태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

1.2.2 현황 및 흐름분석


관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.



● 주요 점검 사항


  • 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
  • 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
  • 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?

● 세부 설명


  • 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다. 또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는데 효과적으로 활용할 수 있다.

        ※ 정보서비스흐름도는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미함
    ▶ 현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통해 인증기준과 운영현황의 차이를 확인
    ▶ 흐름분석은 정보서비스 흐름 분석과 개인정보 처리단계별 흐름분석으로 구분되며 그 결과는 흐름표 또는 흐름도의 도식화

  • 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하여야 한다.
    ▶ 관리체계 범위 내의 모든 정보서비스 현황식별
    ▶ 각 정보서비스별 업무 절차 및 흐름 파악
    ▶ 업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도

        

  • 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름표, 개인정보 흐름도 등으로 문서화하여야 한다.(ISMS-P 인증의 경우만 해당)
    ▶ (1단계) 개인정보 처리가 이루어지는 단위 업무를 식별
    ▶ (2단계) 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
    ※ 개인정보 흐름표 작성 예시(출처 : ISMS-P 인증기준 안내서(2019.1.18))

    ▶ (3단계) 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한 눈에 파악할 수 있도록 총괄 개인정보 흐름도 및 업무별 개인정보 흐름도 작성
    ※ 개인정보 흐름도 작성 예시(출처 : ISMS-P 인증기준 안내서(2019.1.18))

        

  • 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음의 관점을 참고하여 주기적으로(최소 연 1회 이상) 검토하고 최신성이 유지되도록 관리하여야 한다.
    ▶ 기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)
    ▶ 처리되는 중요정보, 개인정보 항목의 변화 여부
    ▶ 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
    ▶ 신규개인정보 처리업무 및 흐름 발생 여부
    ▶ 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등

● 결함 사례


  • 관리체계 범위 내 주요 서비스에 대한 업무 절차·흐름 및 현황의 문서화가 일부 누락 또는 이루어지지 않은 경우
  • 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
  • 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우


● taeho's notes


  • 정보서비스 흐름도는 ISMS 인증과 ISMS-P 인증을 신청하는 기관 모두 작성해야 하며 개인정보 흐름표 및 흐름도는 ISMS-P 인증 신청기관에서만 작성한다.
  • 정보서비스 흐름도의 경우 개인정보취급자 및 서버·DB·응용프로그램·정보보호시스템 운영자와 개발자가 각 시스템에 접속할 때의 접속 경로 및 각 접속 단계 별 업무 흐름을 표시하여야 한다. (각 단계별 수단 및 보호대책 포함)
    • 내부 업무망이나 망분리망이 아닌 외부에서의 원격접속이 있을 경우 원격접속 경로 및 흐름도 포함해야 함
    • 정보서비스 흐름도 상의 정보시스템 또는 정보보호시스템은 자산대장에 표기된 시스템명을 사용하여 표기해야 함
  • 개인정보 흐름도에는 온라인/오프라인, 통신 구간의 암호화 여부, 저장시 암호화 여부가 표기되어야 함
  • 개인정보 흐름도에서는 수집에서부터 파기까지 전 개인정보 생명주기를 확인할 수 있어야 함

#ISMS-P인증기준  #개인정보흐름도 #정보서비스흐름도 #정보보호관리체계