인증기준1-관리체계 기반 마련
June 04, 2022
| 인증기준 | 내용 | keyword |
|---|---|---|
| 1.1.1 경영진의 참여 | - 장기간 보고가 이루어지지 않음 (보고 증적이 없음) - 경영진이 의사결정에 참여할 수 있는 보고, 검토 절차가 수립되어 있지 않음. | - 보고 증적, 의사결정 절차 |
| 1.1.2 최고 책임자의 지정 | ★ CISO 겸직금지에 해당하는 정보통신서비스 제공자임에도 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 - 겸직금지 대상 1. 자산총액 5조원 이상 2. ISMS 의무대상자중 자산 총액 5000억원 이상 - 신고기한 : 180일 - 대상 : 과기부장권 (중앙전파관리소) - 겸직금지 의무 위반 과태료 신설 및 위반횟수별 부과 금액 1회 : 1천만원 2회 : 2천만원 3회 이상 : 3천만원 - 지정 신고 의무 위반 과태료 완화 및 위반횟수별 부과 금액 1회 : 750만원 2회 :1500만원 3회 이상 : 3천만원 - 법 제45조의3 제1항 단서에 해당하는 자가 ciso 미지정 시 - 사업주나 대표자가 최고책임자 링크 - 법제처 |
- CISO, CPO 공식 지정, - 자격 요건 |
| 1.1.3 조직 구성 | - 주요 확인사항 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가? - 결함사례 사례 1 : (개인)정보보호 위원회 구성이 실무부서의 장으로 구성되어 있어 조직의 중요정보 및 개인정보보호에 관한 사항을 결정할 수 없는 경우 사례 2 : 실무협의체 구성하였으나 장기간 운영 실적이 없는 경우 사례 3 : (개인)정보보호위원회를 개최하였으나, (개인) 정보보호 관한 주요 사항이 검토/의사결정 되지 않은 경우 |
- 실무조직, 정보보호위원회, 정보보호실무협의체 - (개인)정보보호 위원회 규정/회의록 - (개인)정보보호 실무협의체 규정/회의록 - (개인)정보보호 조직도 - 내부관리계획 - 직무 기술서 |
| 1.1.4 범위 설정 | - 결함사례 1. 개발 및 시험 시스템, 외주업체직원 PC, 테스트용 단말기 등이 관리체계 범위에서 누락됨 2. 중요의사결정자(임직원, 사업부서 담당 등)이 인증범위에 누락됨 3. 보안시스템이 인증범위에 누락됨 4. 공개된 일부 웹사이트가 범위에서 누락됨 |
- 핵심서비스, - 예외 사항 근거 관리, - 범위 관련 문서 작성 |
| 1.1.5 정책 수립 | - 인증기준 1. 정책 시행문서 수립, 작성 2. 경영진 승인받아 임직원 및 관련자에게 이해하기 쉬운 형태로 전달 - 준비사항 1. 제/개정 시 이해관계자 검토 회의록 2. 제/개정 공지 내역 (그룹웨어 등) - 결함사항 1. 최근 정책서 개정 시 위원회 안건으로 상정하지 않고 CISO 및 CPO 승인 근거로만 개정 2. 제/개정된 정책 및 지침서가 임직원에게 공유, 전달되지 않음 (게시판, 문서의 방법으로 공유하지 않음) |
정책 시행문서, 경영진 승인, 이해관계자 검토 |
| 1.1.6 자원 할당 | - 인증기준 1. 전문성 갖춘 인력 확보 2. 자원 및 예산 할당 - 준비사항 1. 예산 및 인력 운영 계획 (연간 추진계획서) 2. 투자내역 3. 조직도 - 결함사항 1. 전문성 없는 인력으로 보안조직 구성 2. 최고경영자가 보안 비용 지원하지 않고 위험 수용하는 경우 3. 기존 인력 타부서 배치, 일부 예산 타용도로 사용 |
- 전문성 인력확보, - 예산/인력 지원, - 추진계획 수립 및 결과 분석, 평가 |
| 1.2.1 정보자산 식별 | - 인증기준 1. 정보자산 분류기준 수립 및 범위 내 모든 정보자산 식별 2. 분류기준에 따른 중요도 산정, 최신화 - 준비사항 1. 자산분류기준 2. 자산목록 3. 자산 보안등급 4. 자산 실사내역 5. 위험분석 보고서 (자산식별내역) |
- 정보자산 분류 기준, - 영향도 고려한 중요도 산정 - 정기적 최신화 |
| 1.2.2 현황 및 흐름 분석 | - 인증기준 1. 정보서비스, 개인정보 처리 현황 분석 -> 문서화 2. 주기적 검토 및 최신화 - 결함 사례 1. 흐름도가 실제 개인정보 흐름과 상이하거나 누락 있는 경우 |
- 정보서비스 업무흐름표/흐름도 - 개인정보 흐름표/흐름도(ISMS-P인증의 경우) - 정보서비스 현황표 - 최신화 |
| 1.2.3 위험 평가 | - 인증기준 1. 조직에 적합한 위험평가 방법 선정 -연1회 위험평가 2. 수용할 수 있는 위험은 경영진 승인 받아 관리 - 주요 확인사항 1. 위험관리계획 매년 수립하는지? 2. DoA(목표 위험수준) 정의 및 DoA초과 위험 식별하는지? 3. 위험 식별 및 평가결과 경영진 보고하는지? - 준비사항 1. 위험관리 지침 … - 결함사례 1. 위험관리 계획서에 대상과 방법 정의되어 있으나, 구체적인 실행계획(인력/소요예산 등) 누락되어있는 경우 2. 연 1회 위험평가 수행하여야 하나, 자산변경 없다는 이유로 평가 미수행 3. 범위 내 위험 식별 및 평가 미수행, 법적 요구사항 준수와 관련된 위험 및 식별 평가 미수행 4. DoA(목표 위험수준) 경영진 보고 누락 - 위험평가 방법 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등 - 조직의 미션, Biz목표, 내부자 유출, 해킹, 외부자 관리감독 소홀, 법규 위반, 최신 취약점 및 위협동향 등 다양한 요소 고려 |
- 위험평가 방법론, - 연1회 수행, - DoA, - 경영진 승인 |
| 1.2.4 보호대책 선정 | - 인증기준 1. 보호대책 선정 2. 이행계획 수립 - 경영진 승인 - 결함사례 ★1. 법에 따라 의무적으로 이행하여야 할 사항, 취약성 높은 위험 등을 별도 보호조치 계획 없이 위험수용으로 결정 - 미조치 한 경우 |
- 위험처리(회피, 전가, 감소, 수용) - 이행계획 |
| 1.3.1 관리체계 구현 | - 인증기준 1. 이행계획에 따라 효과적으로 구현 2. 이행결과의 정확성, 효과성 여부 확인 - 주요 확인사항 1. 운영현황을 기록한 운영명세서 작성하고 있는가? - 결함사례 1. (개인)정보보호 이행완료 결과 경영진 보고 누락 2. ‘조치완료’로 명시되어 있으나 관련 위험이 여전히 존재 3. 중장기 분류된 위험들이 미조치 조치기한이 도래하였음에도 미조치, 경영진의 검토 결과 없음 |
- 보호대책 구현 정확성, 효과성, 구체성 - 진척 보고 |
| 1.3.2 관리체계 공유 | - 인증기준 1. 시행부서 파악 - 관련내용 공유/교육 - 주요 확인사항 1. 보호대책 운영 조직/담당자 명확히 파악하고 있는가? 2. 조직/담당자에게 관련 내용 공유 또는 교육하고 있는가? - 결함사례 1. 실제 수행 조직/담당자에게 충분한 공유, 교육하지 않아 해당 내용을 인지하지 못하고 있는 경우 |
- 보호대책 담당자 보호대책 공유&교육 |
| 1.3.3 운영현황 관리 | - 인증기준 1. 상시적/주기적 관리체계 운영활동 수행내역 관리 2. 경영진 확인 - 관련 법규 개인정보 보호법 제31조(개인정보 보호책임자의 지정) 망법 제27조(개인정보 보호책임자의 지정) 망법 제45조의3(정보보호 최고책임자의 지정) - 결함 사례 1. 관리체계 운영 현황 문서화 하지 않은 경우 2. 문서화는 이루어졌으나 운영현황 주기적 검토가 없어 활동 누락 발생되거나 이행여부 확인 불가한 경우 |
- (개인)정보보호 활동 문서화 - 경영진 확인 |
| 1.4.1 법적 요구사항 준수 검토 | - 인증기준 1. 법적 요구사항 주기적 파악 -> 규정반영 2. 준수 여부 지속 검토 - 주요 확인사항 1. 최신성 유지? 2. 법적 요구사항 준수 여부 연1회 검토? - 결함사례 1. 법규 개정사항 검토 미수행 및 내부 규정 미반영 2. 법률 준거성 검토 1년 이상 미수행 3. 개인정보 손해배상책임 보험 미가입 또는 최저가입금액 기준 미준수 4. 정보보호 공시 미수행 |
- 법규 준수(ISMS), - 최신화, - 연1회 검토 |
| 1.4.2 관리체계 점검 | - 인증기준 (생략) - 주요 확인사항 1. 관리체계 점검기준, 범위, 주기, 점검인력 자격 요건 등 포함한 점검계획 수립 2. 연1회 결과 점검 및 경영진 보고 - 결함사례 1. 점검인력에 전산팀 직원 포함되어 있어 독립성 훼손된 경우 2. 점검 범위가 일부 영역에 국한되어 있어 관리체계 범위 미충족 3. 점검 시 발견된 문제점에 대한 조치계획 미수립 또는 조치완료여부 미확인 |
- 인력(독립성, 전문성) - 연1회 경영진 보고 |
| 1.4.3 관리체계 개선 | - 인증기준 (생략) - 주요 확인사항 1. 점검 통해 식별된 관리체계상 문제점 원인분석 및 재발방지 대책 수립-이행 2. 경영진은 개선결과 정확성, 효과성 여부 확인 - 결함 사례 1. 관리체계 운영상 문제점 매번 동일하게 반복 발생 2. 최근 수행된 내부 점검 시 발견된 문제점의 대발방지 대책 수립 미이행 3. 재발방지 대책의 핵심성과지표 마련하여 주기적 측정하나 경영진 보고 누락 |
- 근본원인 - 재발방지 기준 및 절차 |
