주요사항

중대한 환경 변화시 제·개정, 정기적 타당성검토, 정책-시행문서 일관성 확보, 이력관리, 이해 관계자 검토

인증기준

정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.

확인사항

  • 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립·이행하고 있는가?
  • 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제·개정하고 있는가?
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 이해 관계자의 검토를 받고 있는가?
  • 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 내역에 대하여 이력 관리를 하고 있는가?

가상자산 사업자 확인사항

  • 조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제·개정하고 있는가?
    * 중대한 변화 예시 :
    - 가상자산의 핫-콜드 월렛 보유액 비율 변경
    - 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설

결함사례

  • 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
  • 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
  • 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위해 DB 접근통제 솔루션을 신규로 도입하여 운영하고 있으나 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
  • 개인정보보호 정책이 개정 되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책 의 작성일자 작성자 및 승인자 등이 누락되어 있는 경우
  • 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정 하지 않은 경우