3. 재해 ․ 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항1* 4. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항1* 5. 그 밖에 개인정보 보호를 위하여 필요한 사항
* ※ 다만 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보 조치 기준 별표 참조).</td><td>
* 1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
* 2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
* 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
* 4. 개인정보의 기술적 ․ 관리적 보호조치 이행 여부의 내부 점검에 관한 사항
* 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
* 6. 개인정보의 분실․ 도난․ 누출․ 변조․ 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
* 7. 개인정보보호 교육에 관한 사항(교육목적 및 대상, 교육내용, 교육 일정 및 방법)
* 8. 개인정보의 기술적 ․ 관리적 보호조치에 관한 사항(접근통제, 접속기록의 위 ․ 변조방지, 개인정보의 암호화, 악성프로그램 방지 등)
* 9. 그 밖에 개인정보 보호를 위하여 필요한 사항</td></tr></table>
* 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다.
** 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
** 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
** 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
** 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
* 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운형태로 제공하여야 한다.
** 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
** 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지
== 증거 자료 ==
* 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
* 정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
* 개인정보 내부관리계획
* 정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
* 정보보호 및 개인정보보호위원회 회의록
== 결함 사례 ==
* 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
* 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
* 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 15:39, 19 May 2022


개요

항목 1.1.5.정책 수립
인증기준 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
주요 확인사항
  • 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
  • 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
  • 정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
  • 정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?

세부 설명

  • 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
    • 조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
    • 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
    • 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
  • 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를조직의 특성에 맞게 수립하여야 한다.
    • 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립
  • ※ 하위 실행 문서(예시)
    보호대상 관점수행주체 관점
  • 서버보안 지침
    • 네트워크보안 지침
  • 데이터베이스보안 지침
    • 애플리케이션보안 지침
  • 웹서비스 보안 지침
    • 클라우드 보안 지침
  • 임직원보안 지침
    • 개발자보안 지침
  • 운영자보안 지침 등
  • 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
  • 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을모두 포함하여 수립
  • 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항
    개인정보처리자정보통신서비스 제공자
  • 1. 개인정보 보호책임자의 지정에 관한 사항
  • 2. 개인정보 보호책임자 및 개인정보취급자의역할 및 책임에 관한 사항
  • 3. 개인정보취급자에 대한 교육에 관한 사항
  • 4. 접근 권한의 관리에 관한 사항
  • 5. 접근 통제에 관한 사항
  • 6. 개인정보의 암호화 조치에 관한 사항
  • 7. 접속기록 보관 및 점검에 관한 사항
  • 8. 악성프로그램 등 방지에 관한 사항
  • 9. 물리적 안전조치에 관한 사항
  • 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항1* 1. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항1* 2. 위험도 분석 및 대응방안 마련에 관한 사항1* 3. 재해 ․ 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항1* 4. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항1* 5. 그 밖에 개인정보 보호를 위하여 필요한 사항
  • ※ 다만 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보 조치 기준 별표 참조).
  • 1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
  • 2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
  • 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
  • 4. 개인정보의 기술적 ․ 관리적 보호조치 이행 여부의 내부 점검에 관한 사항
  • 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  • 6. 개인정보의 분실․ 도난․ 누출․ 변조․ 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
  • 7. 개인정보보호 교육에 관한 사항(교육목적 및 대상, 교육내용, 교육 일정 및 방법)
  • 8. 개인정보의 기술적 ․ 관리적 보호조치에 관한 사항(접근통제, 접속기록의 위 ․ 변조방지, 개인정보의 암호화, 악성프로그램 방지 등)
  • 9. 그 밖에 개인정보 보호를 위하여 필요한 사항
  • 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다.
    • 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
    • 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
    • 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
    • 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
  • 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운형태로 제공하여야 한다.
    • 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
    • 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지

증거 자료

  • 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
  • 정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
  • 개인정보 내부관리계획
  • 정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
  • 정보보호 및 개인정보보호위원회 회의록

결함 사례

  • 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
  • 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
  • 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)