항목 : 2.11.4 사고 대응 훈련 및 개선
■ 인증기준 : 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다.
■ 주요 확인사항
- 침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고 이에 따라 연 1회 이상 주기적으로 훈련을 실시하고 있는가?
- 침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출 사고 대응체계를 개선하고 있는가?
금융분야 추가확인사항
■ 관련 법규
- 전자금융감독규정 제37조4(침해사고대응기관 지정 및 업무범위 등) 제5항
■ 세부 설명
① 침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고, 이에 따라 연 1회 이상 주기적으로 훈련을 실시하여야 한다.
- 침해사고 대응 절차의 적절성을 검토하고, 사고 발생 시 신속한 대응이 가능하도록 모의훈련 계획의 수립 및 이행
- 최신 침해 사고 사례, 해킹 동향, 비즈니스 특성 등을 반영하여 현실적이고 실질적인 모의훈련 시나리오 마련
- 정보보호, 개인정보보호, IT, 법무, 인사, 홍보 등 침해사고 대응과 관련된 조직이 모두 참여할 수 있도록 모의훈련 조직 구성
- 관련 임직원이 침해사고 대응 절차를 숙지할 수 있도록 연 1회 이상 주기적으로 모의훈련 수행
금융분야 추가확인사항
- 금융회사 및 전자금융업자는 침해사고 대응 및 복구훈련 결과를 침해사고대응기관의 장에게 제출해야 함
② 침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하여야 한다.
- 모의훈련 시행 후 결과보고서 작성 및 내부 보고
- 모의훈련 결과를 바탕으로 개선사항을 도출하여 필요시 대응 절차에 반영
■ 증적예시
- 침해사고 및 개인정보 유출사고 대응 모의훈련 계획서
- 침해사고 및 개인정보 유출사고 대응 모의훈련 결과서
- 침해사고 대응 절차
■ 결함사례
- 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우
- 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우
- 모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.12 재해복구(2.12.1 재해·재난 대비 안전조치) (0) | 2023.03.22 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.5 사고 대응 및 복구) (0) | 2023.03.22 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.3 이상행위 분석 및 모니터링) (0) | 2023.03.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.2 취약점 점검 및 조치) (0) | 2023.03.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.1 사고 예방 및 대응체계 구축) (0) | 2023.03.21 |