그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.1 법적요구사항 준수 및 검토)

_그사람 2023. 2. 9. 07:59

항목 : 1.4.1 법적 요구사항 준수 검토

 

■ 인증기준 : 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

 

■ 주요 확인사항

  • 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
  • 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하고 있는가?

금융분야 추가확인사항

  • 경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대한 법적 요구사항에 대해 준수 여부를 정기적으로 점검하고 최고경영자에게 보고하고 있는가?

■ 관련 법규

  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
  • 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)

금융분야 추가확인사항

  • 전자금융감독규정 제8조(인력, 조직 및 예산) 제1항제4호, 제37조의5(정보보호최고책임자의 업무)
  • 신용정보법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 제4항제1호, 제6항
  • 신용정보법 시행령 제17조(신용정보관리・보호인의 지정) 제8항

 

 세부 설명

① 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.

  • 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악

  • 관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지
  • [참고] 개인정보 손해배상 책임보장 제도

  • [참고] 정보보호 공시 제도

 

② 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.

  • 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등) 및 이행한다.
  • 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치

금융분야 추가확인사항

③ 경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대해 법적 요구사항 준수 점검체계에 따라 정기적으로 임직원의 준수 여부를 점검하고, 그 결과를 최고경영자에게 보고하여야 한다.

  • 정보보호 최고책임자(CISO)는 정보보안 관련 법규 준수 여부를 정기적으로 점검하고, 그 결과를 최고경영자에게 보고
  • 신용정보관리・보호인은 처리하는 개인신용정보의 관리 및 보호실태를 점검하고 그 결과를 대표자 및 이사회에 보고

 

 증적예시

  • 법적 준거성 검토 내역
  • 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
  • 정책/지침 신구대조표
  • 법 개정사항 내부공유 자료
  • 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
  • 정보보호 공시 내역

 

 결함사례

  1. 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우
  2. 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
  3. 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
  4. 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
  5. 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우

금융분야 추가확인사항

   6. 정보보호최고책임자는 정보보안점검의 날을 지정하고, 임직원이 정보보안 점검항목을 준수했는지 매월 점검하고 그         점검 결과 및 보완 계획을 최고경영자에 보고하여야하나, 점검을 실시하지 않았거나 최고 경영자에게 보고를 누락한           경우

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람

'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글

ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.3 관리체계 개선)  (0) 2023.02.09
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.2 관리체계 점검)  (0) 2023.02.09
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.3 운영현황 관리)  (0) 2023.02.09
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.2 보호대책 공유)  (0) 2023.02.09
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.3 관리체계 운영(1.3.1 보호대책 구현)  (0) 2023.02.09

'그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)'의 다른글

  • 현재글ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.1 법적요구사항 준수 및 검토)

관련글

티스토리툴바