ISMS-P 인증 기준 1.2.2.현황 및 흐름분석: Difference between revisions

From IT Wiki
(Imported from text file)
 
No edit summary
 
(One intermediate revision by one other user not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증기준 1.2.위험 관리|1.2.위험 관리]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.2.위험 관리|1.2.위험 관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.2.2.현황 및 흐름분석
!1.2.2.현황 및 흐름분석
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.
|관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
*관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
* 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
*관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
* 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?
*서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
*현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다.
*또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는 데 효과적으로 활용할 수 있다.
**현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여 인증기준과 운영현황과의 차이를 확인
**흐름분석은 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분되며, 그 결과는 흐름표 또는 흐름도로 도식화
***'''정보서비스 흐름도'''는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미함.
***'''개인정보 흐름도'''는 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을 한눈에 확인할 수 있도록 도식화한 개념도를 의미함.
 
*관리체계 전 영역에 대한 정보서비스 현황을 식별하고, 업무 절차와 흐름을 파악하여 문서화하여야 한다.
**관리체계 범위 내의 모든 정보서비스 현황 식별
**정보서비스별 업무 절차 및 흐름 파악
**업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도 등
*관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름표, 개인 정보 흐름도 등으로 문서화하여야 한다(ISMS-P 인증인 경우).
**'''(1단계)''' 개인정보 처리가 이루어지는 단위 업무를 식별
**'''(2단계)''' 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
**'''(3단계)''' 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한눈에 파악할 수 있도록 총괄 개인정보 흐름도 및 업무별 개인정보 흐름도 작성
*서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음 관점을 참고하여 주기적으로(최소 연 1회 이상) 검토하고, 최신성이 유지되도록 관리하여야 한다.
**기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)
**처리되는 중요정보, 개인정보 항목의 변화 여부
**정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
**신규 개인정보 처리업무 및 흐름 발생 여부
**법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등
 
==증거 자료==
 
*정보서비스 현황표
*정보서비스 업무흐름표/업무흐름도
*개인정보 처리 현황표(ISMS-P 인증인 경우)
*개인정보 흐름표/흐름도(ISMS-P 인증인 경우)
 
==결함 사례==
 
*관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
*개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
*최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된* 다. 또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는 데 효과적으로 활용할 수 있다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여 인증기준과 운영현황과의 차이를 확인
** 흐름분석은 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분되며, 그 결과는 흐름표 또는 흐름도로 도식화
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 정보서비스 흐름도는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미함.
* ※ 개인정보 흐름도는 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을 한눈에 확인할 수 있도록 도식화한 개념도를 의미함.</div>
* 관리체계 전 영역에 대한 정보서비스 현황을 식별하고, 업무 절차와 흐름을 파악하여 문서화하여야 한다.
** 관리체계 범위 내의 모든 정보서비스 현황 식별
** 정보서비스별 업무 절차 및 흐름 파악
** 업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도 등
* 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름표, 개인 정보 흐름도 등으로 문서화하여야 한다(ISMS-P 인증인 경우).
** (1단계) 개인정보 처리가 이루어지는 단위 업무를 식별
** (2단계) 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
** (3단계) 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한눈에 파악할 수 있도록 총괄 개인정보 흐름도 및 업무별 개인정보 흐름도 작성
* 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음 관점을 참고하여 주기적으로(최소 연 1회 이상) 검토하고, 최신성이 유지되도록 관리하여야 한다.
** 기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)
** 처리되는 중요정보, 개인정보 항목의 변화 여부
** 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
** 신규 개인정보 처리업무 및 흐름 발생 여부
** 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등
== 증거 자료 ==
* 정보서비스 현황표
* 정보서비스 업무흐름표/업무흐름도
* 개인정보 처리 현황표(ISMS-P 인증인 경우)
* 개인정보 흐름표/흐름도(ISMS-P 인증인 경우)
== 결함 사례 ==
* 관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
* 개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
* 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 20:05, 17 June 2022


개요[edit | edit source]

항목 1.2.2.현황 및 흐름분석
인증기준 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.
주요 확인사항
  • 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
  • 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
  • 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?

세부 설명[edit | edit source]

  • 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다.
  • 또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는 데 효과적으로 활용할 수 있다.
    • 현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여 인증기준과 운영현황과의 차이를 확인
    • 흐름분석은 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분되며, 그 결과는 흐름표 또는 흐름도로 도식화
      • 정보서비스 흐름도는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미함.
      • 개인정보 흐름도는 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을 한눈에 확인할 수 있도록 도식화한 개념도를 의미함.
  • 관리체계 전 영역에 대한 정보서비스 현황을 식별하고, 업무 절차와 흐름을 파악하여 문서화하여야 한다.
    • 관리체계 범위 내의 모든 정보서비스 현황 식별
    • 정보서비스별 업무 절차 및 흐름 파악
    • 업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도 등
  • 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름표, 개인 정보 흐름도 등으로 문서화하여야 한다(ISMS-P 인증인 경우).
    • (1단계) 개인정보 처리가 이루어지는 단위 업무를 식별
    • (2단계) 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
    • (3단계) 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한눈에 파악할 수 있도록 총괄 개인정보 흐름도 및 업무별 개인정보 흐름도 작성
  • 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음 관점을 참고하여 주기적으로(최소 연 1회 이상) 검토하고, 최신성이 유지되도록 관리하여야 한다.
    • 기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)
    • 처리되는 중요정보, 개인정보 항목의 변화 여부
    • 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
    • 신규 개인정보 처리업무 및 흐름 발생 여부
    • 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등

증거 자료[edit | edit source]

  • 정보서비스 현황표
  • 정보서비스 업무흐름표/업무흐름도
  • 개인정보 처리 현황표(ISMS-P 인증인 경우)
  • 개인정보 흐름표/흐름도(ISMS-P 인증인 경우)

결함 사례[edit | edit source]

  • 관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
  • 개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
  • 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)