728x90
| 1.3.1 | 보호대책 구현 | 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. |
| 1.3.2 | 보호대책 공유 | 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. |
| 1.3.3 | 운영현황 관리 | 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. |
1.3.1 보호대책 구현
- 보호대책 경영진에 보고 -> 이행결과의 정확성과 효과성 확인
사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보
보호책임자에게 보고하지 않은 경우
사례 2 : 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하
거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
사례 3 : 전년도 정보보호대책 이행계획에 따라 중 ․ 장기로 분류된 위험들이 해당년도에 구현이 되
고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
1.3.2 보호대책 공유
사례 1 : 정보보호대책을 마련하여 구현하고 있으나 관련 내용을 충분히 공유 ․ 교육하지 않아 실제
운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
1.3.3 운영현황 관리
- 관리체계에 따른 상시/주기적 활동은 식별 및 추적이 가능하도록 기록 -> 주기적으로 효과성 확인
| ※ 주기적인 정보보호 및 개인정보보호 활동 (예시) ㆍ주요직무자, 개인정보취급자의 접속기록 검토 ㆍ주요직무자의 접근권한 검토 ㆍ정기 정보보호 및 개인정보보호 위원회 개최 ㆍ정보보호 및 개인정보보호 교육 ㆍ사무실 보안점검 ㆍ정보보호 및 개인정보보호 정책 ․ 지침 개정 검토 ㆍ법적 준거성 검토 ㆍ침해 대응 모의훈련, IT재해복구 모의훈련 ㆍ내부감사 등 |
사례 1 : 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는
활동 현황을 문서화하지 않은 경우
사례 2 : 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월간 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
반응형
'자격증 > ISMS-P 인증심사원' 카테고리의 다른 글
| 2.1 정책, 조직, 자산 관리 (0) | 2021.05.14 |
|---|---|
| 1.4 관리체계 점검 및 개선 (0) | 2021.05.14 |
| 1.2 위험 관리 (0) | 2021.05.14 |
| 1.1 관리체계 기반 마련 (0) | 2021.05.14 |
| 정보통신망법/개인정보보호법 제2조 용어 정의 (0) | 2021.04.19 |