ISMS-P 인증 기준 1.4.2.관리체계 점검: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 20: | Line 20: | ||
==세부 설명== | ==세부 설명== | ||
==== 관리체계 점검 계획 수립 및 경영진 보고 ==== | |||
법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을수립하고 경영진에게 보고하여야 한다. | |||
*점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함 | |||
*점검범위 : 전사 또는 인증범위 포함 | |||
*점검주기 : 최소 연 1회 이상 수행 필요 | |||
*점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의 | |||
==== 독립적·객관적 관리체계 점검 및 경영진 보고, 문제 조치 ==== | |||
관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여야 한다. | |||
*점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성 | |||
*점검 계획에 따라 연 1회 이상 점검 수행 | |||
*점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인 | |||
*점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고 | |||
==증거 자료== | ==증거 자료== | ||
Line 40: | Line 43: | ||
==결함 사례== | ==결함 사례== | ||
*관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 | *관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 '''점검의 독립성이 훼손'''된 경우 | ||
*금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우 | *금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우 | ||
*관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우 | *관리체계 점검 시 '''발견된 문제점에 대하여 조치계획을 수립하지 않았거나''' '''조치 완료 여부를 확인하지 않은 경우''' | ||
==같이 보기== | ==같이 보기== |
Revision as of 20:18, 11 July 2022
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.4.관리체계 점검 및 개선
개요
항목 | 1.4.2.관리체계 점검 |
---|---|
인증기준 | 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. |
주요 확인사항 |
|
세부 설명
관리체계 점검 계획 수립 및 경영진 보고
법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을수립하고 경영진에게 보고하여야 한다.
- 점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함
- 점검범위 : 전사 또는 인증범위 포함
- 점검주기 : 최소 연 1회 이상 수행 필요
- 점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의
독립적·객관적 관리체계 점검 및 경영진 보고, 문제 조치
관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여야 한다.
- 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성
- 점검 계획에 따라 연 1회 이상 점검 수행
- 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
- 점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고
증거 자료
- 관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)
- 관리체계 점검 결과보고서
- 관리체계 점검 조치계획서/이행조치결과서
- 정보보호 및 개인정보보호위원회 회의록
결함 사례
- 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우
- 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
- 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)