ISMS-P 인증 기준 1.1.5.정책 수립: Difference between revisions
From IT Wiki
No edit summary |
|||
(8 intermediate revisions by 4 users not shown) | |||
Line 16: | Line 16: | ||
*조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 [[정보보호 정책|정보보호 및 개인정보보호 정책]]을 수립하고 있는가? | *조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 [[정보보호 정책|정보보호 및 개인정보보호 정책]]을 수립하고 있는가? | ||
*정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가? | *정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가? | ||
**'''(가상자산 사업자)''' 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가? | |||
*정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가? | *정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가? | ||
*정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가? | *정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가? | ||
**'''(가상자산 사업자)''' 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가? | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====최상위 수준의 정보보호·개인정보보호 정책 수립==== | |||
조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다. | |||
*조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향 | |||
*조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위 | |||
*조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거 | |||
*''' | ====세부 지침·절차 등 하위 실행 문서 수립==== | ||
정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다. | |||
*하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립 | |||
*'''하위 실행 문서(예시)''' | |||
{| class="wikitable" | |||
!보호대상 관점 | |||
!수행주체 관점 | |||
|- | |||
| | |||
*서버보안 지침 | *서버보안 지침 | ||
*네트워크보안 지침 | |||
*데이터베이스보안 지침 | *데이터베이스보안 지침 | ||
*애플리케이션보안 지침 | |||
*웹서비스 보안 지침 | *웹서비스 보안 지침 | ||
*클라우드 보안 지침 | |||
| | |||
*임직원보안 지침 | *임직원보안 지침 | ||
*개발자보안 지침 | |||
*운영자보안 지침 등 | *운영자보안 지침 등 | ||
|} | |||
*정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영 | *정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영 | ||
*개인정보를 처리하는 경우 개인정보 보호법에 따른 [[내부 관리계획]]을 관련 법규에서 요구하는 사항을모두 포함하여 수립 | *개인정보를 처리하는 경우 개인정보 보호법에 따른 [[내부 관리계획]]을 관련 법규에서 요구하는 사항을모두 포함하여 수립 | ||
*개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항 | *개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항 (2023. 11) | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| | | | ||
*1. 개인정보 보호책임자의 지정에 관한 사항 | *1. 개인정보 보호 조직의 구성 및 운영에 관한 사항 | ||
* | *2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 | ||
* | *3. 개인정보 보호책임자와 개인정보취급자의역할 및 책임에 관한 사항 | ||
* | *4. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항 | ||
* | *5. 접근 권한의 관리에 관한 사항 | ||
* | * 6. 접근 통제에 관한 사항 | ||
* | *7. 개인정보의 암호화 조치에 관한 사항 | ||
* | *8. 접속기록 보관 및 점검에 관한 사항 | ||
* | *9. 악성프로그램 등 방지에 관한 사항 | ||
* | * 10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 | ||
* | *11. 물리적 안전조치에 관한 사항 | ||
* | *12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항 | ||
* | *13. 위험 분석 및 관리 관한 사항 | ||
*14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | |||
** | *15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 | ||
*16. 그 밖에 개인정보 보호를 위하여 필요한 사항 | |||
※ 다만 | ※ 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략 가능 | ||
|} | |} | ||
====정책 제·개정 시 최고경영자 승인==== | |||
*정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다. | *정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다. | ||
Line 84: | Line 87: | ||
**회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영 | **회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영 | ||
**검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인 | **검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인 | ||
*정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 | |||
====임직원에게 최신화된 정책 배포==== | |||
*정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다. | |||
**임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공 | **임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공 | ||
**정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지 | **정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지 | ||
==증거 자료== | ==증거 자료 == | ||
*정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함) | *정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함) | ||
Line 110: | Line 116: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) |
Latest revision as of 21:35, 1 July 2024
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.1.관리체계 기반 마련
개요[edit | edit source]
항목 | 1.1.5.정책 수립 |
---|---|
인증기준 | 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
최상위 수준의 정보보호·개인정보보호 정책 수립[edit | edit source]
조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
- 조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
- 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
- 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
세부 지침·절차 등 하위 실행 문서 수립[edit | edit source]
정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.
- 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게수립
- 하위 실행 문서(예시)
보호대상 관점 | 수행주체 관점 |
---|---|
|
|
- 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
- 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부 관리계획을 관련 법규에서 요구하는 사항을모두 포함하여 수립
- 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항 (2023. 11)
※ 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략 가능 |
정책 제·개정 시 최고경영자 승인[edit | edit source]
- 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을위임받은 자의 승인을 받아야 한다.
- 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
- 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
- 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
- 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
임직원에게 최신화된 정책 배포[edit | edit source]
- 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.
- 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
- 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지
증거 자료[edit | edit source]
- 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
- 정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
- 개인정보 내부관리계획
- 정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
- 정보보호 및 개인정보보호위원회 회의록
결함 사례[edit | edit source]
- 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
- 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
- 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)