ISMS-P 인증 기준 2.1.1.정책의 유지관리: Difference between revisions

From IT Wiki
(Imported from text file)
 
(3 intermediate revisions by one other user not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.1.1.정책의 유지관리
!2.1.1.정책의 유지관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.
|정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?
*정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?
* 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?
*조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?
* 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?
*'''(가상자산 사업자)''' 조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?
* 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?
**중대한 변화 예시: 가상자산의 핫-콜드 월렛 보유액 비율 변경, 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
*정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?
*정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
====정책의 정기적인 검토====
 
*정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 '''정기적인 타당성검토 절차를 수립·이행'''하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
**정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
**법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
***상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
**정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
***정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
**위험평가 및 관리체계 점검 결과 반영
***새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)'''
 
*검토 주기 및 시기 : 연 1회 이상 검토 필요
*관련 조직별 역할 및 책임
*담당 부서 및 담당자
*검토 방법
*후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등</div>
 
====대내외 환경 영향 검토 및 대응====
 
*다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
**정보보호 및 개인정보보호 관련 법규 제·개정
**비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
**정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
**내·외부의 중대한 보안사고 발생
**새로운 위협 또는 취약성 발견 등
 
====정책 관련 이해관계 협의====
 
*정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
**정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
**정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
**회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영
 
====정책 변경관리====
 
*정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
**문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
**관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리
 
==증거 자료==
 
*정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
*정책·지침 정기·비정기 타당성 검토 결과
*정책·지침 관련 부서와의 검토 회의록, 회람내용
*정책·지침 제·개정 이력
 
==결함 사례==
 
*'''지침서와 절차서 간''' 패스워드 설정 규칙에 '''일관성이 없는 경우'''
*정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 '''내부 규정, 지침, 절차'''에 서로 '''다르게 명시'''되어 '''일관성이 없는 경우'''
*데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 [[접근통제 솔루션|접근통제 '''솔루션''']]'''을 신규로 도입'''하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 '''내부 보안지침에''' 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 '''반영되어 있지 않은 경우'''
*개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
*개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 정기적인 타당성검토 절차를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)
* 검토 주기 및 시기 : 연 1회 이상 검토 필요
* 관련 조직별 역할 및 책임
* 담당 부서 및 담당자
* 검토 방법
* 후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등</div>
** 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
*** 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
** 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
*** 정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
** 위험평가 및 관리체계 점검 결과 반영
*** 새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영
* 다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
** 정보보호 및 개인정보보호 관련 법규 제·개정
** 비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
** 정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
** 내·외부의 중대한 보안사고 발생
** 새로운 위협 또는 취약성 발견 등
* 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
** 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
** 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
** 회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영
* 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
** 문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
** 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리
== 증거 자료 ==
* 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
* 정책·지침 정기·비정기 타당성 검토 결과
* 정책·지침 관련 부서와의 검토 회의록, 회람내용
* 정책·지침 제·개정 이력
== 결함 사례 ==
* 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
* 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
* 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
* 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
* 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 13:40, 23 March 2023


개요[edit | edit source]

항목 2.1.1.정책의 유지관리
인증기준 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.
주요 확인사항
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?
  • 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?
  • (가상자산 사업자) 조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?
    • 중대한 변화 예시: 가상자산의 핫-콜드 월렛 보유액 비율 변경, 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?

세부 설명[edit | edit source]

정책의 정기적인 검토[edit | edit source]

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 정기적인 타당성검토 절차를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
    • 정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
    • 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
      • 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
    • 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
      • 정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
    • 위험평가 및 관리체계 점검 결과 반영
      • 새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영

※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)

  • 검토 주기 및 시기 : 연 1회 이상 검토 필요
  • 관련 조직별 역할 및 책임
  • 담당 부서 및 담당자
  • 검토 방법
  • 후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등

대내외 환경 영향 검토 및 대응[edit | edit source]

  • 다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
    • 정보보호 및 개인정보보호 관련 법규 제·개정
    • 비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
    • 정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
    • 내·외부의 중대한 보안사고 발생
    • 새로운 위협 또는 취약성 발견 등

정책 관련 이해관계 협의[edit | edit source]

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
    • 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
    • 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
    • 회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영

정책 변경관리[edit | edit source]

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
    • 문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
    • 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
  • 정책·지침 정기·비정기 타당성 검토 결과
  • 정책·지침 관련 부서와의 검토 회의록, 회람내용
  • 정책·지침 제·개정 이력

결함 사례[edit | edit source]

  • 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
  • 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
  • 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
  • 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
  • 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)