ISMS-P 인증 기준 2.1.1.정책의 유지관리
IT 위키
(ISMS-P 정책의 유지관리에서 넘어옴)
- 영역: 2.보호대책 요구사항
- 분류: 2.1.정책, 조직, 자산 관리
개요[편집 | 원본 편집]
항목 | 2.1.1.정책의 유지관리 |
---|---|
인증기준 | 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다. |
주요 확인사항 |
|
세부 설명[편집 | 원본 편집]
정책의 정기적인 검토[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 정기적인 타당성검토 절차를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
- 정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
- 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
- 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
- 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
- 정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
- 위험평가 및 관리체계 점검 결과 반영
- 새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영
※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)
- 검토 주기 및 시기 : 연 1회 이상 검토 필요
- 관련 조직별 역할 및 책임
- 담당 부서 및 담당자
- 검토 방법
- 후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등
대내외 환경 영향 검토 및 대응[편집 | 원본 편집]
- 다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
- 정보보호 및 개인정보보호 관련 법규 제·개정
- 비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
- 정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
- 내·외부의 중대한 보안사고 발생
- 새로운 위협 또는 취약성 발견 등
정책 관련 이해관계 협의[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
- 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
- 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
- 회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영
정책 변경관리[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
- 문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
- 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리
증거 자료[편집 | 원본 편집]
- 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
- 정책·지침 정기·비정기 타당성 검토 결과
- 정책·지침 관련 부서와의 검토 회의록, 회람내용
- 정책·지침 제·개정 이력
결함 사례[편집 | 원본 편집]
- 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
- 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
- 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
- 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
- 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)