주요사항

보호대책 이행결과 경영진 보고, 정확성·효과성 확인, 구체적 운영명세서 관리(구현 및 운영현황)

인증기준

선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.

확인사항

  • 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
  • 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?

결함사례

  • 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우
  • 위험조치 이행결과보고서는 ‘조치 완료’로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
  • 전년도 정보보호대책 이행계획에 따라 중장기로 분류된 위험들이 해당년도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
  • ISMS(ISMS-P) 운영명세서
    인증 항목목 별
    1. 운영여부
      • 운영여부에 따른 Y/N 선택(Y: 운영하고 있음, N: 운영하고 있지 않음, N/A: 해당사항 없음)
    2. 인증구분
      • ISMS, ISMS-P, ISMS&ISMS-P 인증의 구분자 표시
    3. 운영현황
      • 인증기준의 통제항목이 아닌 각 점검항목 수준으로 운영하고 있는 내용을 육하원칙으로 상세히 기재
      • 인증기준 대한 구축 및 실제 운영내용을 요약하여 작성하되 구축의 특성 및 정당성을 파악할 수 있도록 인증기준보다 상세히 작성
      • 운영하지 않는 경우 위험관리(위험평가 및 처리)의 결과 및 분석에 따른 미선택의 사유를 반드시 작성
    4. 관련문서
      • 인증기준을 만족하는 내용이 포함되어있는 기관의 문서(정책, 규정, 지침, 절차, 매뉴얼 등)의 제목을 작성하되 문서 내 부분에 해당할 경우 장, 절, 조 등을 상세하게 표시
    5. 기록
      • 인증기준에 따른 운영기록(증적자료)의 제목(파일명) 및 번호를 작성.
        통제사항에 관련된 위험분석결과, 계획, 취약점분석관련 자료도 기록하여 운영명세서를 통해 관련내용을 확인할 수 있도록 함.
        관련증적이 시스템으로 관리되는 경우 해당 시스템 위치, 시스템명 및 관련 메뉴를 작성