1. "관리체계 수립 및 운영" 인증기준 키워드 정리

---

정보보호 및 개인정보보호 관리체계 인증기준 (ISMS-P)
3개 영역 102개 인증 기준

[두음] 
관보개 166422 
기위운점 
정인외물재 인접 암개 운보사 
수이제파권

---

1. "관리체계 수립 및 운영" 인증기준 키워드 정리 

---

1.1 관리체계 기반 마련

 1.1.1 경영진의 참여 

- 경영진, 보고 및 의사결정 체계
- 경영진 참여 위한 책임 및 역할 문서화
- 경영진 참여 위한 의사소통 절차 수립 · 이행

 1.1.2 최고책임자의 지정 

- 정보보호 최고책임자(CISO), 개인정보보호 책임자(CPO), 임원급 지정, 자격요건 충족
- 최고경영자는 CISO, CPO를 공식적으로 지정
- 임원급 지정 및 법령 자격 요건 충족
- CPO 지정 요건(민간, 공공)
- CISO 지정 및 과기정통부 신고 기준

[두음] 국법헌중고, 교3자4학행, 사대임부

 1.1.3 조직 구성 

- 실무조직, 위원회, 실무 협의체
- ISMS-P 구축 운영 위한 실무 조직 구성
- 정보보호 관련 사항 의사결정 위한 정보보호 위원회 구성
- 정보보호 담당자 및 부서별 담당자로 구성된 실무 협의체 구성

[두음] 조실위협

 

정보보호와 개인정보보호의 효과적 구현 - 실무조직
주요 사항을 검토, 승인 및 의사결정 -  위원회
전사적 정보보호 및 개인정보보호 활동 - 실무 협의체

 1.1.4 범위 설정 

- 핵심자산, 관리체계 범위, 예외사항 근거 기록 ∙ 관리, 인증범위
- 핵심 서비스, 자산을 포함하도록 ISMS-P 범위 설정
- 범위 내 예외사항은 사유 및 책임자 승인 등 관련 근거 기록 ∙ 관리
- ISMS-P 범위 확인을 위해 문서화 관리

 1.1.5 정책 수립 

- 정책 및 지침서, 시행문서, 제 ∙ 개정, 경영진의 승인, 공유 ∙ 전달
- 정보보호 정책 수립 시 포함사항
- 정보보호 사항을 시행하기 위한 하위 실행 문서 수립
- 정책 시행문서 제 · 개정 시 최고경영자 승인
- 정책 시행문서 제 · 개정 시 최신본을 임직원에게 제공
- 정책, 지침, 표준, 절차, 기준 개념

 1.1.6 자원 할당 
- 인력 확보, 예산과 자원 할당
- 정보보호 활동을 수행하기 위한 전문성을 갖춘 인력 확보
- ISMS-P 구현과 운영에 필요한 예산 및 인력 지원
- 연도별 정보보호 업무 세부추진 계획 ∙ 수립 ∙ 시행 ∙ 분석 ∙ 평가

---

1.2 위험 관리

 1.2.1. 정보자산 식별 

- 정보자산 분류기준, 식별 · 분류, 중요도, 보안등급, 목록 최신 관리
- 정보자산 분류기준을 수립하고, ISMS-P 범위 내 자산 식별 및 목록화
- 정보자산 중요도 평가 및 보안등급 부여
- 정기적 정보자산목록 최신 유지

 1.2.2 현황 및 흐름분석

- 정보서비스 현황, 개인정보 처리 현황, 현황 식별 및 분석, 업무 절차와 흐름 파악, 문서화, 최신성 유지
. 현황분석(인증기준과 운영현황 비교, GAP 분석표)
. 흐름분석(정보시스템 흐름분석, 개인정보 처리단계별 흐름분석)
- 현황 및 흐름분석의 의의
- 정보서비스 현황 식별 및 업무 절차와 흐름을 문서화
- 개인정보 흐름도, 흐름표 문서화
- 엄부 절차 및 개인정보 흐름 주기적 검토 및 최신성 유지

 1.2.3 위험 평가 

 

[두음] 베비상복

 

- 위협정보 수집, 위험 평가 방법 선정, 위험 식별, 위험관리계획, 위험평가, 위험 관리(보고 및 승인)
- 위험평가 방법 선정: 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
- 위험 식별 및 평가 방법을 정의하고 문서화
- 위험관리 방법 및 절차 등 위험관리계획 수립
- 연 1회 이상 수행
- 수용 가능한 수준 초과 위험 식별
- 위험 식별 및 평가 결과 경영진 보고

 

 1.2.4 보호대책 선정

 

[두음] 식수회감전

 

- 보호대책 선정, 위험처리 전략(감소, 회피, 전가, 수용 등), 보호대책의 이행계획
- 식별된 위험에 대해 위험처리 전략 수립 및 보호대책 선정
- 정보보호 대책의 이행계획 수립 및 경영진 보고

---

1.3 관리체계 운영 

 1.3.1 보호대책 구현 

- 보호대책의 이행계획 구현, 이행결과 확인
- 보호대책 구현 및 이행결과를 경영진에 보고하여 효과성 확인
- 보호대책 구현 및 운영현황을 기록한 운영명세서 작성

 1.3.2 보호대책 공유 

- 보호대책의 실제 운영 또는 시행, 부서 및 담당자 파악, 공유, 교육
- 보호대책 운영 부서 및 담당자 파악
- 보호대책 운영 담당자에게 관련 내용 공유 또는 교육

 1.3.3 운영현황 관리

- 관리체계 운영현황, 상시적/주기적 운영 활동 및 수행 내역, 기록, 확인, 관리
- 정보보호 및 개인정보보호 활동을 식별하고 운영현황표 작성 · 관리
- 운영활동을 경영진 보고 및 개선 조치

 

---

1.4 관리체계 점검 및 개선 

 

 1.4.1 법적 요구사항 준수 검토 

- 법적 요구사항 파악, 최신성 유지, 법적 준거성 준수 여부, 연 1회 이상 정기적 검토
- 정보보호 및 개인정보보호 법적 요구사항 파악 최신성 유지
- 법적 요구사항 준수 여부 연 1회 정기적 검토

 1.4.2 관리체계 점검 

- 관리체계 점검, 독립성 / 전문성 확보된 인력 구성, 연 1회 이상 점검, 문제점을 경영진에 보고
- 법규 및 내규에 따라 관리체계가 운영되는지 점검계획 수립 및 경영진 보고
- 독립성, 객관성, 전문성이 확보된 인력이 점검 수행 및 문제점 경영진 보고

 1.4.3 관리체계 개선

- 관리체계상의 문제점에 대한 원인 분석, 재발방지 대책 수립 및 이행, 개선 결과 확인
- 식별된 관리체계상 문제점에 대한 근본원인 분석 및 재발방지 대책 수립 · 이행
- 재발방지 및 개선 결과 효과성 여부를 확인할 기준과 절차 마련

---