반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.2 인적 보안 | 2.2.1 주요 직무자 지정 및 관리 |
| 2.2.2 직무 분리 | |
| 2.2.3 보안 서약 | |
| 2.2.4 인식제고 및 교육훈련 | |
| 2.2.5 퇴직 및 직무변경 관리 | |
| 2.2.6 보안 위반 시 조치 |
취임파시
개인정보 및 중요정보 취급, 주요 시스템 접근
주요 직무 기준 · 관리방안 수립, 주요 직무자 최소한 지정, 목록 최신 관리
핵심 키워드 & 내용
- 직무 기준과 관리방안, 주요 직무자 최소한 지정, 목록 최신 관리
- 개인정보의 취급, 주요 시스템 접근 등 주요 직무 기준 정의
- 주요 직무자로 공식 지정하고 목록을 최신화하여 관리
- 개인정보취급자 지정 및 목록 관리
연관 두음
※ 개인정보취급자의 정의
[두음] 취임파시
개인정보취급자, 임직원, 파견근로자, 시간제근로자
임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자
인증기준
개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고,
주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
주요 확인사항
* 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?
* 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고
그 목록을 최신으로 관리하고 있는가?
* 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?
* 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등
관리방안을 수립·이행하고 있는가?
세부 설명
□ 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.
□ 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
□ 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.
▶ 정기적으로 개인정보취급자 지정 현황 및 적정성을 검토하여 목록 최신화
※ 개인정보취급자의 정의
[두음] 취임파시
· 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자
결함사례
사례 1 :
주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나,
대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우
사례 2 :
주요 직무자 및 개인정보취급자 목록을 관리하고 있으나,
퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등
현행화 관리가 되어 있지 않은 경우
사례 3 :
부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어
실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
사례 4 :
내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고
주요 직무에 따른 보안서약서를 작성하도록 하고 있으나,
보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
가상자산 사업자 대상 주요 확인사항
월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.2.3 보안 서약 (0) | 2023.01.07 |
|---|---|
| 2.2.2 직무 분리 (0) | 2023.01.07 |
| 2.1.3 정보자산 관리 (0) | 2023.01.07 |
| 2.1.2 조직의 유지관리 (0) | 2023.01.07 |
| 2.1.1 정책의 유지관리 (0) | 2023.01.07 |
댓글