ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.1 관리체계 기반 마련(1.1.5 정책 수립)

항목 : 1.1.5 정책 수립

 

■ 인증기준 : 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보 보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행 문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

 

■ 주요 확인사항

• 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
• 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
• 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최고경영자 또는 최고 경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
• 정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

 

■ 관련법규

•  개인정보 보호법 시행령 제30조(개인정보의 안전성 확보 조치) 제1항제1호
• 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립･시행)
• 개인정보의 기술적･관리적 보호조치 기준 제3조(내부 관리계획의 수립･시행)

※금융분야 추가 참고사항

•  신용정보법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 제1항
•  신용정보업감독규정 제22조(내부관리규정의 마련) 제1항, 제2항, [별표 4의2] 신용정보 관리기준

 

■ 세부 설명

① 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.

• 조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향
• 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
• 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거

② 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.

• 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로 제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게 수립

하위 실행 문서(예시)

보호대상 관점	수행주체 관점
 서버보안 지침  네트워크보안 지침  데이터베이스보안 지침  애플리케이션보안 지침  웹서비스 보안 지침  클라우드 보안 지침	 임직원보안 지침  개발자보안 지침  운영자보안 지침 등

• 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호 관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
• 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립

개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항

개인정보처리자

정보통신서비스 제공자

1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보취급자에 대한 교육에 관한 사항 4. 접근 권한의 관리에 관한 사항 5. 접근 통제에 관한 사항 6. 개인정보의 암호화 조치에 관한 사항 7. 접속기록 보관 및 점검에 관한 사항 8. 악성프로그램 등 방지에 관한 사항 9. 물리적 안전조치에 관한 사항 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항 11. 개인정보 유출사고 대응 계획 수립 ․ 시행에 관한 사항 12. 위험도 분석 및 대응방안 마련에 관한 사항 13. 재해 ․ 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 그 밖에 개인정보 보호를 위하여 필요한 사항 ※ 다만 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보 조치 기준 별표 참조).

1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항 4. 개인정보의 기술적 ․ 관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 6. 개인정보의 분실․ 도난․ 누출․ 변조․ 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항 7. 개인정보보호 교육에 관한 사항(교육목적 및 대상, 교육내용, 교육 일정 및 방법) 8. 개인정보의 기술적 ․ 관리적 보호조치에 관한 사항(접근통제, 접속기록의 위 ․ 변조 방지, 개인정보의 암호화, 악성프로그램 방지 등) 9. 그 밖에 개인정보 보호를 위하여 필요한 사항

금융분야 추가

• 신용정보회사 등은 신용정보의 수집･처리･이용 및 보호 등 신용정보 관리기준의 준수 및 이행을 위해 특성 등을 반영하여 내부관리규정을 구체적이고 상세하게 마련

신용정보법에 따라 내부관리규정에 포함되어야 하는 사항

신용정보 관리기준(※신용정보업감독규정 별표4의2)

1. 신용정보처리기준 2. 신용정보관리･보호인 3. 신용정보의 누설 발생 시 조치 4. 신용정보주체의 권리보장 5. 신용정보활용체제의 공시 6. 신용정보업무(신용조사업무 제외)

 

③ 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받아야 한다

• 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
• 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
• 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
• 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인

④ 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.

• 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
• 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지

 

■ 증적예시

• 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
• 정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
• 개인정보 내부관리계획
• 정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
• 정보보호 및 개인정보보호위원회 회의록

 

■ 결함사례

1. 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인 정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
2. 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
3. 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
4. 정보보호 최상위 수준의 정책은 수립되어 있으나, 개인(신용)정보보호 활동의 근거를 포함하는 최상위 수준의 정책을 제정하지 않은 경우(금융분야추가사항)

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람