3 보호대책 요구사항(1)
정책, 조직 자산 관리와 인적보안
2.1 정책, 조직, 자산관리
체계적인 유지와 관리
- 수립된 정책 및 시행 문서 정기적으로 검토 및 제 개정
- 책임자와 담당자 역할 및 책임 정의
- 정보자산별 책임자 및 관리자 지정
2.1.1 정책의 유지관리
< 인증기준 >
정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성. 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제 개정하고 그 내역을 이력관리하여야 한다.
< 주요확인사항 >
정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립 이행하고 있는가
조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제 개정하고 있는가
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제 개정시 이해 관계자의 검토를 받고 있는가
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제 개정 내역에 대하여 이력관리를 하고 있는가
시행문서 변경사항
최종 승인일을 기준으로 개정이력 문서화하여 기록하여야 하는데
대상 : 작성자, 작성일자, 작성사유
수행 사항 : 정기적 수행, 기록 문서화(감사, 위험평가 등)
2.1.2 조직의 유지관리
< 인증 기준 >
조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
< 주요확인사항 >
정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책을 명확히 정의하고 있는가
정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가
정보보호 및 개인정보보호 관련 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립 이행하고 있는가
신청 기관 및 기업
정보보호 및 개인정보보호 조직
-
유관 범위로 식별하여 역할 및 책임 정의
-
효과적인 역할 이행을 위해 상호 의사소통 체계 마련
2.1.3 정보자산 관리
< 인증 기준 >
정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립 이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
< 주요확인사항 >
정보자산의 보안등급에 따른 취급절차(생성, 도입, 저장, 이용, 파기)및 보호대책을 정의하고 이행하고 있는가
식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가
2.2 인적보안
다수의 정보유출 사고는 거의 대부분이 내부자에 의해 발생한다.
개발자, 운영자 : 과도한 권한을 제한하기 위해 직무 분리
일반 임직원 : 보안 서약서 징구 인식제고 및 교육 훈련
퇴직 및 직무변경자 : 관리 및 보안 위반시 처벌
2.2.1 주요 직무자 지정 및 관리
< 인증기준 >
개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
< 주요확인사항 >
개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가.
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그목록을 최신으로 관리하고 있는가
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 관리하고 있는가
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립 이행하고 있는가
개인정보취급자
- 개인정보보호 교육 및 점검 통해 관리
- 오 남용 행위 감독(불필요한 개인정보 조회업무 등)
2.2.2 직무분리
< 인증기준 >
권한 오 남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다.
다만 불가피하게 직무 분리가 어려운 경우 별도의 보안대책을 마련하여 이행하여야 한다.
< 주요확인사항 >
권한 오 남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가
직무분리가 어려운 경우 직무자간 상호 검토 상위 관리자 정기 모니터링 및 변경사항 승인 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가
2.2.3 보안 서약
< 인증기준 >
정보자산을 취급하거나 접근권한이 부여된 임직원 임시직원 외부자 등이 내부 정책 및 관련 법규 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야한다.
< 주요확인사항 >
신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?
임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임 비밀유지 의무 등이 명시된 서약서를 받고 있는가
임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가
정보보호 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요 시 쉽게 찾아볼 수 있도록 관리한다.
2.2.4 인식제고 및 교육훈련
< 인증기준 >
임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립 운영하고 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
< 주요확인사항 >
정보보호 및 개인정보보호 교육의 시기 기간 대상 내용 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연1회 이상 정기적으로 교육을 수행하고 관련 법규 및 규정의 중대한 변경시에 이에 대한 추가 교육을 수행하고 있는가
임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가
IT 및 정보보호 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가
정보보호 및 개인정보보호 교육
연간 교육 계획 수립 및 경영진 승인 연1회 이상 교육
직무별 전문성 고려하여 교육 실시
-
신규 채용, 외부자 계약 등 업무 시작 교육 시행
-
결과는 출석부 등 교육 참석자 기록을 포함하여 문서화하고 설문지 시험 등 평가를 실시하고 다음 교육에 반영함
2.2.5 퇴직 및 직무변경 관리
< 인증 기준 >
퇴직 및 직무변경 시 인사 정보보호 개인정보보호 IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수 조정, 결과확인 등의 절차를 수립 관리하여야 한다.
< 주요확인사항 >
퇴직, 직무변경 부서이동 휴직 등으로 인한 인사변경 내용이 인사부서 정보보호 및 개인정보보호 부서 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가
조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무 변경시 지체없는 정보자산 반납 접근권한 회수 조정 결과확인 등의 절차를 수립 이행하고 있는가
퇴직 및 직무변경 절차 수립
정보자산 반납 → 접근권한 조정 회수 → 결과 확인
점검 절차를 공식적으로 문서화하여 절차에 따라 수행
2.2.6 보안 위반 시 조치
임직원 및 관련 외부자가 법령 규제 및 내부정책을 위반한 경우 이에따른 조치 절차를 수립 이행하여야 한다.
< 주요확인사항 >
임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가
정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부절차에 따른 조치를 수행하고 있는가
처벌 규정
- 위반 여부 입증 가능 상황으로 정보보호 및 개인정보보호 책임 정의
- 위반 시 처벌 방법 구체적 명시
- 법률 위반 등 중대한 위반사항 외 경미한 위반사항
→ 정기, 비정기적 점검 통해 정보보호 수준 측정
처벌 근거 마련 . 정보보호 및 개인정보보호 위반 및 처벌사실 공유
