항목 : 1.3.1 보호대책 구현
■ 인증기준 : 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
■ 주요 확인사항
- 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
- 관리체계 인증기준별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?
■ 세부 설명
① 이행계획에 따라 선정된 보호대책을 효과적으로 구현하고 그 이행결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.
- 이행계획에 따른 진행경과에 대하여 정기적으로 완료 여부, 진행 사항, 미이행 또는 지연이 있는 경우 사유 등을 파악하여 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고
- 경영진은 정보보호 및 개인정보보호 대책이 이행계획에 따라 정확하고 효과적으로 이행되었는지 여부를 검토
- 미이행, 일정지연 등이 발생한 경우 이에 대한 원인을 분석하여 필요시 이행계획을 변경하고 경영진에게 보고 및 승인
- 구현 결과에 대한 효과성 및 정확성 검토 결과 적절한 대책으로 판단하기 어렵거나 효과성에 상당한 의문이 제기되는 경우 대안을 수립하거나 추가 위험평가를 통하여 보완할 수 있는 절차 마련
② 관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하여야 한다.
- 관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하여야 한다.
- 운영 현황 : 해당기관의 정책 및 인증기준 대비 운영 현황을 상세히 기재
- 관련문서(정책, 지침 등) : 해당 기준에 해당되는 관련 문서명과 세부 문서번호를 명확히 기재
- 기록(증적자료) : 관련 문서, 결재 내용, 회의록 등 해당 기준이 실제 운영되는 과정에서 생성되는 문서 또는 증적자료 제시
- 인증기준 미선정 시 사유 : 인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입
■ 증적예시
- 정보보호 및 개인정보보호 이행계획서/위험관리계획서
- 정보보호 및 개인정보보호 대책서
- 정보보호 및 개인정보보호 이행계획 경과보고서(경영진 보고 포함)
- 정보보호 및 개인정보보호 이행 완료 보고서(경영진 보고 포함)
- 정보보호 및 개인정보보호 운영명세서
■ 결함사례
- 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우
- 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
- 전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.3 운영현황 관리) (0) | 2023.02.09 |
|---|---|
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.2 보호대책 공유) (0) | 2023.02.09 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.2 위험 관리(1.2.4 보호대책 선정) (0) | 2023.02.08 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.2 위험 관리(1.2.3 위험 평가) (0) | 2023.02.08 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.2 위험 관리(1.2.2 현황 및 흐름분석) (0) | 2023.02.08 |