주요사항
보호대책 이행결과 경영진 보고, 정확성·효과성 확인, 구체적 운영명세서 관리(구현 및 운영현황)
인증기준
선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
확인사항
- 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
- 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?
결함사례
- 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우
- 위험조치 이행결과보고서는 ‘조치 완료’로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
- 전년도 정보보호대책 이행계획에 따라 중장기로 분류된 위험들이 해당년도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
- ISMS(ISMS-P) 운영명세서
인증 항목목 별
- 운영여부
- 운영여부에 따른 Y/N 선택(Y: 운영하고 있음, N: 운영하고 있지 않음, N/A: 해당사항 없음)
- 인증구분
- ISMS, ISMS-P, ISMS&ISMS-P 인증의 구분자 표시
- 운영현황
- 인증기준의 통제항목이 아닌 각 점검항목 수준으로 운영하고 있는 내용을 육하원칙으로 상세히 기재
- 인증기준 대한 구축 및 실제 운영내용을 요약하여 작성하되 구축의 특성 및 정당성을 파악할 수 있도록 인증기준보다 상세히 작성
- 운영하지 않는 경우 위험관리(위험평가 및 처리)의 결과 및 분석에 따른 미선택의 사유를 반드시 작성
- 관련문서
- 인증기준을 만족하는 내용이 포함되어있는 기관의 문서(정책, 규정, 지침, 절차, 매뉴얼 등)의 제목을 작성하되 문서 내 부분에 해당할 경우 장, 절, 조 등을 상세하게 표시
- 기록
- 인증기준에 따른 운영기록(증적자료)의 제목(파일명) 및 번호를 작성.
통제사항에 관련된 위험분석결과, 계획, 취약점분석관련 자료도 기록하여 운영명세서를 통해 관련내용을 확인할 수 있도록 함.
관련증적이 시스템으로 관리되는 경우 해당 시스템 위치, 시스템명 및 관련 메뉴를 작성
스와이프(Swipe)로 이전/다음 항목으로 이동