태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

1.3.1 보호대책 구현

선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.


● 주요 점검 사항

  • 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
  • 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?

● 세부 설명

  • 이행계획에 따라 선정된 보호대책을 효과적으로 구현하고 그 이행결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.
    • 이행계획에 따른 진행경과에 대해 정기적으로 완료여부, 진행 사항, 미이행 또는 지연이 있는 경우 사유 등을 파악하여 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고
    • 경영진은 정보보호 및 개인정보보호 대책이 이행계획에 따라 정확하고 효과적으로 이행되었는지 여부를 검토
    • 미이행, 일정지연 등이 발생한 경우 이에 대한 원인을 분석하여 필요 시 이행계획을 변경하고 경영진에게 보고 및 승인
    • 구현 결과에 대한 효과성 및 정확성 검토 결과 적절한 대책으로 판단하기 어렵거나 효과성에 상당한 의문이 제기되는 경우 대안을 수립하거나 추가적인 위험평가를 통해 보완할 수 있는 절차 마련
  • 관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하여야 한다.
    • 인증기준 선정여부(Yes/No) 확인 : '관리체계 수립 및 운영' 영역은 필수사항
    • 운영 현황 : 해당기관의 정책 및 인증기준 대비 운영 현황을 상세히 기재
    • 관련문서(정책, 지침 등) : 해당 기준에 부합하는 관련 문서명과 세부 문서번호를 명확히 기재
    • 기록(증적자료) : 관련 문서, 결재 내용, 회의록 등 해당 기준이 실제 운영되는 과정에서 생성되는 문서 또는 증적자료 제시
    • 인증기준 미선정 시 사유 : 인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입

● 결함 사례

  • 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우
  • 위험조치 이행결과보고서는 '조치 와료'로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
  • 전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당년도에 구현이 되지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우

● taeho's notes

  • 위험관리 과정에서 위험이 도출되었고 해당 위험을 제거 또는 감소하기 위한 보호대책의 수립 및 이행과 결과 보고가 적절하게 이루어졌는지를 평가하는 인증기준이다.
  • 정보보호 및 개인정보보호 관리체계를 적절하게 운용하고 있다면 매년(혹은 정기적으로) 작성하게 되는 연간 정보보호활동 계획서에 준하는 문서에 해당연도에 구현해야 하는 보호대책이 명시되어 있어야 한다.
  • 전년도 계획에 명시된 보호대책 구현 계획이 적절하게 구현되었는지를 확인하여야 한다. 만약 전년도에 계획된 보호대책의 구현이 이루어지지 않았다면 적절한 사유 및 경영진 보고가 있었는지 확인해야 한다.
  • 운영명세서와 지침의 내용이 일치하는지를 확인하여야 하며 오류가 있다면 개선하도록 권고 또는 결함으로 작성하여야 한다.

#ISMS-P인증기준  #보호대책구현 #정보보호관리체계 #KISA의ISMS-P인증기준안내서