ISMS(정보보호관리체계) 인증 기준 1.4.3 관리체계 개선

1. 관리체계 수립 및 운영 > 1.4 관리체계 점검 및 개선 > 1.4.3 관리체계 개선

항목		상세내용
1.4.3	관리체계 개선	법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립ㆍ이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
주요 확인사항		ㆍ법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립ㆍ이행하고있는가? ㆍ재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?
관련 법규		ㆍ개인정보보호법 제31조(개인정보 보호책임자의 지정) ㆍ개인정보의 안전성 확보조기 기준 제4조(내부관리계획의 수립ㆍ시행) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)

 

● 중요사안

- 법적 요구사항 준수 검토 및 관리체계 점검에서 식별된 관리체계상의 문제점에 대한 원인을 분석한다.

- 식별된 관리체계 상의 문제점이 재발되지 않고 개선되도록 대책을 수립하고 이행한다.

- 문제점의 재발방지와 개선 조치의 정확성 및 효과성 여부를 확인하기 위해 정보보호 및 개인정보보호 관련 정책에 절차를 마련하고 수행한다.

- 보안감사 수행 결과를 제3자도 쉽게 이해할 수 있게 명료한 사실과 근거를 기반으로 감사결과 보고서를 작성한다.

- 감사결과보고서에 대한 의견을 수렴하고, 시정 조치 계획서 수립 및 송부를 요청한다.

- 송부받은 시정 조치 내용을 분석하고 적정성을 판단한다.

- 사실 기반의 시정 조치 내용 확인을 위한 현장 점검 계획을 수립한다.

- 시정 조치 결과 확인 및 감사 수행 관련 학습 교훈을 감사 책임자에게 보고하고 이해 관계자와 공유한다.

 

 

● 운영현황

- 정보보호 내부감사의 기준, 범위, 주기, 인력 등을 정하여 계획을 수립하고 있으며, 내부감사 결과 도출된 미흡사항은 위험분석ㆍ평가를 거쳐 개선 과제를 수립하고, 정보보호위원회 및 대표이사의 승인을 득하고 있음

 

 

● 기록(증적자료)

- 정보보호 내부감사 결과

- 위험분석 및 개선대책 보고서

- 정보보호위원회 회의록

- 경영진 승인 문서