ISMS-P 인증 기준 1.4.3.관리체계 개선: Difference between revisions

From IT Wiki
(Imported from text file)
 
No edit summary
 
(7 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증기준 1.4.관리체계 점검 및 개선|1.4.관리체계 점검 및 개선]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.4.관리체계 점검 및 개선|1.4.관리체계 점검 및 개선]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.4.3.관리체계 개선
!1.4.3.관리체계 개선
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center; width : 10%" |'''인증기준'''
|법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
|법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
|-
| style="text-align:center; width : 10%" |'''주요 확인사항'''
|
*법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립·이행하고 있는가?
*재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?
|-
|-
|'''주요 확인사항'''
| style="text-align:center; width : 10%" |'''관련법규'''
|
|
* 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가?
*개인정보 보호법 제29조(안전조치의무)
* 재발방지 및 개선 결과의 정확성 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 점검)
|}
|}
== 세부 설명 ==
==세부 설명==
 
====근본 원인 분석 및 개선 대책 수립·이행====
법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 '''재발방지 및 개선 대책을 수립·이행'''하여야 한다.
*점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
*식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석
*근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책의 수립·이행
<blockquote style="width:70%;">'''※ 재발방지 대책(예시)'''
*정보보호 및 개인정보보호 정책·지침·절차 개정
*임직원 및 외부자에 대한 교육 강화 또는 개선
*이상행위 등에 대한 모니터링 강화
*정보보호 및 개인정보보호 운영 자동화(계정관리 등)
*정보보호 및 개인정보보호 관련 검토·승인 절차 개선
*내부점검 체크리스트 또는 방식 개선 등
</blockquote>
*수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시
 
==== 재발방지 및 개선 결과 확인을 위한 기준·절차 수립====
재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하여야 한다.
*재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 '''관리체계 측면에서의 핵심성과지표 (보안성과지표)''' 도출
 
<blockquote style="width:70%">'''※ 재발방지 및 개선조치 관련 보안성과지표(예시)'''
*보안 정책·지침 위반율(외부 전송규정 위반율, 보안우회 시도율 등)
*보안 예외 승인 건수
*보안 프로그램 설치율
*악성프로그램 감염률
*자가점검 수행률 등
</blockquote>
 
*핵심성과지표(보안성과지표)에 대한 '''측정 및 모니터링 절차 수립·이행'''
*재발방지 및 개선조치의 정확성·효과성에 대한 '''확인 및 측정 결과는 경영진에게 보고'''
 
==증거 자료==
 
*관리체계 점검 결과보고서
*관리체계 점검 조치계획서·이행조치결과서
*재발방지 대책
*효과성 측정 지표 및 측정 결과(경영진 보고 포함)
 
==결함 사례==
 
*내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 '''반복되어 발생'''되는 경우
*내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
*관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
*관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석
** 근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책의 수립·이행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 재발방지 대책(예시)
* 정보보호 및 개인정보보호 정책·지침·절차 개정
* 임직원 및 외부자에 대한 교육 강화 또는 개선
* 이상행위 등에 대한 모니터링 강화
* 정보보호 및 개인정보보호 운영 자동화(계정관리 등)
* 정보보호 및 개인정보보호 관련 검토·승인 절차 개선
* 내부점검 체크리스트 또는 방식 개선 등</div>
** 수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시
* 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하여야 한다.
** 재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 관리체계 측면에서의 핵심성과지표(보안성과지표) 도출
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 재발방지 및 개선조치 관련 보안성과지표(예시)
* 보안 정책·지침 위반율(외부 전송규정 위반율, 보안우회 시도율 등)
* 보안 예외 승인 건수
* 보안 프로그램 설치율
* 악성프로그램 감염률
* 자가점검 수행률 등</div>
** 핵심성과지표(보안성과지표)에 대한 측정 및 모니터링 절차 수립·이행
** 재발방지 및 개선조치의 정확성·효과성에 대한 확인 및 측정 결과는 경영진에게 보고
== 증거 자료 ==
* 내부점검 결과보고서
* 재발방지 대책
* 효과성 측정 지표 및 측정 결과(경영진 보고 포함)
== 결함 사례 ==
* 내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우
* 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
* 관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 20:51, 31 January 2024


개요[edit | edit source]

항목 1.4.3.관리체계 개선
인증기준 법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
주요 확인사항
  • 법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립·이행하고 있는가?
  • 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)

세부 설명[edit | edit source]

근본 원인 분석 및 개선 대책 수립·이행[edit | edit source]

법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립·이행하여야 한다.

  • 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
  • 식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석
  • 근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책의 수립·이행

※ 재발방지 대책(예시)

  • 정보보호 및 개인정보보호 정책·지침·절차 개정
  • 임직원 및 외부자에 대한 교육 강화 또는 개선
  • 이상행위 등에 대한 모니터링 강화
  • 정보보호 및 개인정보보호 운영 자동화(계정관리 등)
  • 정보보호 및 개인정보보호 관련 검토·승인 절차 개선
  • 내부점검 체크리스트 또는 방식 개선 등
  • 수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시

재발방지 및 개선 결과 확인을 위한 기준·절차 수립[edit | edit source]

재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하여야 한다.

  • 재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 관리체계 측면에서의 핵심성과지표 (보안성과지표) 도출

※ 재발방지 및 개선조치 관련 보안성과지표(예시)

  • 보안 정책·지침 위반율(외부 전송규정 위반율, 보안우회 시도율 등)
  • 보안 예외 승인 건수
  • 보안 프로그램 설치율
  • 악성프로그램 감염률
  • 자가점검 수행률 등
  • 핵심성과지표(보안성과지표)에 대한 측정 및 모니터링 절차 수립·이행
  • 재발방지 및 개선조치의 정확성·효과성에 대한 확인 및 측정 결과는 경영진에게 보고

증거 자료[edit | edit source]

  • 관리체계 점검 결과보고서
  • 관리체계 점검 조치계획서·이행조치결과서
  • 재발방지 대책
  • 효과성 측정 지표 및 측정 결과(경영진 보고 포함)

결함 사례[edit | edit source]

  • 내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우
  • 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
  • 관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
  • 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)