ISMS(정보보호관리체계) 인증 기준 1.3.1 보호대책 구현

1. 관리체계 수립 및 운영 > 1.3 관리체계 운영 > 1.3.1 보호대책 구현

항목		상세내용
1.3.1	보호대책 구현	선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
주요 확인사항		ㆍ이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? ㆍ관리체계 인증기준별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?
관련 법규

 

● 중요사안

- 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진은 보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는지 여부를 검토 및 확인하여야 한다.

- 정보보호 및 개인정보보호 운영명세서(대책명세서)는 정보보호 및 개인정보보호 관리체계 인증기준에서 제시하는 102개 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다.

   > 통제항목 선정여부(Yes/No) 확인 : 관리체계 수립 및 운영 16개 통제항목은 필수사항

   > 운영 현황

   > 관련문서(정책, 지침 등)

   > 기록(증적자료)

   > 통제항목 미선정 시 사유

- 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다.

 

 

● 운영현황 확인

- 인증범위에 포함되는 자산의 안전한 보호대책을 명시한 문서 확인

- 식별된 위험의 분석ㆍ평가 결과 문서 확인

- 수립된 개선과제별 조치기한에 따라 이행점검을 시행하고, 그 결과를 경영진의 의사결정이 반영되었는지 확인

 

 

● 기록(증적자료)

- 인프라자산 취약점 진단 결과 보고서

- 위험분석 및 개선대책 보고서

- 내부감사 이행계획서 및 결과보고서