관리체계 수립 및 운영

관리체계 수립 및 운영 16
보호대책 요구 사항 64
개인정보처리 단계별 요구사항 22개

---

1.1 관리체계 기반 마련

관리체계 : 위협으로부터 주요 정보자산을 보호하기 위해 수립 관리 운영하는 체계

서비스 안정성 유지 및 정보자산 보호를 위한 경영활동의 일부로 인식

1.1.1 경영진 참여

< 인증기준 >

최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

< 주요확인사항 >

• 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질수 있도록 보고 및 의사결정 등의 책임과 역활을 문서화하고 있는가

• 경영진이 정보보호 및 개인정보보 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립 이행하고 있는가?

1.1.2 최고책임자의 지정

< 인증기준 >

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산 인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

< 주요확인사항 >

최고경영자는 정보보호 및 개인정보보 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 및 개인정보보 보호책임자는 예산, 인력 등 지원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가

1.1.3 조직구성

< 인증기준 >

최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

< 주요확인사항 >

정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가

1.1.4 범위설정

< 인증기준 >

조직의 핵심 서비스와 개인정보 처리 현황을 등을 고려하여 관리체계 범위를 설정하고 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직 자산 물리적 위치 등을 문서화하여야 한다.

< 주요 확인사항 >

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심 자산을 포함하도록 관리체계 범위를 설정하고 있는가

정의된 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의 책임자 승인 등 관련 근거를 기록 관리하고 있는가?

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

• 개인정보파일, 개인정보처리시스템 및 관련 시스템, 개인정보 처리부서, 개인정보취급자, 수탁자 등
• 정보보호와 개인정보를 직접 다루지 않지만, 조금이라도 관련이 있다면 관리체계 범위에 포함

1.1.5 정책수립

< 인증기준 >

정보보호와 개인정보보호 정책 및 시행문서를 수립 작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다.

또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

< 주요확인사항 >

조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보 정책을 수립하는가?

정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법 절차 주기 등을 규정한 지침, 절차, 메뉴얼 등을 수립하고 있는가

정보보호 및 개인정보보호 정책 시행문서의 제 개정 시 최고경영자 또는 최고 경영자로부터 권한을 위임받은 자의 승인을 받고 있는가

정보보호 및 개인정보보 정책, 시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가

1.1.6 자원할당

< 인증기준 >

최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

< 주요확인사항 >

정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가

정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위한 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가

연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립 시행하고 그 추진결과에 대한 심사분석 평가를 실시하는가?

---

1.2 위험관리

위험관리란

위험에 대한 적절한 보호대책을 수힙하는 일련의 과정

ISMS-P를 구축한 기업

• 보호해야할 대상(서비스, 시스템 등)과 자산을 목록화

• 자산별 가치를 선정 후, 자산의 가치에 따라 우선적으로 보호해야 할 자산을 선별

• 그 자산에 영향을 미치는 위협과 자산이 내포하고 있는 취약성을 찾기

위험관리 운영시 어려운 이유

1. 위험관리 방법론에 대한 충분한 이해와 경험 부족

2. 위험관리 방법론을 기업의 특성을 고려하지 않은 채 단순 적용

3. 기업의 자체적인 방법론이 아닌 외부 전문가 또는 컨설팅 업체에 대한 높은 의존도

위험관리 방법론을 선정하는 것은 조직의 책임

위험관리 방법론

1. 관리적 위험관리 방법론
2. 기술적 위험관리 방법론
3. 법적 위험관리 방법론
4. 정보보호 관리체계 인증기준으로 점검
5. 기술적 취약점 분석 평가 방법론 사용
6. 개인정보보호를 위한 흐름도와 흐름표 작성을 통해 법적 요건의 충족 여부 점검

1.2.1 정보자산 식별

< 인증 기준 >

조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별 분류하고 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.

< 주요 확인사항 >

정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하는가

식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안 등급을 부여하고 있는가

정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가

정보자산 분류

1. 시스템 자산

• 서버
• 보안장비
• 네트워크
• PC

2. 데이터

• 시스템 자산 설정 정보
• 시슽엠 자산에 저장된 로그 및 이벤트 정보
• 업무용 PC/모바일기기에 저장된 중요정보

3. 시설

• 건물 및 사무실
• 출입통제 설비
• CCTV
• UPS

자산 목록

• 전체 자산가치

• 정보보호 특성(기밀성, 무결성, 가용성)의 가치

  • 기밀성 : 정보자산의 접근은 인가된 사람만이 접근 가능함을 보장해야 하는 특성(정도)
  • 무결성 : 정보자산 내의 정보 및 처리 방법의 정확성, 완전성을 보호해야 하는 특성(정도)
  • 가용성 : 인가된 사용자가 필요시 정보자산 및 관련 정보에 접근하는 것을 보장해야 하는 특성(정도)

1.2.2 현황 및 흐름분석

< 인증기준 >

관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.

< 주요확인사항 >

관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가

관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가

서비스 및 업무 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가

1.2.3 위험평가

< 인증 기준 >

조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

< 주요 확인 사항 >

조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가

위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가

위험관리계획에 따라 연 1회이상 정기적으로 또한 필요한 시점에 위험평가를 수행하고 있는가

조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가

위험식별 및 평가 결과를 경영진에게 보고하고 있는가

< 위험 식별 및 평가 단계 >

식별된 자산에 대한 가치를 평가

자산에 영향을 줄 수 있는 모든 위협, 취약성 및 위험을 식별하고 분류

정보자산의 가치와 위험을 고려

자산식별 및 가치 평가 → 위협 평가 → 취약성 평가 → 위험평가 → 목표위험 수준 결정 → 위험 평가 결과 경영진 보고

위험감소 : 위험을 감소시킬수 있는 대책을 채택하여 구현
위험수용 : 위험을 받아들이고 비용을 감수
위험회피 : 위험이 존재하는 프로세스나 사업을 포기
위험전가 : 잠재적 비용을 제3자에게 이전하거나 할당함

1.2.4 보호대책 선정

< 인증기준 >

위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정 담당자 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야한다.

< 주요확인사항 >

식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가

보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가

개인정보 흐름도는 개인정보 관련 처리업무 현황을 파악하기 위한 위험관리 절차의 한 단계입니다. 흐름도의 작성 범위는 최초 설정된 관리체계의 업무범위로 선정하여, 흐름도 작성 단위는 개인정보 항목별 보다 개인정보 처리업무에 기준 할 것을 추천합니다.

따라서 개인정보 형황 및 흐름 분석은 개인정보 처리 업무 분석, 개인정보 흐름표 작성, 개인정보 흐름도 작성 단계로 진행할 수 있다.

또한 개인정보 흐름의 순서는

수집 → 보유 → 이용 제공 → 파기에 이르는 Life-Cycle에 따른다.