항목 : 1.3.3 운영현황 관리
■ 인증기준 : 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다.
■ 주요 확인사항
- 관리체계 운영을 위하여 주기적 또는 상시적으로 수행하여야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?
- 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?
■ 관련 법규
- 개인정보 보호법 제31조(개인정보 보호책임자의 지정)
- 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
■ 세부 설명
① 관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.
② 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다.
- 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고
- 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등)
■ 증적예시
- 정보보호 및 개인정보보호 연간계획서
- 정보보호 및 개인정보보호 운영현황표
- 정보보호 및 개인정보보호활동 수행 여부 점검 결과
■ 결함사례
- 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
- 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영 현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.2 관리체계 점검) (0) | 2023.02.09 |
|---|---|
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.1 법적요구사항 준수 및 검토) (0) | 2023.02.09 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.2 보호대책 공유) (0) | 2023.02.09 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.1 보호대책 구현) (0) | 2023.02.09 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.2 위험 관리(1.2.4 보호대책 선정) (0) | 2023.02.08 |