ISMS-P 인증 기준 1.3.3.운영현황 관리: Difference between revisions

From IT Wiki
(Imported from text file)
 
No edit summary
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
* '''분류''': [[ISMS-P 인증기준 1.3.관리체계 운영|1.3.관리체계 운영]]
* '''분류''': [[ISMS-P 인증 기준 1.3.관리체계 운영|1.3.관리체계 운영]]
== 개요 ==
== 개요 ==
{| class="wikitable"
{| class="wikitable"
Line 17: Line 17:
== 세부 설명 ==
== 세부 설명 ==


* 관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.
==== 관리체계 운영현황표 작성·관리 ====
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.<blockquote>'''※ 주기적인 정보보호 및 개인정보보호 활동(예시)'''
* ※ 주기적인 정보보호 및 개인정보보호 활동(예시)
 
* 주요직무자, 개인정보취급자의 접속기록 검토
* 주요직무자, 개인정보취급자의 접속기록 검토
* 주요직무자의 접근권한 검토
* 주요직무자의 접근권한 검토
Line 28: Line 28:
* 법적 준거성 검토
* 법적 준거성 검토
* 침해 대응 모의훈련, IT 재해 복구 모의훈련
* 침해 대응 모의훈련, IT 재해 복구 모의훈련
* 내부감사 등</div>
* 내부감사 등
* 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다.
</blockquote>
** 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고
 
** 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등)
==== 경영진, 주기적 관리체계 검토·개선 ====
경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다.
* 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고
* 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등)
== 증거 자료 ==
== 증거 자료 ==
* 정보보호 및 개인정보보호 연간계획서
* 정보보호 및 개인정보보호 연간계획서
Line 39: Line 42:
* 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
* 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
* 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
* 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
== 관련 인증 기준 ==
'''[[ISMS-P 인증 기준 1.3.1.보호대책 구현|1.3.1.보호대책 구현]]'''
* 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
'''[[ISMS-P 인증 기준 1.3.2.보호대책 공유|1.3.2.보호대책 공유]]'''
* 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.
== 같이 보기 ==
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[정보보호 및 개인정보보호관리체계 인증]]

Latest revision as of 11:33, 16 July 2022

개요[edit | edit source]

항목 1.3.3.운영현황 관리
인증기준 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.
주요 확인사항
  • 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?
  • 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?

세부 설명[edit | edit source]

관리체계 운영현황표 작성·관리[edit | edit source]

관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.

※ 주기적인 정보보호 및 개인정보보호 활동(예시)

  • 주요직무자, 개인정보취급자의 접속기록 검토
  • 주요직무자의 접근권한 검토
  • 정기 정보보호 및 개인정보보호위원회 개최
  • 정보보호 및 개인정보보호 교육
  • 사무실 보안점검
  • 정보보호 및 개인정보보호 정책·지침 개정 검토
  • 법적 준거성 검토
  • 침해 대응 모의훈련, IT 재해 복구 모의훈련
  • 내부감사 등

경영진, 주기적 관리체계 검토·개선[edit | edit source]

경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다.

  • 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고
  • 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등)

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 연간계획서
  • 정보보호 및 개인정보보호 운영현황표
  • 정보보호 및 개인정보보호활동 수행 여부 점검 결과

결함 사례[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
  • 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우

관련 인증 기준[edit | edit source]

1.3.1.보호대책 구현

  • 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.

1.3.2.보호대책 공유

  • 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)