ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.2 조직의 유지관리)

그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

_그사람 2023. 2. 10. 07:52

■ 인증기준 : 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.

■ 주요 확인사항

■ 관련 법규

금융분야 추가확인사항

■ 세부 설명

① 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의하여야 한다.

정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보 보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의

② 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.

조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보 보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가

③ 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하여야 한다.

■ 증적예시

■ 결함사례

내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우

_그사람

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.1 주요 직무자 지정 및 관리) (0)	2023.02.10
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.3 정보자산 관리) (0)	2023.02.10
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.1 정책의 유지관리) (0)	2023.02.10
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.3 관리체계 개선) (0)	2023.02.09
ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.2 관리체계 점검) (0)	2023.02.09

그사람.net

보안에 진심인 그사람의 정보보호 블로그입니다.

1.1 관리체계 기반 마련, 시스템 및 서비스 보안관리, 인증 및 권한관리, 위험관리, ISMS, 개인정보 수집 시 보호조치, 인증심사 기준, 관리체계 수립 및 운영, 보호대책 요구사항, 정보시스템 도입 및 개발 보안, 사고 예방 및 대응, 1. 관리체계 수립 및 운영, 인적 보안, ISMS-P, 물리보안, 개인정보 처리 단계별 요구사항, 인증심사기준, 1.관리체계 수립 및 운영, 시스템 및 서비스 운영관리, 접근통제,

그사람.net