ISMS-P 인증 준비, 관리체계 점검

ISMS-P 인증 / 간편인증(7의3)

1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

1.4.2 관리체계 점검

1.4.3 관리체계 개선

 

ISMS-P 간편인증(7의2) 

1.4 관리체계 점검 및 개선

1.4.1 관리체계 점검

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업 (7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

개요

인증기준

관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.

 

주요확인사항

법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?

관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?

세부 설명

1. 관리체계 점검 계획 수립 및 경영진 보고
법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 경영진에게 보고하여야 한다.

* 점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함
* 점검범위 : 전사 또는 인증범위 포함
* 점검주기 : 최소 연 1회 이상 수행 필요
* 점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의

 

2. 독립적·객관적 관리체계 점검 및 경영진 보고, 문제 조치

관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여야 한다.

* 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성
* 점검 계획에 따라 연 1회 이상 점검 수행
* 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
* 점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고

 

여기에서 중요한 것은

* 내부 감사 지침이 별도로 있어야 합니다.

* 그리고, 내부 감사를 진행하는 부서 또는 담당자가 독립성 및 전문성을 확보해야 합니다.

 

중소기업 특성상 내부적으로 감사팀을 두지 않는 경우가 대부분입니다. 저희 같은 경우에도 매년 ISMS 인증 심사를 앞두고 준비가 어느정도 된 상황에서 마지막으로 외부의 전문가를 통해 정보보호 관리체계 전반에 대한 내부 감사를 진행합니다. 전문가의 시선에서 바라본 회사의 정보보호 관리체계의 결함등을 미리 발견함으로써 ISMS 인증심사를 최종적으로 대비한다고 생각하면서 준비하면 좋을것 같습니다.  

증거자료

* 관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서) * 관리체계 점검 결과보고서 * 정보보호 및 개인정보보호 위원회 회의록

 

결함사례

* 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 전산팀 관리 영역에 대한 점검에 관여하고 있어, 점검의 독립성이 훼손된 경우 * 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우 * 관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우

참고문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB