ISMS-P 구축 운영
ISMS-P 구축 운영 - 1.1 관리체계 기반 마련 항목
ISMS-P 구축 운영 - 1.2 위험 관리
ISMS-P 구축 운영 - 1.3 관리체계 운영
ISMS-P 구축 운영 - 1.4 관리체계 점검 및 개선
KISA의 온라인 강의 '정보보호 및 정보보호 관리체계(ISMS-P) 구축운영' 중 1차시 '관리체계 수립 및 운영-1 관리체계 기반 마련과 위험관리' 기반 내용 정리
 |
위협으로부터 주요 정보자산을 보호하기 위해 수립.관리.운영하는 체계
1.1.1
경영진의 참여
|
인증 기준 |
최고경영자는 정보보호
및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. |
|
주요 확인사항 |
정보보호 및 개인정보보호
관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가? |
|
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가? |
의사 결정 시, 경영진의 참여 – 조직
전반의 공감대 형성
1.1.2
최고책임자의 지정
|
인증 기준 |
최고경영자는 정보보호
업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력
등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. |
|
주요 확인사항 |
최고경영자는 정보보호
및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가? |
|
정보보호 최고책임자 및 개인정보 보호책임자는
예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고
있는가? |
책임자 선정 요건 (개인정보 보호책임자 지정요건(민간기업))
개인정보보호법
사업주 또는 대표자
임원(임원이 없는 경우 개인정보 처리업무를 담당하는 부서의 장)
정보통신망법
임원
개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장
책임자 임명(정보보호 최고책임자 및 개인정보 최고책임자)
인사발령 등을 통해 공식으로 임명
정책서에 직위 명시
1.1.3 조직 구성
|
인증 기준 |
최고경영자는 정보보호와
개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을
검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로
구성된 협의체를 구성하여 운영하여야 한다. |
|
주요 확인사항 |
정보보호 최고책임자 및
개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고
있는가? |
|
조직 전반에 걸친 중요한 정보보호 및
개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고
있는가? |
|
|
전사적 정보보호 및 개인정보보호
활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가? |
조직 구성 시 필수 사항
조직의 규모, 업무의 특성 및 중요도, 처리하는 개인정보의 수량 및 민감도, 법 규제 등을 고려한 정보보호
및 개인정보보호 관리체계 구현을 위한 실무조직 구성
의사결정기구(정보보호와 개인정보보호위원회 등)
실무조직
전담 또는 겸임조직으로 구성 가능
실질적인 역할 수행이 가능하도록 역할 및 권한 부여
정보보호와 개인정보보호 조직에 대한 공식적인 선언 및 지정 필요
1.1.4 범위 설정
|
인증 기준 |
조직의 핵심 서비스 및
개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? |
|
주요 확인사항 |
조직의 핵심 서비스 및
개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? |
|
정의된 범위 내에서 예외사항이 있을
경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가? |
|
|
정보보호 및 개인정보보호
관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이
포함된 문서를 작성하여 관리하고 있는가? |
개인정보파일, 개인정보처리시스템 및 관련시스템, 개인정보 처리부서, 개인정보 취급자, 수탁자 등 직접 관련자
정보보호와 개인정보를 다루지 않지만 조금이라도 관련이 있다면 범위에 포함
1.1.5 정책 수립
|
인증 기준 |
정보보호와 개인정보보호
정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와
개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. |
|
주요 확인사항 |
조직이 수행하는 모든
정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하였는가? |
|
정보보호 및 개인정보보호 정책의 시행을
위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한
지침, 절차, 매뉴얼 등을 수립하고 있는가? |
|
|
정보보호 및 개인정보보호
정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터
권한을 위임받은 자의 승인을 받고 있는가? |
|
|
정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가? |
정책
“업무 프로세스 중심의 관리활동을 정의하기 위한 명문화된 문서”
문서 형태로 존재
ISMS-P 인증기준을 만족하도록 구성
기업이 준수해야 하는 각종 법률을 만족하는 내용을 포함하도록 구성
전사적으로 요구되는 내용에 대하여 – 상위 정책 수준으로 정의
부서별로 요구되는 내용 – 하위 정책 수준으로 상세히 정의
1.1.6 자원 할당
|
인증 기준 |
최고경영자는 정보보호와
개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한
예산 및 자원을 할당하여야 한다. |
|
주요 확인사항 |
정보보호 및 개인정보보호
분야별 전문성을 갖춘 인력을 확보하고 있는가? |
|
정보보호 및 개인정보보호 관리체계의
효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가? |
|
|
연도별 정보보호 및 개인정보보호
업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를
실시하는가? |
“투자계획(향후 투입예산) 및 인적자원(필요역량) 확보계획”
