ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리

From IT Wiki
Revision as of 11:39, 16 July 2022 by 바짜 (talk | contribs)


개요

항목 2.2.1.주요 직무자 지정 및 관리
인증기준 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
주요 확인사항
  • 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?
    • (가상자산 사업자) 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가?
  • 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?
  • 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?
  • 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립‧이행하고 있는가?

세부 설명

주요 직무 기준 정의

개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.

※ 주요 직무의 기준(예시)

  • 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
  • 중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영·관리
  • 정보보호 및 개인정보보호 관리 업무 수행
  • 보안시스템 운영 등

주요 직무 수행자 현행화

주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.

  • 주요 직무자 현황을 파악하여 주요 직무자로 공식 지정
  • 지정된 주요 직무자에 대하여 목록으로 관리
  • 주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트
  • 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화

개인정보 취급자 현행화

업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.

  • 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리
  • 개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능)
  • 정기적으로 개인정보취급자 지정 현황 및 적정성을 검토하여 목록 최신

주요 직무 수행자 최소화 방안 수립

업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.

  • 업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정
  • 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련
  • 주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)

증거 자료

  • 주요 직무 기준
  • 주요직무자 목록
  • 개인정보취급자 목록
  • 중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장
  • 주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등)

결함 사례

  • 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우
  • 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
  • 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
  • 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우

관련 인증 기준

2.2.2.직무 분리

  • 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

2.2.3.보안 서약

  • 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.

2.2.4.인식제고 및 교육훈련

  • 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

2.2.5.퇴직 및 직무변경 관리

  • 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.

2.2.6.보안 위반 시 조치

  • 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)