ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리: 두 판 사이의 차이
IT위키
Maintenance script (토론 | 기여) (Imported from text file) |
편집 요약 없음 |
||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.2.인적 보안|2.2.인적 보안]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.2.인적 보안|2.2.인적 보안]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.2.1.주요 직무자 지정 및 관리 | !2.2.1.주요 직무자 지정 및 관리 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | |개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? | *개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? | ||
* 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? | *주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? | ||
* 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가? | *업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가? | ||
* 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립‧이행하고 있는가? | *업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립‧이행하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
*개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다. | |||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | |||
'''※ 주요 직무의 기준(예시)''' | |||
*중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급 | |||
*중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리 | |||
*정보보호 및 개인정보보호 관리 업무 수행 | |||
*보안시스템 운영 등</div> | |||
*주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다. | |||
**주요 직무자 현황을 파악하여 주요 직무자로 공식 지정 | |||
**지정된 주요 직무자에 대하여 목록으로 관리 | |||
**주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트 | |||
**정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화 | |||
*업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다. | |||
**업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리 | |||
**개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능) | |||
**정기적으로 [[개인정보취급자|'''개인정보취급자''']] 지정 현황 및 적정성을 검토하여 목록 최신 | |||
*업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다. | |||
**업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정 | |||
**주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련 | |||
**주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등) | |||
==증거 자료== | |||
*주요 직무 기준 | |||
*주요직무자 목록 | |||
*개인정보취급자 목록 | |||
*중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장 | |||
*주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등) | |||
==결함 사례== | |||
*주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우 | |||
*주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우 | |||
*부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우 | |||
*내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |
2022년 6월 17일 (금) 20:47 판
- 영역: 2.보호대책 요구사항
- 분류: 2.2.인적 보안
개요
항목 | 2.2.1.주요 직무자 지정 및 관리 |
---|---|
인증기준 | 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. |
주요 확인사항 |
|
세부 설명
- 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.
※ 주요 직무의 기준(예시)
- 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
- 중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리
- 정보보호 및 개인정보보호 관리 업무 수행
- 보안시스템 운영 등
- 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
- 주요 직무자 현황을 파악하여 주요 직무자로 공식 지정
- 지정된 주요 직무자에 대하여 목록으로 관리
- 주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트
- 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화
- 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.
- 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리
- 개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능)
- 정기적으로 개인정보취급자 지정 현황 및 적정성을 검토하여 목록 최신
- 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.
- 업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정
- 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련
- 주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)
증거 자료
- 주요 직무 기준
- 주요직무자 목록
- 개인정보취급자 목록
- 중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장
- 주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등)
결함 사례
- 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우
- 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
- 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
- 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)