ISMS(정보보호관리체계) 인증 기준 1.4.2 관리체계 점검

1. 관리체계 수립 및 운영 > 1.4 관리체계 점검 및 개선 > 1.4.2 관리체계 점검

항목		상세내용
1.4.2	관리체계 점검	관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
주요 확인사항		ㆍ법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가? ㆍ관리체계 점검 계획에 다라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
관련 법규		ㆍ개인정보보호법 제31조(개인정보 보호책임자의 지정) ㆍ개인정보의 안전성 확보조기 기준 제4조(내부관리계획의 수립ㆍ시행) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)

 

● 중요사안

- 법적 요구사항 및 조직 내 수립된 정보보호 및 개인정보보호 정책에 따라 정보보호 및 개인정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 점검(감사)지침을 수립하여야 한다.

   > 점검(감사) 기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함

   > 점검(감사) 범위 : 정보보호 및 개인정보보호 관리체계 인증범위 포함

   > 점검(감사) 수행 주기 : 연 1회 이상

   > 점검(감사) 인력 자격요건 : 점검의 객관성 독립성 및 전문성을 확보할 수 있도록 자격요건 정의

- 점검 지침에 따라 연 1회 이상 점검이 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 점검을 수행하여야 한다.

- 점검 중 지적사항이 발견된 경우 일정기간 동안 피점검 대상 부서 혹은 담당자가 대책을 마련하여 보완하게 한 후 보완조치 여부를 확인하여야 한다.

- 점검결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진 등에게 보고하여야 한다.

   > 점검 일정, 기준, 범위 및 인력

   > 점검 내용(점검 방법, 검토 문서, 면담자 등)

   > 지적사항 및 보완조치 내용(보완조치 완료 여부, 대책 등 포함) 등

 

 

● 운영현황

- 정보보호 내부감사의 기준, 범위, 주기, 인력 등을 정하여 계획을 수립하고 있으며, 내부감사 결과 도출된 미흡사항은 위험분석ㆍ평가를 거쳐 개선 과제를 수립하고, 정보보호위원회 및 대표이사의 승인을 득하고 있음

 

 

● 기록(증적자료)

- 정보보호 내부감사 결과

- 위험분석 및 개선대책 보고서

- 정보보호위원회 회의록

- 경영진 승인 문서