2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립·이행하고 있는가?

 

「정보보호 관리체계 운영지침」 제 ◌◌조 (정책 유지관리)
① 정보보호최고책임자는 다음과 같은 상황이 발생한 경우를 제ㆍ개정을 통해 관련 
규정 및 지침에 반영해야 한다.
≫ 중대한 보안사고 발생
≫ 정보보안 및 개인정보보호 등 관련 법률 제ㆍ개정 
≫ 새로운 위협 또는 취약성의 발견
≫ 정보보안 및 IT 환경의 중대한 변화 등
② 연 1회 이상 주기적으로 정보보안규정 및 관련 규칙의 타당성을 검토하고 필요시 
제ㆍ개정을 통해 관련 규정 및 규칙에 반영해야 한다.

 

ㅡㅡㅡㅡ

 

※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시) 
 ·검토 주기 및 시기 : 연 1회 이상 검토 필요
 ·관련 조직별 역할 및 책임 
 ·담당 부서 및 담당자
 ·검토 방법
 ·후속조치 절차 : 정책 및 시행문서 제·개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등

 

    상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 
않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
     정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토 
     정보보호 및 개인정보보호 관련 법규 제·개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 
정책과 시행문서에 적절히 반영되었는지 여부 검토
     위험평가 및 관리체계 점검 결과 반영
     새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술 도입 등 IT 환경의 변화, 정보보호 및 
개인정보보호 환경의 변화 등 반영

 

조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제·개정하고 있는가?

대내외 환경 변화에 따라 지침 재∙개정 필요
① 정보보호 및 개인정보보호 관련 법규 제·개정
② 비즈니스 환경의 변화(신규 사업 영역 진출, 대규모 조직개편 등)정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
③ 내·외부의 중대한 보안사고 발생
④ 새로운 위협 또는 취약성 발견 등

 

 

SK쉴더스

 

정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 이해 관계자의 검토를 받고 있는가?

부서 이해관계자 회의 및 의견 취합
① 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보 취급자 등 이해관계자 식별 및 협의
② 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등 고려
③ 회의록 등 검토 사항에 대한 증적을 남기고 정책·지침 등에 관련 사항 반영

 

정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 내역에 대하여 이력관리를 하고 있는가?

문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록하여 관리 
▶ 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리

 

사내 규정 최신성 유지를 통한 변경 사항 적용
① 문서 내에 문서버전, 일자, 개정 사유, 작성자, 승인자 등 개정이력을 기록 관리

SK 쉴더스

 

[증적 자료]

       정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
        정책·지침 정기·비정기 타당성 검토 결과
        정책·지침 관련 부서와의 검토 회의록, 회람내용
        정책·지침 제·개정 이력

---

2.1.2  조직의  유지관리

정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?

→ 정보보호 및 개인정보보호 책임자 및 담당자 책임 및 역할 지정

 

「정보보호 관리체계 운영지침」 제 ◌◌조 (정보보호 조직)
① 정보보호 업무를 효율적으로 수행하기 위해 전담 조직을 구성한다
≫ 정보보호 최고 책임자: 정보보호 업무 지휘 감독72
ⓒ 2023, SK Shieldus
≫ 정보보호 관리자: 정보보호조직 운영 및 업무 지휘 감독 
≫ 부서정보보호책임자: 소관업무별 정보보호대책 강구 및 시행

 

「정보보호 관리체계 운영지침」 제 ◌◌조 (개인정보보호 조직) 
① 정보보호최고책임자가 개인정보보호책임자를 겸임한다.
≫ 개인정보보호 책임자는 다음 각 호의 업무를 수행한다.
• 개인정보 보호 계획의 수립 및 시행
• 개인정보 처리 실태에 대한 정기적인 조사 및 개선
• 개인정보 처리와 관련한 불만의 처리 및 피해 구제
• 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템의 구축
• 개인정보 보호 교육 계획의 수립 및 시행
• 개인정보파일의 보호 및 관리 감독
• 개인정보보호법에 따른 개인정보 처리방침의 수립 및 시행
• 개인정보 보호 관련 자료의 관리
• 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
• 그 밖에 개인정보보호를 위해 필요한 사항

 

조직도, 업무분장표, 직무기술서

 

정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가

조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보 보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가

 

 

정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하고 있는가?

※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시) 
 ·의사소통 관리 계획 개요 : 목적 및 범위
 ·의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 
참여대상별 역할 및 책임, 주기 등
 ·의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등 
 ·의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등

 

---

2.1.3  정보자산  관리

정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?

=> 물리적 대책 및 행정 대책 동시에 챙길 수 있어야

 

임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
     (전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
     서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
▶ 정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행

 

보안등급에 따라 취급절차(예시)
「정보보호 관리체계 운영지침」 제 ◌◌조 (정보자산 처리)
① 1등급∙2등급 정보자산의 경우 부서 보안책임자의 승인없이 외부로 유출 또는 공개해선 안 된다.
② 1등급∙2등급 정보자산은 공개 결정시 보안성 검토를 거쳐야 한다

 

식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?

1.2.1 정보자산 식별에 책임자, 관리자 같이 관리할 것

식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 
자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다. 
▶ 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
▶ 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될 경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영

 

        정보자산 목록(책임자, 담당자 지정)
        정보자산 취급 절차(문서, 정보시스템 등)
        정보자산 관리 시스템 화면
        정보자산 보안등급 표시 내역