하루에 하나씩

2. 보호대책 요구사항 > 2.1 정책, 조직, 자산 관리 > 2.1.1 정책의 유지관리 항목 상세내용 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 추가적으로 검토하여 필요한 경우 제ㆍ개정하고 그 내역을 이력관리하여야 한다. 주요 확인사항 ㆍ정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립ㆍ이행하고있는가? ㆍ조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가? ㆍ정보보호 및 개인정보보호 관련 정책 및 시행문서의 제ㆍ개정 시 이해 관계자의 검토를 받고 있..

1. 관리체계 수립 및 운영 > 1.2 위험 관리 > 1.2.4 보호대책 선정 항목 상세내용 1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정ㆍ담당자ㆍ예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 주요 확인사항 ㆍ식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? ㆍ보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가? 관련 법규 ● 중요사안 - 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 및 개인정보보호 관리체계 인증기..

1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.5 정책 수립 항목 상세내용 1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행문서를 수립ㆍ작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. 주요 확인사항 ㆍ조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가? ㆍ정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가? ㆍ정보보호 및 개인정보보호 정책ㆍ시행문서의 제ㆍ개정 최고경..

1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.4 범위 설정 항목 상세내용 1.1.4 범위 설정 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. 주요 확인사항 ㆍ조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? ㆍ정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의ㆍ책임자 승인 등 관련 근거를 기록ㆍ관리하고 있는가? ㆍ정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를..