ISMS-P 인증 기준 2.1.1.정책의 유지관리

From IT Wiki
Revision as of 13:40, 23 March 2023 by 짱갤럽 (talk | contribs) (→‎개요)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)


개요[edit | edit source]

항목 2.1.1.정책의 유지관리
인증기준 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.
주요 확인사항
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?
  • 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?
  • (가상자산 사업자) 조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?
    • 중대한 변화 예시: 가상자산의 핫-콜드 월렛 보유액 비율 변경, 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?

세부 설명[edit | edit source]

정책의 정기적인 검토[edit | edit source]

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 정기적인 타당성검토 절차를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
    • 정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
    • 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
      • 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
    • 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
      • 정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
    • 위험평가 및 관리체계 점검 결과 반영
      • 새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영

※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)

  • 검토 주기 및 시기 : 연 1회 이상 검토 필요
  • 관련 조직별 역할 및 책임
  • 담당 부서 및 담당자
  • 검토 방법
  • 후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등

대내외 환경 영향 검토 및 대응[edit | edit source]

  • 다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
    • 정보보호 및 개인정보보호 관련 법규 제·개정
    • 비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
    • 정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
    • 내·외부의 중대한 보안사고 발생
    • 새로운 위협 또는 취약성 발견 등

정책 관련 이해관계 협의[edit | edit source]

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
    • 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
    • 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
    • 회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영

정책 변경관리[edit | edit source]

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
    • 문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
    • 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
  • 정책·지침 정기·비정기 타당성 검토 결과
  • 정책·지침 관련 부서와의 검토 회의록, 회람내용
  • 정책·지침 제·개정 이력

결함 사례[edit | edit source]

  • 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
  • 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
  • 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
  • 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
  • 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)