1. 관리체계 수립 및 운영(2)

1.3 관리체계 운영

선정된 보호대책을 이행할 담당자 및 이행계획 수립이 전제

경영진에게 보호대책 구현을 위한 의사결정을 받아 예산 인력 등의 지원을 확보 → 임직원을 대상으로 보호대책 구현에 필요한 정보를 공유하거나 교육을 수행

1.3.1 보호대책 구현

< 인증기준 >

선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야한다.

< 주요확인사항 >

이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가

관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영 명세서를 구체적으로 작성하고 있는가

1.3.2 보호대책 공유

< 인증 기준 >

보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.

< 주요확인사항 >

구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가

구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가

---

보호대책 구현 후

조직 내 이행계획을 기반하여 보호대책 활동을 수행할 임직원을 대상으로 보호대책 구현에 필요한 정보를 공유해야한다.

1.3.3 운영현황 관리

< 인증 기준 >

조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.

< 주요 확인사항 >

관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가

경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가

1.4 관리체계 점검 및 개선

신청기관 및 기업

준수해야할 법적 요구사항을 점검

관리체계에 대한 주기적인 점검

점검결과를 반영하여 관리체계 개선

1.4.1 법적 요구사항 준수 검토

< 인증기준 >

조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

< 주요확인사항 >

조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가

법적 요구사항의 준수여부를 연 1회이상 정기적으로 검토하고 있는가

< 연 1회이상 >

정보보호 및 개인정보보호 관련 법적 요구사항(법규명, 관련조항, 세부내용 등) 검토

정보보호 유관 정책서 및 시행 문서를 검토

---

1.4.2 관리체계 점검

< 인증기준 >

관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.

< 주요확인사항 >

법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가

관리체계 점검 계획에 따라 독립성 객관성 및 전문성이 확보된 인력을 구성하여 연 1회이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가

1.4.3 관리체계 개선

< 인증기준 >

법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립 이행하여야 하며,경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.

< 주요확인사항 >

법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립 이행하고 있는가

재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하였는가

---

관리체계 수립 이후

사후관리단계 모니터링을 시행하여한다.

문제점 분석 → 개선대책 및 재발방지 대책 수립 → 임직원 → 필요한 조치 → 관련자 결과 검토 → 경영진 효과성 검증 → 재검토

사후관리 단계

실제 발생한 문제점을 개선하기 위해 보완조치 대책 마련

타사의 사고사례 등을 참고

잠재적 위험을 예방하기 위한 예방 대책 마련