ISMS-P 인증기준 안내서 2.2

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

• 개인정보 및 중요정보의 취급이나 주요 시스템 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
  • 주요 직무 기준을 명확히 정의
    • 중요정보 취급, 중요 정보시스템 및 개인정보처리시스템 운영·관리, 정보보호 및 개인정보보호 관리 업무 수행, 보안시스템 운영 등
  • 임직원 및 외부자 주요직무자 지정 및 그 목록 최신화
  • 개인정보취급자 지정 및 그 목록 최신화
  • 주요 직무자 및 개인정보 취급자 지정 최소화
• 결함사례
  • 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우
  • 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
  • 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
  • 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우

2.2.2 직무분리

• 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
  • 직무 분리 기준을 수립하여 적용
    • 개발과 운영 직무 분리, 개인정보보호 관리와 개인정보처리시스템 운영직무 분리 등
    • 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한 부여 금지(다만 불가피한 경우 보완통제 적용)
  • 조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피하게 직무 분리가 어려운 경우 직무자 간의 상호 검토, 직무자의 책임추적성 확보 등의 보완통제를 마련
• 결함사례
  • 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우
  • 조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우

 

2.2.3 보안서약

• 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.
  • 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받아야 한다.
  • 임시직원, 외주용역직원 등 외부자에게 정보자산(개인정보 포함), 정보시스템 등에 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서 징구
  • 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서 징구
  • 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보존하고, 필요시 쉽게 찾아볼 수 있도록 관리
• 결함사례
  • 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
  • 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우
  • 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
  • 개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우

 

2.2.4 인식제고 및 교육훈련

• 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
  • 연간 정보보호 및 개인정보보호 교육 계획 수립 및 경영진 승인 (구체적 내용 포함)
  • 연 1회 이상 정기적 교육 수행 (중대한 변경 시 추가교육 수행)
  • 임직원 채용 및 외부자 신규 계약 시 업무 시작 전 교육 시행
  • 직무별 전문성 제고를 위한 별도의 교육 수행
  • 교육시행 기록을 남기고 적정성 평가 후 다음 교육 계획에 반영
• 결함사례
  • 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
  • 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
  • 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
  • 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보 자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
  • 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록 (교육자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
  • 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우

2.2.5 퇴직 및 직무변경 관리

• 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.
  • 인사변경 내용 신속히 공유
  • 정보자산 반납, 접근권한 회수·조정, 결과 확인 등 절차 수립·이행
• 결함사례
  • 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
  • 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
  • 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우

2.2.6 보안위반 시 조치

• 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.
  • 처벌 규정 수립
  • 보안 위반 시 내부 절차에 따른 조치 수행
• 결함사례
  • 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
  • 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우

---

[요약정리]

2.2 인적보안 (직분서인퇴위)

2.2.1 주요직무자 지정 및 관리 (주요직무자 지정 기준 수립 / 주요직무자 지정 및 최신화 / 개인정보취급자 지정 및 최신화 / 최소화)

2.2.2 직무분리 (직무분리 기준 정의 / 불가피할 시 보완통제)

2.2.3 보안서약 (신규인력 보안서약서 징구 / 접근권한 있는 외부자 서약서 징구 / 퇴직 시 비밀보안서약서 징구 / 안전하게 보관)

2.2.4 인식제고 및 교육훈련 (연간 교육훈련 계획 수립 및 경영진 승인 / 연 1회 수행 / 업무 시작 전 교육 / 직무별 별도 교육 / 교육이력관리 및 적정성 평가 후 반영)

2.2.5 퇴직 및 직무변경 관리 (인사변경 공유 / 자산반납,권한회수,결과확인 절차 수립)

2.2.6 보안위반 시 조치 (처벌규정 수립 / 위반 시 절차에 따른 조치)