2.1.1. 정책의 유지관리
정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제· 개정하고 그 내역을 이력관리하여야 한다.
1. 정보보호 및 개인정보보호 관련 정책 및 시행문서(지침, 절차, 가이드 문서 등)에 대한 정기적인 타당성 검토 절차를 수립·이행하고 필요시 관련 정책 및 시행문서를 제· 개정 하고 있는가? (개정 23.11.23.)
(간편인증-7의3) 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립∙이행하고 있는가?
상세 기준 ▶
- 정보보호 및 개인정보보호 관련 정책과 시행문서의 정기 타당성 검토 절차 수립
※ 정기 타당성 검토 절차에 포함되어야 할 사항(예시)
- 검토 주기 및 시기 : 연 1회 이상 검토 필요
- 관련 조직 별 역할 및 책임
- 담당 부서 및 담당자
- 검토 방법
- 후속조치 절차 : 정책 및 시행문서 제· 개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차 등
- 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 다음의 사항을 고려하여 타당성 검토 수행
: 상위조직 및 관련기관의 정보보호 및 개인정보보호 정책과의 연계성 등을 분석하여 상호 부합되지 않은 요소 존재 여부, 정책 간 상하체계 적절성 여부 검토
: 정보보호 및 개인정보보호 활동의 주기, 수준, 방법 등 문서 간의 일관성 유지 여부 검토
: 정보보호 및 개인정보보호 관련 법규 제· 개정사항(예정 사항 포함) 발생 여부 및 이러한 사항이 정책과 시행문서에 적절히 반영되었는지 여부 검토
: 위험평가 및 관리체계 점검 결과 반영
: 새로운 위협 및 취약점 발견, 비즈니스 환경의 변화, 신기술의 도입 등 IT 환경의 변화, 정보보호 및 개인정보보호 환경의 변화 등 반영
2. 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제·개정하고 있는가? (간편인증-7의3)
상세 기준 ▶
- 정보보호 및 개인정보보호 관련 법규 제· 개정
- 비즈니스 환경의 변호(신규 사업 영역 진출, 대규모 조직개편 등)
- 정보보호, 개인정보보호 및 IT 환경의 중대한 변화(신규 보안시스템 또는 IT 시스템 도입 등)
- 내·외부의 중대한 보안사고 발생
- 새로운 위협 또는 취약성의 발견 등
(가상자산사업자) 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?
상세 기준 ▶
- 중대한 변화 예시
: 가상자산의 핫 - 콜드 월렛 보유액 비율 변경
: 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
3. 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 이해 관계자와 해당 내용을 충분히 협의·검토 하고 있는가?의 검토를 받고 있는가? (개정 23.11.23.) (간편인증-7의3)
상세 기준 ▶
- 정보보호 최고책임자 및 개인정보 보호책임자, 정보보호 및 개인정보보호 관련 조직, IT 부서, 중요정보 및 개인정보 처리부서, 중요정보취급자 및 개인정보취급자 등 이해관계자 식별 및 협의
- 정보보호 및 개인정보보호 관련 정책 및 시행문서 변경으로 인한 업무 영향도, 법적 준거성 등을 고려
- 회의록 등 검토 사항에 대한 증적을 남기고 정책· 지침 등에 관련 사항 반영
4. 정보보호 및 개인정보보호 관련 정책 및 시행문서의 변경사항(제정, 개정, 배포, 폐기 등)에 대하여 이력 관리를 하고 있는가?제·개정 내역에 대하여 이력관리를 하고 있는가? (개정 23.11.23.) (간편인증-7의3)
상세 기준 ▶
- 문서 내에 문서버전, 일자, 개정 사유, 작성자 승인자 등 개정이력을 기록하여 관리
- 관련 임직원들이 항상 최신본을 참조할 수 있도록 배포 및 관리
운영 내역(증적) 예시
- 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
- 정책·지침 정기·비정기 타당성 검토 결과
- 정책·지침 관련 부서와의 검토 회의록, 회람내용
- 정책·지침 제 개정 이력
** 인증심사 결함사항 예시 **
- 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
- 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우
- 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
- 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정 하지 않은 경우
- 개인정보보호 정책이 개정 되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책 의 작성일자 작성자 및 승인자 등이 누락되어 있는 경우
2.1.2. 조직의 유지관리
조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
1. 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로명확히 정의하고 있는가? (개정 23.11.23.) (간편인증-7의3)
상세 기준 ▶
- 정보보호 최고책임자 및 개인정보 보호책임자
- 정보보호, 개인정보보호 관리자 및 담당자
- 부서별 정보보호, 개인정보보호 책임자 및 담당자
- 정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행
: 정보보호 최고책임자: 정보보호 관리체계의 수립·시행 및 개선, 정보보호 실태와 관행의 정기적인 감사 및 개선, 정보보호 위험의 식별 평가 및 정보보호 대책 마련, 정보보호 교육과 모의 훈련 계획의 수립 및 시행, 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
: 개인정보 보호책임자: 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 개인정보 처리와 관련한 불만의 처리 및 피해 구제, 개인정보 유출 및 오·남용 방지를 위한 내부 통제시스템의 구축, 개인정보 보호 교육 계획의 수립 및 시행, 개인정보파일의 보호 및 관리·감독, 개인정보 처리방침의 수립·변경 및 시행, 개인정보보호 관련 자료의 관리, 처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기
- 정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보 보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의
2. 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? (간편인증-7의3)
상세 기준 ▶
- 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보 보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가
3. 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립· 이행하고 있는가? (간편인증-7의3)
상세 기준 ▶
- 정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행
※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)
- 의사소통 관리 계획 개요 : 목적 및 범위
- 의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
- 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
- 의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등
운영 내역(증적) 예시
- 정보보호 및 개인정보보호 조직도
- 정보보호 및 개인정보보호 조직 직무기술서
- 정보보호 및 개인정보보호 업무 분장표
- 정보보호 및 개인정보보호 정책·지침, 내부관리계획
- 정보보호 및 개인정보보호 의사소통 관리계획
- 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
- 의사소통 채널(정보보호포털, 게시판 등)
** 인증심사 결함사항 예시 **
- 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나 실제 운영현황과 일치하지 않는 경우
- 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
- 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
- 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
2.1.3. 정보자산 관리
정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립· 이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
1. 정보자산의 보안등급에 따른 취급절차(생성· 도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? (간편인증-7의3)
상세 기준 ▶
- 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
: (전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
: 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
- 정보자산 보안등급별로 취급절차(생성· 도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립· 이행
2. 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리· 운영하는 책임자 및 관리자(또는 담당자)를 지정하고 있는가? (개정 23.11.23.) (간편인증-7의3)
상세 기준 ▶
- 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록- 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입· 변경· 폐기 등으로 정보자산 현황이 변경될 경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영
운영 내역(증적) 예시
- 정보자산 목록(책임자, 담당자 지정)
- 정보자산 취급 절차(문서, 정보시스템 등)
- 정보자산 관리 시스템 화면
- 정보자산 보안등급 표시 내역
** 인증심사 결함사항 예시 **
- 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
- 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나 보안등급에 따른 취급절차를 정의하지 않은 경우
- 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
(CELA)정보 자산의 중요도 평가 결과가 중요도 평가 기준과 맞지 않은 경우