ISMS-P 인증
1.3 관리체계 운영
1.3.1 보호대책 구현
1.3.2 보호대책 공유
1.3.3 운영현황 관리
ISMS-P 간편인증(7의2)
1.3 관리체계 운영
1.3.1 운영현황 관리
ISMS-P 간편인증(7의3)
1.3 관리체계 운영
1.3.1 운영현황 관리
| (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업 (7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 |
개요
인증기준
| 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. |
주요확인사항
| 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? |
| 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가? |
세부 설명
1. 관리체계 운영현황표 작성/관리
관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 한다.
※ 주기적인 정보보호 및 개인정보보호 활동(예시)
* 주요직무자, 개인정보취급자의 접속기록 검토
* 주요직무자의 접근권한 검토
* 정기 정보보호 및 개인정보보호위원회 개최
* 정보보호 및 개인정보보호 교육
* 사무실 보안점검
* 정보보호 및 개인정보보호 정책·지침 개정 검토
* 법적 준거성 검토
* 침해 대응 모의훈련, IT 재해 복구 모의훈련
* 내부감사 등
2. 경영진, 주기적 관리체계 검토/개선
경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고, 문제점이 발견된 경우 이를 개선하는 등 관리하여야 한다.
* 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고
* 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등)
증거자료
|
우리나라는 매년 7월을 정보보호의달, 7월 둘째 수요일은 정보보호의 날로 지정되어있습니다. 정보보호의 날은 사이버 위협 예방과 국민의 정보보호 생활화를 위하여 2012년 7월 처음 대한민국 법정기념일로 지정되었습니다.
이를 바탕으로 제가 근무하는 회사에서도 ISMS 인증을 준비하면서 매월 마지막째주 수요일을 정보보호의 날로 지정하였습니다. 주로 이날 정보보호 및 개인정보보호활동 수행 여부 점검하는 시간을 갖습니다.
보안상 구체적으로 밝힐수는 없지만 아래와 같은 내용들을 포함한 검토보고서를 작성하고 CISO 승인을 받습니다. 이 내용은 필수적으로 정책/지침/절차상에 포함되어 있어야 합니다.
정보보호 및 개인정보보호 검토보고서
- 서버, DBMS, 개인정보처리시스템 접속기록 점검
- 시간동기화, 소산백업, 클라우드, 통제구역 기기 반출입기록, 통제구역 출입기록, SSLVPN 접속기록 점검
- 백신, DLP, PC보안 ( 비밀번호 변경, OS 최신화 등 ) 점검
결함사례
|
참고문헌
|
'ISMS-P 인증 준비' 카테고리의 다른 글
| ISMS-P 인증 준비, 현황 및 흐름분석 (0) | 2024.12.30 |
|---|---|
| ISMS-P 인증 준비, 정보자산의 식별 (1) | 2024.12.29 |
| ISMS-P 인증 준비, 자원 할당 (1) | 2024.12.28 |
| ISMS-P 인증 준비, 과태료 처분에 대해 꼭 알아야 할 사항 (5) | 2024.12.02 |
| ISMS-P 인증 준비, 정책수립 (19) | 2024.11.06 |
