ISMS-P 인증 기준 1.4.2.관리체계 점검: Difference between revisions

From IT Wiki
No edit summary
 
(5 intermediate revisions by 2 users not shown)
Line 9: Line 9:
!1.4.2.관리체계 점검
!1.4.2.관리체계 점검
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center; width:10%" |'''인증기준'''
|관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
|관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
|-
|-
|'''주요 확인사항'''
| style="text-align:center; width:10%" |'''주요 확인사항'''
|
|
*법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?
*법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 <s>경영진에게 보고하고</s> 있는가?
*관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
*관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 <s>정보보호 최고책임자, 개인정보 보호책임자 등</s> 경영진에게 보고하고 있는가?
*'''(가상자산 사업자)''' 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?
*'''(가상자산 사업자)''' 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 '''매분기''' 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?
|-
| style="text-align:center; width:10%" |'''관련 법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)
|}
|}
==세부 설명==
==세부 설명==


*법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을수립하고 경영진에게 보고하여야 한다.
====관리체계 점검 계획 수립 및 경영진 보고====
**점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함
법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 '''관리체계 점검 계획을 수립하고 경영진에게 보고'''하여야 한다.
**점검범위 : 전사 또는 인증범위 포함
*점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함
**점검주기 : 최소 연 1회 이상 수행 필요
*점검범위 : 전사 또는 인증범위 포함
**점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의
*점검주기 : 최소 연 1회 이상 수행 필요
*관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여야 한다.
*점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의
**점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성
 
**점검 계획에 따라 연 1회 이상 점검 수행
====독립적·객관적 관리체계 점검 및 경영진 보고, 문제 조치====
**점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
관리체계 점검 계획에 따라 '''독립성, 객관성 및 전문성이 확보된 인력'''을 구성하여 '''연 1회 이상 점검을 수행'''하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 '''경영진에게 보고'''하여야 한다.
**점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고
*점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성
*점검 계획에 따라 연 1회 이상 점검 수행
*점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
*점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고


==증거 자료==
==증거 자료==
Line 35: Line 43:
*관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)
*관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)
*관리체계 점검 결과보고서
*관리체계 점검 결과보고서
*관리체계 점검 조치계획서/이행조치결과서
*<s>관리체계 점검 조치계획서/이행조치결과서</s>
*정보보호 및 개인정보보호위원회 회의록
*정보보호 및 개인정보보호 위원회 회의록


==결함 사례==
==결함 사례==


*관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우
*관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 전산팀 관리 영역에 대한 점검에 관여하고 있어, '''점검의 독립성이 훼손'''된 경우
*금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
*금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 '''범위를 충족하지 못한 경우'''
*관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우
*<s>관리체계 점검 시 '''발견된 문제점에 대하여 조치계획을 수립하지 않았거나''' '''조치 완료 여부를 확인하지 않은 경우'''</s>
*관리체계 점검팀이 위험평가 또는 취약점 점검 등 '''관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성'''되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우


==같이 보기==
==같이 보기==
Line 52: Line 61:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 19:42, 28 April 2024


개요[edit | edit source]

항목 1.4.2.관리체계 점검
인증기준 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
주요 확인사항
  • 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 경영진에게 보고하고 있는가?
  • 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하고 있는가?
  • (가상자산 사업자) 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?
관련 법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)

세부 설명[edit | edit source]

관리체계 점검 계획 수립 및 경영진 보고[edit | edit source]

법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 경영진에게 보고하여야 한다.

  • 점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함
  • 점검범위 : 전사 또는 인증범위 포함
  • 점검주기 : 최소 연 1회 이상 수행 필요
  • 점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의

독립적·객관적 관리체계 점검 및 경영진 보고, 문제 조치[edit | edit source]

관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여야 한다.

  • 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성
  • 점검 계획에 따라 연 1회 이상 점검 수행
  • 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
  • 점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고

증거 자료[edit | edit source]

  • 관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)
  • 관리체계 점검 결과보고서
  • 관리체계 점검 조치계획서/이행조치결과서
  • 정보보호 및 개인정보보호 위원회 회의록

결함 사례[edit | edit source]

  • 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 전산팀 관리 영역에 대한 점검에 관여하고 있어, 점검의 독립성이 훼손된 경우
  • 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
  • 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우
  • 관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)