ISMS-P 인증 기준 2.11.4.사고 대응 훈련 및 개선
From IT Wiki
- 영역: 2.보호대책 요구사항
- 분류: 2.11.사고 예방 및 대응
개요
항목 | 2.11.4.사고 대응 훈련 및 개선 |
---|---|
인증기준 | 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다. |
주요 확인사항 |
|
세부 설명
- 침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고, 이에 따라 연 1회 이상 주기적으로 훈련을 실시하여야 한다.
- 침해사고 대응 절차의 적절성을 검토하고, 사고 발생 시 신속한 대응이 가능하도록 모의훈련 계획의 수립 및 이행
- 최신 침해 사고 사례, 해킹 동향, 비즈니스 특성 등을 반영하여 현실적이고 실질적인 모의훈련 시나리오 마련
- 정보보호, 개인정보보호, IT, 법무, 인사, 홍보 등 침해사고 대응과 관련된 조직이 모두 참여할 수 있도록 모의훈련 조직 구성
- 관련 임직원이 침해사고 대응 절차를 숙지할 수 있도록 연 1회 이상 주기적으로 모의훈련 수행
- 침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하여야 한다.
- 모의훈련 시행 후 결과보고서 작성 및 내부 보고
- 모의훈련 결과를 바탕으로 개선사항을 도출하여 필요시 대응 절차에 반영
증거 자료
- 침해사고 및 개인정보 유출사고 대응 모의훈련 계획서
- 침해사고 및 개인정보 유출사고 대응 모의훈련 결과서
- 침해사고 대응 절차
결함 사례
- 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
- 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우
- 모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)