ISMS-P 인증 기준 1.3.1.보호대책 구현

From CS Wiki

개요[edit | edit source]

항목 1.3.1.보호대책 구현
인증기준 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
주요 확인사항
  • 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
  • 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?

세부 설명[edit | edit source]

이행계획에 따른 보호대책 구현 및 보고[edit | edit source]

이행계획에 따라 선정된 보호대책을 효과적으로 구현하고 그 이행결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.

  • 이행계획에 따른 진행경과에 대하여 정기적으로 완료 여부, 진행 사항, 미이행 또는 지연이 있는 경우 사유 등을 파악하여 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고
  • 경영진은 정보보호 및 개인정보보호 대책이 이행계획에 따라 정확하고 효과적으로 이행되었는지 여부를 검토
  • 미이행, 일정지연 등이 발생한 경우 이에 대한 원인을 분석하여 필요시 이행계획을 변경하고 경영진에게 보고 및 승인
  • 구현 결과에 대한 효과성 및 정확성 검토 결과 적절한 대책으로 판단하기 어렵거나 효과성에 상당한 의문이 제기되는 경우 대안을 수립하거나 추가 위험평가를 통하여 보완할 수 있는 절차 마련

운영명세서 작성[edit | edit source]

관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하여야 한다.

  • 인증기준 선정 여부(Yes/No) 확인: ʻ관리체계 수립 및 운영ʼ 영역은 필수사항
  • 운영 현황: 해당기관의 정책 및 인증기준 대비 운영 현황을 상세히 기재
  • 관련문서(정책, 지침 등): 해당 기준에 해당되는 관련 문서명과 세부 문서번호를 명확히 기재
  • 기록(증거자료): 관련 문서, 결재 내용, 회의록 등 해당 기준이 실제 운영되는 과정에서 생성되는 문서 또는 증거자료 제시
  • 인증기준 미선정 시 사유: 인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 이행계획서/위험관리계획서
  • 정보보호 및 개인정보보호 대책서
  • 정보보호 및 개인정보보호 이행계획 경과보고서(경영진 보고 포함)
  • 정보보호 및 개인정보보호 이행 완료 보고서(경영진 보고 포함)
  • 정보보호 및 개인정보보호 운영명세서

결함 사례[edit | edit source]

  • 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우
  • 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
  • 전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
  • 운영명세서에 작성된 운영 현황이 실제와 일치하지 않고, 운명명세서에 기록되어 있는 관련 문서, 결재 내용, 회의록 등이 존재하지 않는 경우
  • 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우

관련 인증 기준[edit | edit source]

1.3.2.보호대책 공유

  • 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.

1.3.3.운영현황 관리

  • 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)