항목 : 2.2.5 퇴직 및 직무변경관리
■ 인증기준 : 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
■ 주요 확인사항
- 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간 공유되고 있는가?
- 직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수・조정, 결과 확인 등의 절차를 수립・이행하고 있는가?
■ 관련 법규
- 개인정보 보호법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
- 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
(금융분야 추가확인사항)
- 전자금융감독규정 제13조(전산자료 보호대책) 제1항제14호
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 1.접근통제 제2항
■ 세부 설명
① 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서, 시스템 운영부서 등 관련 부서 간 신속히 공유되어야 한다
- 관련 조직 및 시스템 간 인사변경 내용이 신속하게 공유될 수 있도록 절차 수립·이행
② 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 및 직무변경 시 지체 없는 정보자산 반납, 접근 권한 회수·조정, 결과 확인 등 절차를 수립·이행하여야 한다.
- 퇴직 및 직무변동 시 출입증 및 자산 반납, 계정 삭제 또는 잠금, 접근권한 회수·조정, 보안점검 등의 절차를 수립·이행
- 불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경
- 관련 기록을 보존하고 퇴직 절차 준수 여부에 대하여 정기적으로 검토
■ 증적예시
- 퇴직 및 직무변경 절차서
- 퇴직 시 자산(계정) 반납관리대장
- 퇴직자 보안점검 체크리스트 및 점검 내역
■ 결함사례
- 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
- 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
- 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.1 외부자 현황 관리) (0) | 2023.02.14 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.6 보안 위반 시 조치) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.4 인식제고 및 교육훈련) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.3 보안 서약) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.2 직무 분리) (0) | 2023.02.10 |