항목 : 2.1.1 정책의 유지관리
■ 인증기준 : 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다.
■ 주요 확인사항
- 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립·이행하고 있는가?
- 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제·개정하고 있는가?
- 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 이해 관계자의 검토를 받고 있는가?
- 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 내역에 대하여 이력 관리를 하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무) 제4조(내부관리계획의 수립・시행) 제3항
- 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행) 제3조(내부관리계획의 수립・시행) 제1항제3호
- 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행) 제4조(내부관리계획의 수립・시행) 제3항
■ 세부 설명
① 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대하여 정기적인 타당성 검토 절차를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다.
- 정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
- 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음 사항을 고려하여 타당성 검토 수행
- 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재
여부, 정책 간 상하체계 적절성 여부 검토
- 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
- 정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
- 위험평가 및 관리체계 점검 결과 반영
- 새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경 의 변화 등 반영
② 다음과 같이 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행 문서에 미치는 영향을 검토하고 필요시 제·개정하여야 한다.
- 정보보호 및 개인정보보호 관련 법규 제·개정
- 비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)
- 정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
- 내·외부의 중대한 보안사고 발생
- 새로운 위협 또는 취약성 발견 등
③ 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토하여야 한다.
- 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
- 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
- 회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영
④ 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 관한 이력을 기록·관리하기 위하여 문서관리 절차를 마련하고 이행하여야 한다.
- 문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리
- 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리
■ 증적예시
- 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
- 정책·지침 정기·비정기 타당성 검토 결과
- 정책·지침 관련 부서와의 검토 회의록, 회람내용
- 정책·지침 제·개정 이력
■ 결함사례
- 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
- 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
- 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
- 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
- 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.3 정보자산 관리) (0) | 2023.02.10 |
---|---|
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.2 조직의 유지관리) (0) | 2023.02.10 |
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.3 관리체계 개선) (0) | 2023.02.09 |
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.2 관리체계 점검) (0) | 2023.02.09 |
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.1 법적요구사항 준수 및 검토) (0) | 2023.02.09 |