본문 바로가기
도전! ISMS-P 인증 심사원/1. 관리체계 수립 및 운영

1.1.5 정책 수립

by JM's Dad 2023. 1. 5.
반응형

1. 관리체계 수립 및 운영 (16개)

[두음] 기위운점

  1.1 관리체계 기반 마련   1.1.1 경영진의 참여
  1.1.2 최고책임자의 지정
  1.1.3 조직 구성
  1.1.4 범위 설정
  1.1.5 정책 수립
  1.1.6 자원 할당

책역교권 통암기 악물조사 위재수

정책 및 시행문서, 경영진 승인, 최신본 임직원 제공, 내부관리계획

핵심 키워드 & 내용 

 

정책 및 지침서, 시행문서, 제 ∙ 개정, 경영진의 승인, 공유 ∙ 전달
정보보호 정책 수립 시 포함사항
정보보호 사항을 시행하기 위한 하위 실행 문서 수립
정책 시행문서 제 · 개정 시 최고경영자 승인
정책 시행문서 제 · 개정 시 최신본을 임직원에게 제공
정책, 지침, 표준, 절차, 기준 개념

 

연관 두음

 

▶ 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항

[두음] 책역교권 통암기 악물조사 위재수

책임자, 역할 및 책임, 교육, 접근권한
접근통제, 암호화, 접속기록,
악성프로그램, 물리적 안전조치, 개인정보 보호조직, 개인정보 유출사고,
위험도, 재해, 수탁자
인증기준

 

정보보호와 개인정보보호 정책 및 시행문서를 수립 · 작성하며,
이때 조직의 정보 보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다.
또한 정책과 시행 문서는 경영진의 승인을 받고,
임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

 

주요 확인사항

 

* 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의
  정보보호 및 개인정보보호 정책을 수립하고 있는가?

* 정보보호 및 개인정보보호 책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한
  지침, 절차, 매뉴얼 등을 수립하고 있는가?

* 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시
  최고경영자 또는 최고 경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?

* 정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련
  임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

 

세부 설명

 

□ 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는

   최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.

 

□ 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여

   필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의

   하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.

 

▶ 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획

    관련 법규에서 요구하는 사항을 모두 포함하여 수립

 

▶ 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항

 

[두음] 책역교권 통암기 악물조사 위재수

 

책임자, 역할 및 책임, 교육, 접근권한

접근통제, 암호화, 접속기록,

악성프로그램, 물리적 안전조치, 개인정보 보호조직, 개인정보 유출사고,

위험도, 재해, 수탁자

 

□ 정보보호 및 개인정보보호 정책·시행문서 제 · 개정 시

   최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받아야 한다.

 

□ 정보보호 및 개인정보보호 정책·시행문서의 제 · 개정 시

   최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.

 

 

결함사례

 

사례 1 :
내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제 · 개정 시에는
정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나,
최근 정책서 개정 시 위원회에 안건으로 상정하지 않고
정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우

사례 2 :
정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나,
해당 사항이 관련 부서 및 임직원에게 공유 · 전달되지 않아
일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우

사례 3 :
정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고,
임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

가상자산 사업자 대상 주요 확인사항

 

가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 
취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 
정책, 매뉴얼, 지침 등에 포함되어 있는가?

 

핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 
업무상 열람이 필요한 인원으로 배포를 제한하고 있는가?
참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

반응형

'도전! ISMS-P 인증 심사원 > 1. 관리체계 수립 및 운영' 카테고리의 다른 글

1.2.1 정보자산 식별  (0) 2023.01.05
1.1.6 자원 할당  (0) 2023.01.05
1.1.4 범위 설정  (0) 2023.01.05
1.1.3 조직 구성  (0) 2023.01.04
1.1.2 최고책임자의 지정  (0) 2023.01.03

관련글

댓글

티스토리툴바