ISMS-P 인증 기준 2.11.4.사고 대응 훈련 및 개선

From IT Wiki
Revision as of 23:12, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)

개요

항목 2.11.4.사고 대응 훈련 및 개선
인증기준 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다.
주요 확인사항
  • 침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고 이에 따라 연1회 이상 주기적으로 훈련을 실시하고 있는가?
  • 침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하고 있는가?

세부 설명

  • 침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고, 이에 따라 연 1회 이상 주기적으로 훈련을 실시하여야 한다.
    • 침해사고 대응 절차의 적절성을 검토하고, 사고 발생 시 신속한 대응이 가능하도록 모의훈련 계획의 수립 및 이행
    • 최신 침해 사고 사례, 해킹 동향, 비즈니스 특성 등을 반영하여 현실적이고 실질적인 모의훈련 시나리오 마련
    • 정보보호, 개인정보보호, IT, 법무, 인사, 홍보 등 침해사고 대응과 관련된 조직이 모두 참여할 수 있도록 모의훈련 조직 구성
    • 관련 임직원이 침해사고 대응 절차를 숙지할 수 있도록 연 1회 이상 주기적으로 모의훈련 수행
  • 침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하여야 한다.
    • 모의훈련 시행 후 결과보고서 작성 및 내부 보고
    • 모의훈련 결과를 바탕으로 개선사항을 도출하여 필요시 대응 절차에 반영

증거 자료

  • 침해사고 및 개인정보 유출사고 대응 모의훈련 계획서
  • 침해사고 및 개인정보 유출사고 대응 모의훈련 결과서
  • 침해사고 대응 절차

결함 사례

  • 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
  • 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우
  • 모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)