ISMS-P 인증 기준 2.2.6.보안 위반 시 조치: Difference between revisions
From CS Wiki
(Imported from text file) |
No edit summary |
||
(One intermediate revision by one other user not shown) | |||
Line 17: | Line 17: | ||
== 세부 설명 == | == 세부 설명 == | ||
==== 보안 위반 시 처벌 기준 수립 ==== | |||
임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를위반한 경우에 대한 처벌 규정을 수립하여야 한다. | |||
* 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유·노출, 오·남용등이 발견된 경우 조사, 소명, 징계 등의 조치 기준 및 절차 수립 | |||
* 정보보호 및 개인정보보호 책임과 의무를 충실히 이행한 경우에 대한 보상 방안도 고려 | |||
==== 보안 위반 시 실제 절차 수행 ==== | |||
정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하여야 한다. | |||
* 상벌 규정에 따른 조치를 수행하고 결과 기록 | |||
* 필요한 경우 전사 공지 또는 교육 사례로 활용 등 | |||
== 증거 자료 == | == 증거 자료 == | ||
* 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정) | * 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정) | ||
Line 30: | Line 33: | ||
* 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우 | * 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우 | ||
* 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우 | * 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우 | ||
== 관련 인증 기준 == | |||
'''[[ISMS-P 인증 기준 2.2.1.주요 직무자 지정 및 관리|2.2.1.주요 직무자 지정 및 관리]]''' | |||
* 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.3.보안 서약|2.2.3.보안 서약]]''' | |||
* 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.4.인식제고 및 교육훈련|2.2.4.인식제고 및 교육훈련]]''' | |||
* 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. | |||
'''[[ISMS-P 인증 기준 2.2.5.퇴직 및 직무변경 관리|2.2.5.퇴직 및 직무변경 관리]]''' | |||
* 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. | |||
== 같이 보기 == | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | * [[정보보호 및 개인정보보호관리체계 인증]] | ||
Line 35: | Line 55: | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | * [[ISMS-P 인증 기준 세부 점검 항목]] | ||
== 참고 문헌 == | == 참고 문헌 == | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) |
Latest revision as of 03:49, 21 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.2.인적 보안
개요[edit | edit source]
항목 | 2.2.6.보안 위반 시 조치 |
---|---|
인증기준 | 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
보안 위반 시 처벌 기준 수립[edit | edit source]
임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를위반한 경우에 대한 처벌 규정을 수립하여야 한다.
- 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유·노출, 오·남용등이 발견된 경우 조사, 소명, 징계 등의 조치 기준 및 절차 수립
- 정보보호 및 개인정보보호 책임과 의무를 충실히 이행한 경우에 대한 보상 방안도 고려
보안 위반 시 실제 절차 수행[edit | edit source]
정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하여야 한다.
- 상벌 규정에 따른 조치를 수행하고 결과 기록
- 필요한 경우 전사 공지 또는 교육 사례로 활용 등
증거 자료[edit | edit source]
- 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정)
- 정보보호 및 개인정보보호 지침 위반자 징계 내역
- 사고 사례(전사 공지, 교육 내용)
결함 사례[edit | edit source]
- 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
- 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우
관련 인증 기준[edit | edit source]
- 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
- 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
- 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
- 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)