ISMS(정보보호관리체계) 인증 기준 2.1.1 정책의 유지관리

2. 보호대책 요구사항 > 2.1 정책, 조직, 자산 관리 > 2.1.1 정책의 유지관리

항목		상세내용
2.1.1	정책의 유지관리	정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 추가적으로 검토하여 필요한 경우 제ㆍ개정하고 그 내역을 이력관리하여야 한다.
주요 확인사항		ㆍ정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립ㆍ이행하고있는가? ㆍ조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가? ㆍ정보보호 및 개인정보보호 관련 정책 및 시행문서의 제ㆍ개정 시 이해 관계자의 검토를 받고 있는가? ㆍ정보보호 및 개인정보보호 관련 정책 및 시행문서의 제ㆍ개정 내역에 대하여 이력 관리를 하고 있는가?
관련 법규

 

● 중요사안

- 다음과 같은 상황이 발생한 경우를 포함하여 주기적으로 정보보호정책 및 정책시행 문서의 타당성을 검토하여 제ㆍ개정을 통해 관련 문서에 반영하여야 한다.

   > 주기적인 정보보호정책/지침 타당성 검토의 경우(예시)

      ㆍ개인정보 및 정보보호 관련 법령 제ㆍ개정

      ㆍ내부감사 수행 결과

      ㆍ중대한 보안사고 발생

      ㆍ새로운 위협 또는 취약점 발견

      ㆍ정보보호 환경의 중대한 변화

      ㆍ조직 사업 환경의 변화(예 : 신규사업)

      ㆍ정보시스템 환경의 중대한 변경(예 : 차세대 시스템 구축)

   > 보안점검, 내부감사 결과 분석 등을 통해 정책, 정책시행 문서에 규정하고 있는 정보보호 활동의 주기, 방법 등이 적절한 지 정기적으로 검토하여야 하며 필요한 경우 제ㆍ개정을 통해 문서에 반영하여야 한다.

- 정보보호정책 및 지침/절차 등의 문서는 최신본으로 유지하여야 한다.

- 인증신청 기관이 대기업일 경우, 대기업 지주회사의 정보보호정책을 따르고, 인증신청기관이 공공기관일 경우, 상위기관을 따르게 된다.

- 정책과 지침간의 정합성을 일치시키도록 한다.

- 선언적 의미를 가지고 있는 상위 정보보호정책의 내용을 자세하게 풀어놓은 정보보호 지침, 절차, 매뉴얼, 가이드 등을 수립하여 실제 정보보호 활동을 할 수 있도록 해야 한다.

- 상위 정책과 하위 지침 및 절차에 명시된 내용이 일관성 있어야 한다.

- 정보보호정책/지침의 제ㆍ개정 시 관련 이력(변경일, 변경사유, 변경내용, 작성자, 승인자 등)을 확인할 수 있어야 한다.

- 정보시스템 운영을 외부에 위탁하는 경우 외부 아웃소싱 업체가 정보시스템 운영절차(매뉴얼)를 수립하고 이에 따라 운영을 하도록 계약서에 관련 내용을 명시해야 한다.

 

 

● 운영현황

- 정보보호정책은 회사가 영위하는 서비스 범위의 적용받는 법규를 고려하여 작성되었으며 회사의 정보보호조직 및 활동은 독립적으로 운영되고 있음.

- 위험관리과정에서 정보보호 관련 법규, 서비스 운영환경 등을 고려하여 정책의 미흡사항을 식별하고 있으며, 개선과제를 수립하고 제ㆍ개정 작업을 진행하고 있음.

- 정보보호정책 및 시행문서는 제정에서부터 폐기까지의 이력을 확인할 수 있도록 제ㆍ개정 이력을 관리하고 있으며 모든 임직원이 확인 가능한 게시판을 통해 공개하고 있음.

 

 

● 기록(증적자료)

- 정보보호 정책 및 시행문서 제ㆍ개정(안)

- 정보보호 정책 및 시행문서 신구조문대비표

- 정보보호 정책 및 시행문서 게시판 공개