‘관리체계 수립 및 운영’ 영역은 관리체계 기반 마련, 관리체계 운영, 관리체계 점검 및 개선의 4개 분야 16개 인증기준으로 구성되어 있다. 이러한 관리체계 수립 및 운영은 정보보호 및 개인정보보호 관리체계를 운영하는 동안 Plan, Do, Check, Act의 사이클에 따라 지속적이고 반복적으로 실행되어야 한다.
관리체계 수립 및 운영 인증기준
| 분야 (4) | 항목 (16) |
|---|---|
| 1.1 관리체계 기반 마련 | 1.1.1 경영진의 참여 |
| 1.1.2 최고책임자의 지정 | |
| 1.1.3 조직 구성 | |
| 1.1.4 범위 설정 | |
| 1.1.5 정책 수립 | |
| 1.1.6 자원 할당 | |
| 1.2 위험 관리 | 1.2.1 정보자산 식별 |
| 1.2.2 현황 및 흐름분석 | |
| 1.2.3 위험 평가 | |
| 1.2.4 보호대책 선정 | |
| 1.3 관리체계 운영 | 1.3.1 보호대책 구현 |
| 1.3.2 보호대책 공유 | |
| 1.3.3 운영현황 관리 | |
| 1.4 관리체계 점검 및 개선 | 1.4.1 법적 요구사항 준수 검토 |
| 1.4.2 관리체계 점검 | |
| 1.4.3 관리체계 개선 |