ISMS-P 인증기준 안내서 1.4

1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

• 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고 준수 여부를 지속적으로 검토하여야 한다.
  • 법적 요구사항을 파악하여 최신성을 유지
  • 법적 요구사항 준수 여부 연 1회 이상 정기적으로 검토
• 결함사례
  • 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우
  • 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
  • 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
  • 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
  • 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우

 

1.4.2 관리체계 점검

• 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
  • 관리체계 점검 계획을 수립하고 경영진에게 보고
    • 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함
  • 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회이상 점검 및 발견된 문제점 경영진 보고
• 결함사례
  • 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우
  • 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
  • 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우

 

1.4.3 관리체계 개선

• 식별된 관리체계상의 문제점에 대한 원인분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
  • 식별된 관리체계상의 문제점에 대한 근본원인 분석 및 재발방지·개선대책 수립·이행
  • 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차 마련
• 결함사례
  • 내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우
  • 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
  • 관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우

---

[요약정리]

1.4 관리체계 점검 및 개선 (법점개)

1.4.1 법적요구사항 준수 검토 (법적요구사항 준수 및 최신성 유지 / 연1회 검토)

1.4.2 관리체계 점검 (관리체계 점검계획 수립 및 경영진 보고 / 독립성,객관성,전문성 확보된 인력을 구성하여 연1회 점검 및 발견된 문제점 경영진 보고)

1.4.3 관리체계 개선 (관리체계 문제점 원인분석 및 재발방지대책 수립 / 재발방지 기준 절차 마련)