ISMS-P 인증기준 안내서 2.1

2. 보호대책 요구사항

• 보호대책 요구사항 영역은 12개 분야 64개 인증기준으로 구성

• 보호대책 요구사항에 따라 신청기관은 관리체계 수립 및 운영 과정에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립·이행하여야 한다.

2.1 정책,조직,자산관리

2.1.1 정책의 유지관리

• 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다.
  • 정책 및 시행문서 정기적인 타당성 검토 및 필요 시 제·개정 (연1회이상)
    • 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
    • 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간 일관성 유지 여부 검토
  • 중대한 환경 변화 발생 시 영향성 검토 및 필요 시 제·개정
  • 제·개정 시 이해관계자 협의 및 검토
  • 변경사항 이력 기록·관리
• 결함사례
  • 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
  • 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
  • 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
  • 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
  • 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

2.1.2 조직의 유지관리

• 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통을 할 수 있는 체계를 수립하여야 한다.
  • 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의
  • 책임자와 담당자의 활동평가체계 수립
    • KPI, MBO, 인사평가 등
  • 조직 및 조직 구성원 간 상호 의사소통 체계 및 절차 수립·이행
• 결함사례
  • 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
  • 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
  • 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
  • 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우

2.1.3 정보자산 관리

• 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
  • 보안등급에 따른 취급절차를 정의하고 이에 따라 적절한 보호대책 정의 및 이행
  • 정보자산별 책임자·담당자 지정하여 책임소재 명확히
• 결함사례
  • 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
  • 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
  • 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우

---

[요약 정리]

2.1 정책,조직,자산관리 (정조자)

2.1.1 정책의 유지관리 (최상위정책 및 시행문서 타당성 검토 / 중대한 환경변화 시 영향도 검토 및 필요 시 제·개정 / 제·개정 시 이해관계자 검토 / 변경 이력관리)

2.1.2 조직의 유지관리 (책임자·담당자 책임 및 역할 정의, 책임자·담당자 활동평가체계 수립, 조직 및 조직구성원 간 상호 의사소통체계 마련)

2.1.3 정보자산 관리 (보안등급에 따른 취급절차 및 보호대책 정의·이행, 책임자·관리자 지정)