반응형
1. 관리체계 수립 및 운영 (16개)
[두음] 기위운점
| 1.2 위험 관리 | 1.2.1 정보자산 식별 |
| 1.2.2 현황 및 흐름 분석 | |
| 1.2.3 위험 평가 | |
| 1.2.4 보호대책 선정 |
정보서비스 및 개인정보처리, 현황 분석, 업무 절차와 흐름 파악, 문서화, 최신성 유지
핵심 키워드 & 내용
정보서비스 현황, 개인정보 처리 현황, 현황 식별 및 분석, 업무 절차와 흐름 파악, 문서화, 최신성 유지
- 현황분석 (인증기준과 운영현황 비교, GAP 분석표)
- 흐름분석 (정보시스템 흐름분석, 개인정보 처리단계별 흐름분석)
현황 및 흐름분석의 의의
정보서비스 현황 식별 및 업무 절차와 흐름을 문서화
개인정보 흐름도, 흐름표 문서화
엄부 절차 및 개인정보 흐름 주기적 검토 및 최신성 유지
연관 두음
인증기준
관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고
업무 절차와 흐름을 파악하여 문서화하며,
이를 주기적으로 검토하여 최신성을 유지하여야 한다.
주요 확인사항
* 관리체계 전 영역에 대한 정보서비스 현황을 식별하고
업무 절차와 흐름을 파악하여 문서화하고 있는가?
* 관리체계 범위 내 개인정보 처리 현황을 식별하고
개인정보의 흐름을 파악하여 개인정보 흐름도 등으로 문서화하고 있는가?
* 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여
흐름도 등 관련 문서의 최신성을 유지하고 있는가?
세부 설명
□ 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다.
또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는 데 효과적으로 활용할 수 있다.
◎ 현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여
인증기준과 운영현황과의 차이를 확인
◎ 흐름분석은 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분되며,
그 결과는 흐름표 또는 흐름도로 도식화
※ 정보서비스 흐름도는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를
사용자 기반으로 도식화한 접근통제 개념도를 의미함.
※ 개인정보 흐름도는 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을
한눈에 확인할 수 있도록 도식화한 개념도를 의미함
□ 관리체계 전 영역에 대한 정보서비스 현황을 식별하고, 업무 절차와 흐름을 파악하여 문서화하여야 한다.
□ 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여
개인정보 흐름표, 개인 정보 흐름도 등으로 문서화하여야 한다(ISMS-P 인증인 경우).
□ 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음 관점을 참고하여
주기적으로(최소 연 1회 이상) 검토하고, 최신성이 유지되도록 관리하여야 한다.
결함사례
사례 1 :
관리체계 범위 내 주요 서비스의 업무 절차 · 흐름 및 현황에 문서화가 이루어지지 않은 경우
사례 2 :
개인정보 흐름도를 작성하였으나,
실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
사례 3 :
최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아
변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 1. 관리체계 수립 및 운영' 카테고리의 다른 글
| 1.2.4 보호대책 선정 (0) | 2023.01.06 |
|---|---|
| 1.2.3 위험 평가 (0) | 2023.01.06 |
| 1.2.1 정보자산 식별 (0) | 2023.01.05 |
| 1.1.6 자원 할당 (0) | 2023.01.05 |
| 1.1.5 정책 수립 (0) | 2023.01.05 |
댓글