태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


1.1.5 정책 수립


정보보호와 개인정보보호 정책 및 시행 문서를 수립ㆍ작성하며, 이 때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.



● 주요 점검 사항


  • 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하였는가?
  • 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차 매뉴얼 등을 수립하고 있는가?
  • 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
  • 정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

● 관련 법령


  • 개인정보 보호법 제29조(안전조치의무)
  • 정보통신망법 제28조(개인정보의 보호조치)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ이행)
  • 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)

● 세부 설명


  • 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음의 내용을 포함하여 수립하여야 한다.
    • 조직의 정보보호 및 개인정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
    • 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
    • 조직이 수행하는 관리적, 기술적, 물리적 정보보호 및 개인정보보호 활동의 근거
  • 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.
    • 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로 제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게 수립
          ※ 하위 실행 문서 (예시)

       보호대상 관점

       수행 주체 관점

            o 서버보안 지침

            o 네트워크보안 지침

            o 데이터베이스보안 지침

            o 어플리케이션보안 지침

            o 웹서비스보안 지침

            o 임직원보안 지침

            o 개발자보안 지침

            o 운영자보안 지침

  • 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호 관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
       ※ 정보보호 및 개인정보보호 관련 법률 (예시)

       o 정보통신망 이용촉진 및 정보보호 등에 관한 법률

       o 개인정보보호법

       o 신용정보의 이용 및 보호에 관한 법률

       o 위치정보의 보호 및 이용 등에 관한 법률

       o 전자금융거래법

       o 전자상거래 등에서의 소비자보호에 대한 법률

       o 저작권법

       o 정보통신 기반보호법

       o 전자서명법

       o 산업기술의 유출방지 및 영업비밀보호에 관한 법률

       o 부정경쟁방지 및 영업비밀보호에 관한 법률

  • 개인정보를 처리하는 경우 개인정보 보호법 및 정보통신망법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립
        ※ 관련 법규에 따라 내부관리계획에 포함되어야 하는 사항

     개인정보 보호법

     정보통신망법

          1.개인정보 보호책임자의 지정에 관한 사항

          2.개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

          3.개인정보취급자에 대한 교육에 관한 사항

          4.접근 권한의 관리에 관한 사항

          5.접근 통제에 관한 사항

          6.개인정보의 암호화 조치에 관한 사항

          7.접속기록 보관 및 점검에 관한 사항

          8.악성프로그램 등 방지에 관한 사항

          9.물리적 안전조치에 관한 사항

          10.개인정보 보호조직에 관한 구성 및 운영에 관한 사항

          11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항

          12.위험도 분석 및 대응방안 마련에 관한 사항

          13.재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

          14.개인정보 처리업무를 위탁하는 경우 수탁자에[ 대한 관리 및 감독에 관한 사항

          15.그 밖에 개인정보 보호를 위하여 필요한 사항


    ※ 단, 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보조치 기준 별표 참조)

          1.개인정보관리책임자의 자격요건 및 지정에 관한 사항

          2.개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항

          3.개인정보 내부관리계획의 수립 및 승인에 관한 사항

          4.개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항

          5.개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

          6.개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항

          7.그 밖의 개인정보보호를 위해 필요한 사항

  • 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임 받은 자의 승인을 받아야 한다.
    • 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
    • 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
    • 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
    • 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
  • 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련임직원에게 이해하기 쉬운 형태로 제공하여야 한다.
    • 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
    • 정책서 시행문서는 제·개정 사항이 발생되면 즉시 공표하고 최신본을 유지

● 결함 사례


  • 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제ㆍ개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고 책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우  --> 내부 규정을 준수하지 않은 결함
  • 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유ㆍ전달되지 않아 일부 부서에서는 구 버전의 지침서를 기준으로 업무를 수행하고 있는 경우
  • 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우


● taeho's notes


  • 정책에는 조직 고유의 업무와 특성에 맞는 (개인)정보보호영역을 크게 분류하고 각 영역별 정보보호활동의 방향을 명시한다. 또한 정책의 가장 앞부분에 (개인)정보보호를 위한 경영진의 의지와 방향을 담은 정보보호 선언문(1쪽~2쪽)이 위치하기도 한다.
  • 지침에는 법적 요구사항(법률, 법령, 고시 및 가이드)의 내용을 포함한 세부적인 지침이 기술되어야 한다.
  • 가이드는 지침의 내용을 준수하기 위한 세부적인 절차 및 (개인)정보보호활동에 대한 세부 단계별 행동요령이 매뉴얼 수준으로 기술되어야 한다.
  • 정책, 지침, 가이드는 전 임직원 및 상주 외주인력(외주인력에게 필요한 범위에서)이 쉽게 찾아볼 수 있도록 전자적인 수단 혹은 출력물로 항시 접근가능한 곳에 비치되어야 한다.
  • 정책, 지침은 정보보호위원회에 해당하는 조직에서 검토 및 승인되어야 하며 CEO 혹은 CEO에게 권한을 위임받은 자의 최종 승인을 득해야 한다.


#ISMS-P인증기준  #정책수립 #정보보호관리체계