본문 바로가기
도전! ISMS-P 인증 심사원/2. 보호대책 요구사항

2.1.1 정책의 유지관리

by JM's Dad 2023. 1. 7.
반응형

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.1 정책, 조직, 자산 관리   2.1.1 정책의 유지관리
  2.1.2 조직의 유지관리
  2.1.3 정보자산 관리

정조자

정책 및 시행문서, 일관성 유지, 최신화

중대한 변화 발생 시 제 · 개정, 정기적 타당성검토, 이력 관리, 이해 관계자 협의 · 검토

핵심 키워드 & 내용

 

- 정책 / 시행 문서, 연계성, 정기적 타당성 검토
- 제 · 개정 시 이력관리, 일관성, 중대한 변경 발생 시 영향 검토
- (개인)정보보호 정책 및 시행문서의 타당성 검토 절차 수립
- 법규, 조직의 정책 연계성, 조직 환경 변화 등을 반영할 수 있도록 타당성 검토 수행
- 중대한 변화 발생 시 검토하고 필요시 정책 제 · 개정
- 제 개정 시 이해관계자와 협의 · 검토
- 변경사항 이력 관리 

 

연관 두음

 

▶ 정책, 조직, 자산관리 핵심 키워드

[두음] 정조자
정책, 조직, 정보자산

 

인증기준

 

정보보호 및 개인정보보호 관련 정책과 시행문서
법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라
주기적으로 검토하여 필요한 경우 제 · 개정하고 그 내역을 이력관리하여야 한다.

 

주요 확인사항

 

* 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한
  정기적인 타당성 검토 절차를 수립 · 이행하고 있는가?

* 조직의 대내외 환경에 중대한 변화 발생
  정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고
  필요시 제 · 개정하고 있는가?

* 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제 · 개정 시 이해 관계자의 검토를 받고 있는가?

* 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제 · 개정 내역에 대하여 이력 관리를 하고 있는가?

 

세부 설명

 

□ 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여

   정기적인 타당성 검토 절차를 수립 · 이행하고, 필요시 관련 정책 및 시행문서를 제 · 개정하여야 한다.

 

▶ 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록

    다음 사항을 고려하여 타당성 검토 수행

 

· 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토

 

□ 다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시

   정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제 · 개정하여야 한다.

 

□ 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제 · 개정하는 경우

   이해관계자와 해당 내용을 충분히 협의 · 검토하여야 한다.

 

□ 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한

   이력을 기록 · 관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.

 

결함사례

 

사례 1 :
지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우

사례 2 :
정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련
내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우

사례 3 :
데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여
데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나,
보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침
접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우

사례 4 :
개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며,
관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우

사례 5 :
개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나,
이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나
변경사항을 반영하여 개정하지 않은 경우

가상자산 사업자 대상 주요 확인사항

 

조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 
정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?

* 중대한 변화 예시  : 
 - 가상자산의 핫 - 콜드 월렛 보유액 비율 변경
 - 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

반응형

'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글

2.2.3 보안 서약  (0) 2023.01.07
2.2.2 직무 분리  (0) 2023.01.07
2.2.1 주요 직무자 지정 및 관리  (0) 2023.01.07
2.1.3 정보자산 관리  (0) 2023.01.07
2.1.2 조직의 유지관리  (0) 2023.01.07

관련글

댓글

티스토리툴바