ISMS-P 인증 기준 2.2.3.보안 서약: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.2.인적 보안|2.2.인적 보안]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.2.인적 보안|2.2.인적 보안]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.2.3.보안 서약
!2.2.3.보안 서약
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
|정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?
*신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?
* 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?
*임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?
* 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?
*임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?
* 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요 시 쉽게 찾아볼 수 있도록 관리하고 있는가?
*정보보호, 개인정보보호 및 비밀유지 서약서는 '''안전하게 보관'''하고 필요 시 쉽게 찾아볼 수 있도록 관리하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 보안서약서 작성 ====
 
*'''신규 인력 채용 시''' 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받아야 한다.
**신규 인력이 입사하는 경우 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대하여 명시된 서약서 서명
**고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성 등의 조치 수행
*임시직원, 외주용역직원 등 외부자에게 정보자산(개인정보 포함), 정보시스템 등에 '''접근권한을 부여할 경우''' 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 작성하도록 하여야 한다.
**정보보호 및 개인정보보호 책임, 비밀유지 의무, 내부 규정 및 관련 법규 준수 의무, 관련 의무의 미준수로 인한 사건·사고 발생 시 손해배상 책임 등 필요한 내용 포함
*임직원 '''퇴직 시''' 별도의 비밀유지에 관련한 서약서를 받아야 한다.
**퇴직자에게 정보유출 발생 시 그에 따르는 법적 책임이 있음을 명확히 인식시킬 수 있도록 비밀유지 서약서 징구(퇴직 절차 내 포함)
 
==== 보안 서약서의 안전한 보관 ====
정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보존하고, 필요시 쉽게 찾아볼 수 있도록 관리 하여야 한다.
 
*법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있도록 잠금장치가 있는 캐비닛 또는 출입 통제가 적용된 문서고 등에 안전하게 보관·관리
 
==증거 자료==
 
*정보보호 및 개인정보보호 서약서(임직원, 외부인력)
*비밀유지서약서(퇴직자)
 
==결함 사례==
 
*신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
*임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우
*제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
*개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
 
== 관련 인증 기준 ==
'''[[ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리|2.2.1.주요 직무자 지정 및 관리]]'''
* 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
 
'''[[ISMS-P 인증 기준 2.2.2.직무 분리|2.2.2.직무 분리]]'''
 
* 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
 
'''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]'''
 
* 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
 
'''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]'''
 
* 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
 
'''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]'''
 
* 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받아야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 신규 인력이 입사하는 경우 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대하여 명시된 서약서 서명
** 고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성 등의 조치 수행
* 임시직원, 외주용역직원 등 외부자에게 정보자산(개인정보 포함), 정보시스템 등에 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 작성하도록 하여야 한다.
** 정보보호 및 개인정보보호 책임, 비밀유지 의무, 내부 규정 및 관련 법규 준수 의무, 관련 의무의 미준수로 인한 사건·사고 발생 시 손해배상 책임 등 필요한 내용 포함
* 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받아야 한다.
** 퇴직자에게 정보유출 발생 시 그에 따르는 법적 책임이 있음을 명확히 인식시킬 수 있도록 비밀유지 서약서 징구(퇴직 절차 내 포함)
* 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보존하고, 필요시 쉽게 찾아볼 수 있도록 관리 하여야 한다.
** 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있도록 잠금장치가 있는 캐비닛 또는출입통제가 적용된 문서고 등에 안전하게 보관·관리
== 증거 자료 ==
* 정보보호 및 개인정보보호 서약서(임직원, 외부인력)
* 비밀유지서약서(퇴직자)
== 결함 사례 ==
* 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
* 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우
* 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
* 개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 00:24, 21 January 2024


개요[edit | edit source]

항목 2.2.3.보안 서약
인증기준 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
주요 확인사항
  • 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?
  • 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?
  • 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?
  • 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요 시 쉽게 찾아볼 수 있도록 관리하고 있는가?

세부 설명[edit | edit source]

보안서약서 작성[edit | edit source]

  • 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받아야 한다.
    • 신규 인력이 입사하는 경우 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대하여 명시된 서약서 서명
    • 고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성 등의 조치 수행
  • 임시직원, 외주용역직원 등 외부자에게 정보자산(개인정보 포함), 정보시스템 등에 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 작성하도록 하여야 한다.
    • 정보보호 및 개인정보보호 책임, 비밀유지 의무, 내부 규정 및 관련 법규 준수 의무, 관련 의무의 미준수로 인한 사건·사고 발생 시 손해배상 책임 등 필요한 내용 포함
  • 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받아야 한다.
    • 퇴직자에게 정보유출 발생 시 그에 따르는 법적 책임이 있음을 명확히 인식시킬 수 있도록 비밀유지 서약서 징구(퇴직 절차 내 포함)

보안 서약서의 안전한 보관[edit | edit source]

정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보존하고, 필요시 쉽게 찾아볼 수 있도록 관리 하여야 한다.

  • 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있도록 잠금장치가 있는 캐비닛 또는 출입 통제가 적용된 문서고 등에 안전하게 보관·관리

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 서약서(임직원, 외부인력)
  • 비밀유지서약서(퇴직자)

결함 사례[edit | edit source]

  • 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
  • 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우
  • 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
  • 개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우

관련 인증 기준[edit | edit source]

2.2.1.주요 직무자 지정 및 관리

  • 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

2.2.2.직무 분리

  • 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

2.2.4.인식제고 및 교육훈련

  • 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

2.2.5.퇴직 및 직무변경 관리

  • 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.

2.2.6.보안 위반 시 조치

  • 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)