- 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악

    ※ 정보보호 및 개인정보보호 관련 법률(예시)

      - 정보통신망 이용촉진 및 정보보호 등에 관한 법률

      - 개인정보 보호법

      - 신용정보의 이용 및 보호에 관한 법률

      - 위치정보의 보호 및 이용 등에 관한 법률 

      - 전자금융거래법

      - 전자상거래 등에서의 소비자보호에 관한 법률

      - 저작권법

      - 정보통신기반 보호법

      - 전자서명법

      - 산업기술의 유출방지 및 보호에 관한 법률

      - 부정경쟁방지 및 영업비밀보호에 관한 법률

      - 정보보호산업의 진흥에 관한 법률

      - 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률

      - 전자정부법

      - 소프트웨어 진흥법

      - 통신비밀보호법

      - 전기통신사업법 등

  - 관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책· 지침 및 체크리스트 등에 반영하여 최신성을 유지

  - 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 관련 법률

    : 특정 금융거래정보의 보고 및 이용 등에 관한 법률

    : 전자금융거래법

    : 정보통신망 이용촉진 및 정보보호 등에 관한 법률

    : 개인정보 보호법 등

  - 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등) 및 이행

  - 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치

  - 점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함

  - 점검범위 : 전사 또는 인증범위 포함

  - 점검주기 : 최소 연 1회 이상 수행 필요

  - 점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의

  - 점검 계획에 따라 연 1회 이상 점검 수행

  - 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고 조치 완료여부에 대하여 추가 확인 

  - 점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고

  - 임직원 정보보안 인식 강화 및 보안사고 예방을 위한 매분기 전사적 정보보안점검의 날을 지정하여 점검 실시※ 재발방지 및 개선조치 관련 보안성과지표(예시)

  - 식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석

  - 근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책을 수립· 이행하여야 한다.

    ※ 재발방지 대책(예시)

      - 정보보호 및 개인정보보호 정책·지침·절차 개정

      - 임직원 및 외부자에 대한 교육 강화 또는 개선

      - 이상행위 등에 대한 모니터링 강화

      - 정보보호 및 개인정보보호 운영 자동화(계정관리 등)

      - 정보보호 및 개인정보보호 관련 검토·승인 절차 개선

      - 내부점검 체크리스트 또는 방식 개선 등

  - 수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시

  - 재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 관리체계 측면에서의 핵심성과지표(보안성과지표) 도출

    ※ 재발방지 및 개선조치 관련 보안성과지표(예시)

      - 보안 정책· 지침 위반을(외부 전송규정 위반율, 보안우회 시도율 등)

      - 보안 예외 승인 건수

      - 보안 프로그램 설치율

      - 악성프로그램 감염률

      - 자가점검 수행율 등

  - 핵심성과지표(보안성과지표)에 대한 측정 및 모니터링 절차 수립· 이행

  - 재발방지 및 개선조치의 정확성· 효과성에 대한 확인 및 측정 결과는 경영진에게 보고