1.3 관리체계 운영
1.3.1 보호대책 구현 - 추가 작성 필요
이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
제16조(정보보호 관리체계 점검)
① 다음 각 호의 사항을 포함한 정보보호 관리체계 점검 계획을 수립하여 연 1회 이상 점검을 수행하여야 한다.
1.점검기준 : 정보보호 관리체계 인증기준
2.점검범위 : 정보보호 관리체계 인증범위 필수
3.점검주기 : 연 1회
4.점검조직 : 점검의 객관성, 독립성, 전문성을 확보한 인원
5.점검내용 : 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검
② 제1항의 점검 결과 발견된 문제점에 대해 조치계획을 수립 및 이행하고 정보보호 최고책임자에게 보고하여야 한다.
제17조(정보보호 관리체계 개선)
① 법적 요구사항 준수 검토 및 정보보호 관리체계 점검을 통해 발견된 문제점에 대해 원인을 분석하고 개선 및 재발방지 대책을 수립 및 이행하여야 한다.
② 제1항의 개선 및 재발방지 대책의 적정성 및 효과성 여부를 확인하기 위한 핵심성과지표(보안성과지표)를 측정하여 정보보호 최고책임자에게 보고하여야 한다
1.3.2 보호대책 공유
구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
정보자산 부서 및 담당자 명시 / 부서별 정보보호 담당자 리스트 확보
=> 작성하는 것 혹은 확보하는 근거가 내부 규정에 있어야 함
구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?
[ 아래 내용을 수행해야 한다는 지침 필요]
- 공유 내용 : 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등
- 공유 대상 : 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자
- 공유 방법 : 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육 등
1.3.3 운영현황 관리
관리체계 운영을 위하여 주기적 또는 상시적으로 수행하여야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?
「정보보호 관리체계 운영지침」 제 ◌◌조 (정보보호 계획수립)
① 연간 정보보호 업무계획을 수립하고 '정보보호관리체계 운영현황표'를 작성 및
주기적 검토를 통해 최신상태를 유지한다
관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이
요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기
및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.
※ 주기적인 정보보호 및 개인정보보호 활동(예시)
·주요직무자, 개인정보취급자의 접속기록 검토
·주요직무자의 접근권한 검토
·정기 정보보호 및 개인정보보호위원회 개최
·정보보호 및 개인정보보호 교육
·사무실 보안점검
·정보보호 및 개인정보보호 정책·지침 개정 검토
·법적 준거성 검토
·침해 대응 모의훈련, IT 재해 복구 모의훈련
·내부감사 등
관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이
요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기
및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.
경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?
「정보보호 관리체계 운영지침」 제 ◌◌조 (정보보호 계획수립)
1) 연간 정보보호 업무계획을 수립하고 '정보보호관리체계 운영현황표'를 작성 및 주기적 검토를 통해 최신상태를 유지한다
2) 운영 현황을 점검하고 필요한 경우 개선 조치계획을 수립 및 이행한다.
3) 정보보호관리체계 운영 현황과 개선 조치 내용을 정보보호 최고책임자에게 보고하여야 한다.