1.4 관리체계 점검 및 개선

1.4.1	법적 요구사항 준수 검토	조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.
1.4.2	관리체계 점검	관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
1.4.3	관리체계 개선	법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.

 

1.4.1 법적 요구사항 준수 검토

- 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악 -> 연 1회 이상 검토

※ 정보보호 및 개인정보보호 관련 법률 (예시) ㆍ정보통신망 이용촉진 및 정보보호 등에 관한 법률 ㆍ개인정보 보호법 ㆍ신용정보의 이용 및 보호에 관한 법률 ㆍ위치정보의 보호 및 이용 등에 관한 법률 ㆍ전자금융거래법 ㆍ전자상거래 등에서의 소비자보호에 대한 법률 ㆍ저작권법 ㆍ정보통신 기반보호법 ㆍ전자서명법 ㆍ산업기술의 유출방지 및 영업비밀보호에 관한 법률 ㆍ부정경쟁방지 및 영업비밀보호에 관한 법률 등

 

사례 1 : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을
검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치하지 않은 경우

사례 2 : 조직에서 준수해야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우

사례 3 : 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규위반 사항이 다수 발견된 경우

 

1.4.2 관리체계 점검

- 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검 -> 경영진에 결과보고

 

사례 1 : 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성 이 훼손된 경우

사례 2 : 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우

사례 3 : 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료여부를 확인하지 않은 경우

 

1.4.3 관리체계 개선

- 근본 원인을 분석하여 재발방지 및 개선 대책을 수립/이행

※ 재발방지 대책 (예시) ㆍ정보보호 및 개인정보보호 정책 ․ 지침 ․ 절차 개정 ㆍ임직원 및 외부자에 대한 교육 강화 또는 개선 ㆍ이상행위 등에 대한 모니터링 강화 ㆍ정보보호 및 개인정보보호 운영 자동화(계정관리 등) ㆍ정보보호 및 개인정보보호 관련 검토 ․ 승인 절차 개선 ㆍ내부점검 체크리스트 또는 방식 개선 등

 

사례 1 : 내부점검을 통해 발견된 정보보호 및 개인정보보호 관리체계 운영상의 문제점이 매번 동일 하게 반복되어 발생되는 경우

사례 2 : 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우

사례 3 : 관리체계 상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으 로 측정하고 있으나, 그 결과에 대해 경영진 보고가 장기간 이루어지지 않은 경우