ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
Line 17: | Line 17: | ||
== 세부 설명 == | == 세부 설명 == | ||
==== 인사 발령 정보 신속 공유 ==== | |||
퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서,시스템 운영부서 등 관련 부서 간 신속히 공유되어야 한다. | |||
< | * 관련 조직 및 시스템 간 인사변경 내용이 신속하게 공유될 수 있도록 절차 수립·이행 | ||
* ※ 인사 변경 내용에 대한 신속한 공유 절차(예시) | <blockquote> | ||
*※ 인사 변경 내용에 대한 신속한 공유 절차(예시) | |||
* 정보처리시스템을 인사시스템과 연동하여 실시간 또는 일배치로 계정정보 동기화 | * 정보처리시스템을 인사시스템과 연동하여 실시간 또는 일배치로 계정정보 동기화 | ||
* 협력업체 인원에 대한 통합 계정 등록·관리시스템을 구축하여 개별 시스템과 계정 동기화 | * 협력업체 인원에 대한 통합 계정 등록·관리시스템을 구축하여 개별 시스템과 계정 동기화 | ||
* 퇴직 프로세스 내에 관련 부서에 퇴직자 정보를 관련 부서에 공유하는 절차 포함 등</ | * 퇴직 프로세스 내에 관련 부서에 퇴직자 정보를 관련 부서에 공유하는 절차 포함 등 | ||
</blockquote> | |||
* | ==== 인사 발령에 따른 권한 회수 등 조정 ==== | ||
조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 및 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등 절차를 수립·이행하여야 한다. | |||
* 퇴직 및 직무변동 시 출입증 및 자산 반납, 계정 삭제 또는 잠금, 접근권한 회수·조정, 보안점검 등의절차를 수립·이행 | |||
* '''불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경''' | |||
* 관련 기록을 보존하고 퇴직 절차 준수 여부에 대하여 '''정기적으로 검토''' | |||
== 증거 자료 == | == 증거 자료 == | ||
* 퇴직 및 직무변경 절차서 | * 퇴직 및 직무변경 절차서 | ||
Line 33: | Line 37: | ||
* 퇴직자 보안점검 체크리스트 및 점검 내역 | * 퇴직자 보안점검 체크리스트 및 점검 내역 | ||
== 결함 사례 == | == 결함 사례 == | ||
* 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우 | * 직무 변동에 따라 개인정보취급자에서 제외된 인력의 '''계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우''' | ||
* 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 | * 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직'''절차 이행 기록이 확인되지 않은 경우''' | ||
* 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우 | * 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 '''보안점검 및 퇴직확인서를 작성하지 않은 경우''' | ||
== 관련 인증 기준 == | |||
'''[[ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리|2.2.1.주요 직무자 지정 및 관리]]''' | |||
* 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.2.직무 분리|2.2.2.직무 분리]]''' | |||
* 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]''' | |||
* 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]''' | |||
* 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.6.보안 위반 시 조치|2.2.6.보안 위반 시 조치]]''' | |||
* 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. | |||
== 같이 보기 == | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | * [[정보보호 및 개인정보보호관리체계 인증]] |
Revision as of 12:19, 16 July 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.2.인적 보안
개요
항목 | 2.2.5.퇴직 및 직무변경 관리 |
---|---|
인증기준 | 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. |
주요 확인사항 |
|
세부 설명
인사 발령 정보 신속 공유
퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서,시스템 운영부서 등 관련 부서 간 신속히 공유되어야 한다.
- 관련 조직 및 시스템 간 인사변경 내용이 신속하게 공유될 수 있도록 절차 수립·이행
- ※ 인사 변경 내용에 대한 신속한 공유 절차(예시)
- 정보처리시스템을 인사시스템과 연동하여 실시간 또는 일배치로 계정정보 동기화
- 협력업체 인원에 대한 통합 계정 등록·관리시스템을 구축하여 개별 시스템과 계정 동기화
- 퇴직 프로세스 내에 관련 부서에 퇴직자 정보를 관련 부서에 공유하는 절차 포함 등
인사 발령에 따른 권한 회수 등 조정
조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 및 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등 절차를 수립·이행하여야 한다.
- 퇴직 및 직무변동 시 출입증 및 자산 반납, 계정 삭제 또는 잠금, 접근권한 회수·조정, 보안점검 등의절차를 수립·이행
- 불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경
- 관련 기록을 보존하고 퇴직 절차 준수 여부에 대하여 정기적으로 검토
증거 자료
- 퇴직 및 직무변경 절차서
- 퇴직 시 자산(계정) 반납관리대장
- 퇴직자 보안점검 체크리스트 및 점검 내역
결함 사례
- 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
- 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
- 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
관련 인증 기준
- 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
- 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
- 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
- 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
- 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)