항목 : 2.2.6 보안 위반 시 조치
■ 인증기준 : 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
■ 주요 확인사항
- 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?
- 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?
■ 관련 법규(금융분야 추가확인사항)
- 전자금융감독규정 제8조(인력, 조직 및 예산) 제1항제5호
■ 세부 설명
① 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하여야 한다.
- 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유·노출, 오·남용 등이 발견된 경우 조사, 소명, 징계 등의 조치 기준 및 절차 수립
- 정보보호 및 개인정보보호 책임과 의무를 충실히 이행한 경우에 대한 보상 방안도 고려
② 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하여야 한다.
- 상벌 규정에 따른 조치를 수행하고 결과 기록
- 필요한 경우 전사 공지 또는 교육 사례로 활용 등
■ 증적예시
- 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정)
- 정보보호 및 개인정보보호 지침 위반자 징계 내역
- 사고 사례(전사 공지, 교육 내용)
■ 결함사례
- 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
- 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.2 외부자 계약시 보안) (0) | 2023.02.14 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.1 외부자 현황 관리) (0) | 2023.02.14 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.5 퇴직 및 직무변경 관리) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.4 인식제고 및 교육훈련) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.3 보안 서약) (0) | 2023.02.10 |