정보보호 내부감사

1. 개요

- 회사의 정보보호관리체계(ISMS) 운영현황과 정보보호 관련 법류의 준수여부를 점검하고, 미흡사항을 도출하여 개선하기 위함

 

 

2. 근거

§ 전자금융감독규정 제37조의2

§ 정보보호 관리체계(ISMS) 1. 관리체계 수립 및 운영 > 1.4 관리체계 점검 및 개선

 

 

3. 점검사항

구분	항목수	점검 영역
정보보호 관리체계(ISMS)	80	ㆍ관리체계 수립 및 운영 ㆍ보호대책 요구사항
개인정보보호	110	ㆍ개인정보 보호조치 ㆍ개인정보 생명주기 ㆍ개인정보 내부관리계획
전자금융분야 취약점 분석ㆍ평가 기준 (관리적 보아)	280	ㆍ정보보호 정책 ㆍ정보보호 조직 ㆍ인적 보안 ㆍ물리적ㆍ환경적 보안 ㆍ운영 관리 ㆍ접근통제 ㆍIT도입ㆍ개발ㆍ유지보수 관리 ㆍ업무 지속성 관리 ㆍ전자금융거래 보안 ㆍ외주부문 보안 ㆍ보안사고 대응
전자금융분야 취약점 분석ㆍ평가 기준 (네트워크 인프라)	19	ㆍ네트워크 인프라 부문

 

 

4. 절차

① 내부감사 수행 인력 구성

    - 정보보호 업무수행 인력

 

② 내부감사 수행 범위 식별

    - 전자금융기반시설에 속하는 내·외부 임직원, 시설 및 설비, 정보자산, 이용자 정보 등을 모두 포함

 

③ 내부감사 수행 기준 선정

구분	내용
정보보호관리체계(ISMS) 통제항목 점검	1.2.3 위험평가	- 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? - 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가? - 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가? - 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가? - 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
	1.4.1 법적 요구사항 준수 검토	- 조직이 준수하여야 하는 정보보호 및 개인(신용)정보보호 관련 법적 요구사 항을 파악하여 최신성을 유지하고 있는가? - 법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가? - 경영진은 전자금융거래 안정성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 정기적으로 검토하고 최고경영자에게 보고하고 있는가?
	1.4.2 관리체계 점검	- 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기,점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가? - 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
개인정보의 안전성 확보조치 기준	제4조 내부 관리계획의 수립·시행	④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다.

 

④ 내부감사 수행 일정 계획

- 1개월

 

⑤ 내부감사 계획 공지

- 정보보호 최고책임자에게 보고 및 승인

 

⑥ 증적 서면검토, 업무담당자 인터뷰, 시스템 및 설비의 현장 실사 수행

 

⑦ 점검간 도출된 미흡사항 개선과제 수립