- 이행계획에 따른 진행경과에 대하여 정기적으로 완료 여부, 진행 사항, 미이행 또는 지연이 있는 경우 사유 등을 파악하여 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고

  - 경영진은 정보보호 및 개인정보보호 대책이 이행계획에 따라 정확하고 효과적으로 이행되었는지 여부를 검토

  - 미이행, 일정지연 등이 발생한 경우 이에 대한 원인을 분석하여 필요시 이행계획을 변경하고 경영진에게 보고 및 승인

  - 구현 결과에 대한 효과성 및 정확성 검토 결과 적절한 대책으로 판단하기 어렵거나 효과성에 상당한 의문이 제기되는 경우 대안을 수립하거나 추가 위험평가를 통하여 보완할 수 있는 절차 마련

  - 인증기준 선정 여부(Yes/No) 확인 : ‘관리체계 수립 및 운영’ 영역은 필수사항

  - 운영 현황 : 해당기관의 정책 및 인증기준 대비 운영 현황을 상세히 기재

  - 관련문서(정책, 지침 등) : 해당 기준에 해당되는 관련 문서명과 세부 문서번호를 명확히 기재

  - 기록(증적자료) : 관련 문서, 결재 내용, 회의록 등 해당 기준이 실제 운영되는 과정에서 생성되는 문서 또는 증적자료 제시

  - 인증기준 미선정 시 사유 : 인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입

  ※ 보호대책의 운영 또는 시행 부서(예시)

    - 인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리 권한관리 등

    - 개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등

    - 개인정보 취급부서 : 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장시 암호화 등

    - 정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등

    - 인사부서 : 퇴직자 보안관리 등

  - 공유 내용 : 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등

  - 공유 대상 : 해당 정책 지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자

  - 공유 방법 : 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육 등

  ※ 주기적인 정보보호 및 개인정보보호 활동(예시)

    - 주요직무자, 개인정보취급자의 접속기록 검토

    - 주요직무자의 접근권한 검토

    - 정기 정보보호 및 개인정보보호위원회 개최 

    - 정보보호 및 개인정보보호 교육

    - 사무실 보안점검

    - 정보보호 및 개인정보보호 정책· 지침 개정 검토

    - 법적 준거성 검토

    - 침해 대응 모의훈련, IT 재해복구 모의훈련

    - 내부감사 등

  - 관리체계 운영활동이 운영현황표에 따라 주기적· 상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고

  - 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가· 변경· 삭제 등)