728x90
반응형
SMALL
1.1.1 경영진의 참여 | |
(권장절증) 경영진or권한위임자 참여 장기간 관련 보고 안함 참여할수 있는 절차 수립 참여를 명시한 정책or문서 증적 |
1.1 관리체계 기반 마련 - 경최조범정자 |
사례 2 : 중요 정보보호 활동을 수행하면서 관련 활동 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않는 경우 사례 1 : 정보보호및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우 기타 : 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고,검토 및 승인절차가 수립되지 않았다. 기타 : 경영진의 정보보호및 개인정보보호 업무에 참여를 명시한 정책 또는 문서화된 증적이 없다. |
1.1.3 조직 구성 | |
(경실의명) 위원회에 경영진 포함안되어있음 실무협의체의 운영실적이 없음 위원회 개최했으나 의사결정이 안됨 조직의 구성.운영에 관해 정책서에 명시안됨 |
1.1 관리체계 기반 마련 - 경최조범정자 |
사례 1 : 정보보호 및 개인정보보호 위윈회를 구성하였으나 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요정보 및 개인정보보호에 관한 사항을 결정할 수 없는 경우 사례 2: 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무협의체를 구성하였으나, 장기간 운영실적이 없는 경우 사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나 주요 사항이 검토 및 의사결정이 되지 않은 경우 기타 : 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO), 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보호보 조직의 구성.운영 관련 사항이 정책서에 명시되지 않았다. 단, 구성원이 IT관련 전문성이 꼭 있어야 하는 것은 아니다. |
1.1.4 범위 설정 | |
(개핵보웹) | 1.1 관리체계 기반 마련 - 경최조범정자 |
1. 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험시스템, 외주업체직원, PC, 단말기 등이 관리체계 범위에서 누락됨. 2. 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심조직(인력)을 인증범위에 포함하지 않은 경우 3. 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템 (PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우 4. 정보보호 관리체계 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에 누락된 경우 |
1.1.5 정책 수립 | |
(의전공열내 - 의결,전달,공유,열람,내부관리계획) | 1.1 관리체계 기반 마련 - 경최조범정자 |
1. 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제.개정시는 정보보호 및 개인정보보호위원회의 의결 을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보보호책임자의 승인을 근거로만 개정한 경우 2. 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나 해당 사항이 관련 부서 및 임직원에게 전달(공유)되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우 3. 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람할수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우 기타 : 50만명 이상의 정보주체에 대한 개인정보를 보유하고 있는 중견기업에서 개인정보 관련 내규 및 내부관리계획을 수립하였으나 관련법규에서 요구하는 내부관리계획요건이 포함되어 있지 않다. 기타 : 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위 등의 정책이 수립되지 않았다. |
1.1.6 자원 할당 | |
(전비예 - 전문,비용,예산) | 1.1 관리체계 기반 마련 - 경최조범정자 |
사례 1 : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우 사례 2 : 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용 을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 사례 3 : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우 |
1.2.1 정보자산 식별 | |
(누락 불일치) | 1.2 위험관리 - 자현위선 |
사례 1 : 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우 사례 2 : 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 사례 3 : 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우 기타 : 회원DB서버에 대해서는 중요도를 3으로 식별했으나 회원DB서버에 대한 백업서버에 대해서는 중요도를 2로 평가한 경우 (둘다 같은 중요도로 식별해야 한다.) |
1.2.2 현황 및 흐름분석 | |
1.2 위험관리 - 자현위선 | |
사례 1 : 관리체계 범위 내 주요 서비스의 업무 절차․흐름 및 현황에 문서화가 이루어지지 않은 경우 사례 2 : 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우 사례 3 : 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우 |
1.2.3 위험 평가 | |
1.2 위험관리 - 자현위선 | |
사례 1 : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우 사례 2 : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우 사례 3 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가 하지 않은 경우 사례 4 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우 |
1.2.4 보호대책 선정 | |
(이이미) 이행계획 수립 보고 이행계획 누락 미이행건 조치 |
1.2 위험관리 - 자현위선 |
위험처리 : 회피,전가,감소,수용 사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우 사례 2 : 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우 사례 3 : 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우 |
1.3.1 보호대책 구현 | |
1.3 관리체계 운영 - 구공운 | |
사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자 에게 보고하지 않은 경우 사례 2 : 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우 사례 3 : 전년도 정보보호대책 이행계획에 따라 중․장기로 분류된 위험들이 해당년도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우 |
1.3.2 보호대책 공유 | |
1.3 관리체계 운영 - 구공운 | |
사례 1 : 정보보호대책을 마련하여 구현하고 있으나 관련 내용을 충분히 공유․교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우 |
1.3.3 운영현황 관리 | |
(문검보) 요구되는 활동 문서화 문서화한 활동을 하고 있는지 검토 활동결과 보고서 작성 |
1.3 관리체계 운영 - 구공운 |
사례 1 : 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우 사례 2 : 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월간 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우 기타 : 사이버보안의날을 지정하여 개인PC 보안항목 점검을 하고 있으나 점검결과에 대해 지적하고 조치할 뿐 따로 점검결과 보고서를 작성하지는 않는다. |
1.4.1 법적 요구사항 준수 검토 | |
1.4 관리체계 점검 및 개선 - 법점개 | |
사례 1 : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치하지 않은 경우 사례 2 : 조직에서 준수해야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우 사례 3 : 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우 |
1.4.2 관리체계 점검 | |
독범발확 | 1.4 관리체계 점검 및 개선 - 법점개 |
사례 1 : 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성 이 훼손된 경우 사례 2 : 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보 보호 관리체계 범위를 충족하지 못한 경우 사례 3 : 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료여부를 확인하지 않은 경우 |
1.4.3 관리체계 개선 | |
반재보 | 1.4 관리체계 점검 및 개선 - 법점개 |
사례 1 : 내부점검을 통해 발견된 정보보호 및 개인정보보호 관리체계 운영상의 문제점이 매번 동일하게 반복 되어 발생되는 경우 사례 2 : 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우 사례 3 : 관리체계 상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하 고 있으나, 그 결과에 대해 경영진 보고가 장기간 이루어지지 않은 경우 |
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
ISMS-P 결함사례 (3/7) (0) | 2021.01.27 |
---|---|
ISMS-P 결함사례 (2/7) (0) | 2021.01.25 |
ISMS-P 유사 인증기준 항목 비교 (2/2) (0) | 2021.01.21 |
ISMS-P 유사 인증기준 항목 비교 (1/2) (0) | 2021.01.19 |
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3) (0) | 2021.01.17 |