ISMS-P 인증 기준 1.3.2.보호대책 공유: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
 
(3 intermediate revisions by 3 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증 기준 1.3.관리체계 운영|1.3.관리체계 운영]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.3.관리체계 운영|1.3.관리체계 운영]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.3.2.보호대책 공유
!1.3.2.보호대책 공유
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.
|보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
*구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
* 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?
*구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 보호대책 시행 조직 및 담당자 파악 ====
구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하여야 한다.<blockquote>'''※ 보호대책의 운영 또는 시행 부서(예시)'''
*인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리·권한관리 등
*개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등
*개인정보 취급부서 : 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장 시 암호화 등
*정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등
*인사부서 : 퇴직자 보안관리 등
</blockquote>
 
==== 보호대책 공유 방법 ====
정보보호 및 개인정보보호 관리체계를 내재화하기 위하여 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하여야 한다.
*공유 내용: 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등
*공유 대상: 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자
*공유 방법: '''게시판 및 이메일 공지'''(간단한 이슈인 경우), '''회의, 설명회, 교육''' 등
==증거 자료==
 
*정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황
*정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등)
 
==결함 사례==
 
*'''정보보호대책을 마련하여 구현'''하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
 
== 관련 인증 기준 ==
'''[[ISMS-P 인증 기준 1.3.3.운영현황 관리|1.3.3.운영현황 관리]]'''
 
* 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 보호대책의 운영 또는 시행 부서(예시)
* 인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리·권한관리 등
* 개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등
* 개인정보 취급부서 : 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장 시 암호화 등
* 정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등
* 인사부서 : 퇴직자 보안관리 등</div>
* 정보보호 및 개인정보보호 관리체계를 내재화하기 위하여 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하여야 한다.
** 공유 내용 : 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등
** 공유 대상 : 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자
** 공유 방법 : 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육 등
== 증거 자료 ==
* 정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황
* 정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등)
== 결함 사례 ==
* 정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 23:50, 23 January 2024


개요[edit | edit source]

항목 1.3.2.보호대책 공유
인증기준 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.
주요 확인사항
  • 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
  • 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?

세부 설명[edit | edit source]

보호대책 시행 조직 및 담당자 파악[edit | edit source]

구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하여야 한다.

※ 보호대책의 운영 또는 시행 부서(예시)

  • 인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리·권한관리 등
  • 개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등
  • 개인정보 취급부서 : 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장 시 암호화 등
  • 정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등
  • 인사부서 : 퇴직자 보안관리 등

보호대책 공유 방법[edit | edit source]

정보보호 및 개인정보보호 관리체계를 내재화하기 위하여 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하여야 한다.

  • 공유 내용: 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등
  • 공유 대상: 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자
  • 공유 방법: 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황
  • 정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등)

결함 사례[edit | edit source]

  • 정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우

관련 인증 기준[edit | edit source]

1.3.3.운영현황 관리

  • 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)