1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.5 정책 수립
| 항목 | 상세내용 | |
| 1.1.5 | 정책 수립 |
정보보호와 개인정보보호 정책 및 시행문서를 수립ㆍ작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. |
| 주요 확인사항 | ㆍ조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가? ㆍ정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가? ㆍ정보보호 및 개인정보보호 정책ㆍ시행문서의 제ㆍ개정 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가? ㆍ정보보호 및 개인정보보호 정책ㆍ시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가? |
|
| 관련 법규 | ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행 및 점검) |
|
● 중요사안
- 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하여야 함.
> 최고경영자 등 경영진의 (개인)정보보호에 대한 의지 및 방향
> 조직의 (개인)정보보호 목적, 범위, 책임
> 조직이 수행하는 관리적, 기술적, 물리적 정보보호 및 개인정보보호 활동의 근거
- 정보보호 및 개인정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 및 개인정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 함.
- 개인정보의 기술적ㆍ관리적ㆍ물리적 보호조치 등의 세부사항에 관한 내부관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립ㆍ이행하여야 함.
- 기업의 최상위 문서인 정책/규정/세칙 등은 최고경영자가 승인해야 하며, 지침 및 절차와 같은 정책시행 문서는 최고경영자의 위임을 받은자(일반적으로 CPO, CISO)로부터 승인을 획득해야 함.
- 제ㆍ개정되는 정보보호 및 개인정보보호 정책 및 정책시행 문서(지침, 절차, 매뉴얼, 가이드)에 승인자를 명확히 구분하고 정기적인 검토일정을 수립하여야 함.
- 정보보호 및 개인정보보호 정책 및 시행문서의 제ㆍ개정 시 그 내용과 시행사실을 관련 임직원이 알 수 있도록 교육 및 메일, 게시판 등을 활용하여 공표해야 함.
- 정보보호 및 개인정보보호 정책 및 정책시행 문서를 관련 임직원이 용이하게 참고할 수 있는 형태(예 : 전자게시판, 책자, 교육자료 등)로 전달하여야 하며 최신 정책 및 정책시행 문서를 언제든지 확인할 수 있도록 해야 함.
● 점검 체크리스트
- 회사의 정보보호 및 개인정보보호 활동 근거가 될 수 있는 내부 정책문서가 존재하는가?
- 관련 법령근거를 토대로 정보보호 및 개인정보보호 관련 내부 정책문서를 주기적으로 검토하고 있는가?
- 정보보호 및 개인정보보호 관련 내부 정책문서의 제ㆍ개정 시 경영진을 포함한 정보보호 및 개인정보보호 전담조직의 승인을 받고 있는가?
- 정보보호 및 개인정보보호 관련 내부 정책문서의 제ㆍ개정 시 그 이력을 유지하고 있는가?
- 정보보호 및 개인정보보호 관련 내부 정책문서는 전 임직원에게 공개하고 있는가?
● 기록(증적자료)
- 정보보호 및 개인정보보호 관련 내부 정책문서(최상위 정책 및 하위 정책, 지침 등)
- 정보보호 및 개인정보보호 관련 내부 정책문서의 검토 및 제ㆍ개정 시 경영진의 승인 이력
- 정보보호 및 개인정보보호 관련 내부 정책문서 제ㆍ개정 신구조문대비표
- 정보보호 및 개인정보보호 관련 내부 정책문서 공개 현황
● 주요 결함사례
- 정보보호 및 개인정보보호 관련 지침들은 마련되어 있으나 정보보호 및 개인정보보호 활동의 근거가 되는 최상위 수준의 정책이 마련되어있지 않은 경우
- 정보보호 및 개인정보보호 관련 정책문서를 주기적으로 검토한 이력이 없는 경우
- 정보보호 및 개인정보보호 관련 정책문서의 제ㆍ개정 이력이 존재하나 최고경영자의 승인을 받지 않은 경우
- 정보보호 및 개인정보보호 관련 내부 정책문서 제ㆍ개정 이력이 존재하나 상세한 이력현황을 유지하지 않은 경우
- 정보보호 및 개인정보보호 관련 내부 정책문서가 최근 개정되었으나, 해당 내용이 전 임직원에게 공유되지 않은 경우
- 정보보호 및 개인정보보호 관련 내부 정책문서를 관리부서에서만 관리하고 있고, 전 임직원이 열람할 수 있도록 게시판 등에 공유하지 않은 경우
'보안담당자로 살아가기 > ISMS(정보보호관리체계)' 카테고리의 다른 글
| ISMS(정보보호관리체계) 인증 기준 1.2.1 정보자산 식별 (0) | 2023.08.10 |
|---|---|
| ISMS(정보보호관리체계) 인증 기준 1.1.6 자원 할당 (0) | 2023.08.10 |
| ISMS(정보보호관리체계) 인증 기준 1.1.4 범위 설정 (0) | 2023.07.31 |
| ISMS(정보보호관리체계) 인증 기준 1.1.3 조직 구성 (0) | 2023.07.26 |
| ISMS인증심사 수행 (0) | 2023.07.26 |