ISMS-P 인증 기준 1.3.2.보호대책 공유: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | |||
* '''분류''': [[ISMS-P 인증 기준 1.3.관리체계 운영|1.3.관리체계 운영]] | *'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 1.3.관리체계 운영|1.3.관리체계 운영]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!1.3.2.보호대책 공유 | !1.3.2.보호대책 공유 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. | |보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가? | *구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가? | ||
* 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가? | *구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
*구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하여야 한다. | |||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | |||
'''※ 보호대책의 운영 또는 시행 부서(예시)''' | |||
*인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리·권한관리 등 | |||
*개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등 | |||
*개인정보 취급부서 : 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장 시 암호화 등 | |||
*정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등 | |||
*인사부서 : 퇴직자 보안관리 등</div> | |||
*정보보호 및 개인정보보호 관리체계를 내재화하기 위하여 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하여야 한다. | |||
**공유 내용 : 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등 | |||
**공유 대상 : 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자 | |||
**공유 방법 : 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육 등 | |||
==증거 자료== | |||
*정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황 | |||
*정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등) | |||
==결함 사례== | |||
*정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |
Revision as of 17:42, 15 June 2022
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.3.관리체계 운영
개요
항목 | 1.3.2.보호대책 공유 |
---|---|
인증기준 | 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. |
주요 확인사항 |
|
세부 설명
- 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하여야 한다.
※ 보호대책의 운영 또는 시행 부서(예시)
- 인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리·권한관리 등
- 개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등
- 개인정보 취급부서 : 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장 시 암호화 등
- 정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등
- 인사부서 : 퇴직자 보안관리 등
- 정보보호 및 개인정보보호 관리체계를 내재화하기 위하여 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하여야 한다.
- 공유 내용 : 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등
- 공유 대상 : 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자
- 공유 방법 : 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육 등
증거 자료
- 정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황
- 정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등)
결함 사례
- 정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)