ISMS-P 인증 기준 2.1.2.조직의 유지관리: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
 
(7 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.1.2.조직의 유지관리
!2.1.2.조직의 유지관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center; width:10%" |'''인증기준'''
|조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
|조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
|-
|-
|'''주요 확인사항'''
|style="text-align:center" |'''주요 확인사항'''
|
*정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?
*정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
*정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하고 있는가?
|-
|style="text-align:center" |'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
*정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)
|}
==세부 설명==
 
==== 조직의 각 구성원별 역할 및 책임 할당====
 
*정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다.
**[[정보보호 최고책임자]] 및 [[개인정보 보호책임자]]
**정보보호, 개인정보보호 관리자 및 담당자
**부서별 정보보호, 개인정보보호 책임자 및 담당자
**정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의
**정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행
 
{| class="wikitable"
! style="width : 50%" |정보보호 최고책임자
! style="width : 50%" |개인정보 보호책임자
|-
|
|
* 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 책임을 명확히 정의하고 있는가?
*정보보호 관리체계의 수립·시행 개선
* 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
*정보보호 실태와 관행의 정기적인 감사 개선
* 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립‧이행하고 있는가?
*정보보호 위험의 식별 평가 정보보호 대책 마련
*정보보호 교육과 모의 훈련 계획의 수립 및 시행
*그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
|
*개인정보 보호 계획의 수립 및 시행
*개인정보 처리 실태 관행의 정기적인 조사 및 개선
*개인정보 처리와 관련한 불만의 처리 및 피해 구제
*개인정보 유출 및 오·남용 방지를 위한 내부 통제시스템의 구축
*개인정보 보호 교육 계획의 수립 및 시행
*개인정보파일의 보호 및 관리·감독
*개인정보 처리방침의 수립·변경 및 시행
*개인정보보호 관련 자료의 관리
*처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기
|}
|}
== 세부 설명 ==


* 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다.
====조직 활동 평가====
** 정보보호 최고책임자 및 개인정보 보호책임자
 
** 정보보호, 개인정보보호 관리자 및 담당자
*정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.
** 부서별 정보보호, 개인정보보호 책임자 및 담당자
**조직 내 [[KPI|핵심성과지표(KPI)]], [[MBO]](Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가
** 정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행<table><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr><tr><td>
 
** 정보보호 관리체계의 수립·시행 및 개선
====의사소통 체계 수립 및 이행====
*** 정보보호 실태와 관행의 정기적인 감사 및 개선
 
** 정보보호 위험의 식별 평가 및 정보보호 대책 마련
*정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다.
*** 정보보호 교육과 모의 훈련 계획의 수립 및 시행
**정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행
** 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행</td><td>
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
** 개인정보 보호 계획의 수립 및 시행
'''※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)'''
*** 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
 
** 개인정보 처리와 관련한 불만의 처리 및 피해 구제
*의사소통 관리 계획 개요 : 목적 및 범위
*** 개인정보 유출 및 오·남용 방지를 위한 내부 통제시스템의 구축
*의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
** 개인정보 보호 교육 계획의 수립 및 시행
*** 개인정보파일의 보호 및 관리·감독
** 개인정보 처리방침의 수립·변경 및 시행
*** 개인정보보호 관련 자료의 관리
** 처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기</td></tr></table>
** 정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및역할을 구체적으로 정의
* 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.
** 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가
* 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다.
** 정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)
* 의사소통 관리 계획 개요 : 목적 및 범위
* 의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
* 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
* 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
* 의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등</div>
*의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등</div>
== 증거 자료 ==
==증거 자료==
* 정보보호 및 개인정보보호 조직도
 
*정보보호 및 개인정보보호 조직도
* 정보보호 및 개인정보보호 조직 직무기술서
* 정보보호 및 개인정보보호 조직 직무기술서
* 정보보호 및 개인정보보호 업무 분장표
*정보보호 및 개인정보보호 업무 분장표
* 정보보호 및 개인정보보호 정책·지침, 내부관리계획
*정보보호 및 개인정보보호 정책·지침, 내부관리계획
* 정보보호 및 개인정보보호 의사소통 관리계획
*정보보호 및 개인정보보호 의사소통 관리계획
* 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
*의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
* 의사소통 채널(정보보호포털, 게시판 등)
*의사소통 채널(정보보호포털, 게시판 등)
== 결함 사례 ==
 
* 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
==결함 사례 ==
* 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
 
* 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
*내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
* 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
*정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 '''평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우'''
== 같이 보기 ==
*내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
* [[정보보호 및 개인정보보호관리체계 인증]]
*정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
* [[ISMS-P 인증 기준]]
 
* [[ISMS-P 인증 기준 세부 점검 항목]]
==같이 보기==
== 참고 문헌 ==
 
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 01:23, 11 February 2024


개요[edit | edit source]

항목 2.1.2.조직의 유지관리
인증기준 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
주요 확인사항
  • 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?
  • 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
  • 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
  • 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)

세부 설명[edit | edit source]

조직의 각 구성원별 역할 및 책임 할당[edit | edit source]

  • 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다.
    • 정보보호 최고책임자개인정보 보호책임자
    • 정보보호, 개인정보보호 관리자 및 담당자
    • 부서별 정보보호, 개인정보보호 책임자 및 담당자
    • 정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의
    • 정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행
정보보호 최고책임자 개인정보 보호책임자
  • 정보보호 관리체계의 수립·시행 및 개선
  • 정보보호 실태와 관행의 정기적인 감사 및 개선
  • 정보보호 위험의 식별 평가 및 정보보호 대책 마련
  • 정보보호 교육과 모의 훈련 계획의 수립 및 시행
  • 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
  • 개인정보 보호 계획의 수립 및 시행
  • 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 개인정보 유출 및 오·남용 방지를 위한 내부 통제시스템의 구축
  • 개인정보 보호 교육 계획의 수립 및 시행
  • 개인정보파일의 보호 및 관리·감독
  • 개인정보 처리방침의 수립·변경 및 시행
  • 개인정보보호 관련 자료의 관리
  • 처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기

조직 활동 평가[edit | edit source]

  • 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.
    • 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가

의사소통 체계 수립 및 이행[edit | edit source]

  • 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다.
    • 정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행

※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)

  • 의사소통 관리 계획 개요 : 목적 및 범위
  • 의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
  • 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
  • 의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 조직도
  • 정보보호 및 개인정보보호 조직 직무기술서
  • 정보보호 및 개인정보보호 업무 분장표
  • 정보보호 및 개인정보보호 정책·지침, 내부관리계획
  • 정보보호 및 개인정보보호 의사소통 관리계획
  • 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
  • 의사소통 채널(정보보호포털, 게시판 등)

결함 사례[edit | edit source]

  • 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
  • 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
  • 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
  • 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)