2.2.1 | 주요 직무자 지정 및 관리 | 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. |
2.2.2 | 직무 분리 | 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. |
2.2.3 | 보안 서약 | 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. |
2.2.4 | 인식제고 및 교육훈련 | 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. |
2.2.5 | 퇴직 및 직무변경 관리 | 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. |
2.2.6 | 보안 위반 시 조치 | 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. |
2.2.1 주요 직무자 지정 및 관리
- 개인정보 및 중요정보 취급자 관리방안 수립, 주요 직무자 최소한으로 지정
※ 주요 직무의 기준 (예시) ㆍ중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급 ㆍ중요 정보시스템(서버, DB, 응용 프로그램 등) 및 개인정보처리시스템 운영 ․ 관리 ㆍ정보보호 및 개인정보보호 관리 업무 수행 ㆍ보안시스템 운영 등 |
사례 1 : 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자등)을 명단에 누락한 경우
사례 2 : 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
사례 3 : 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우
사례 4 : 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 득하고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우 => 내부 규정을 지키지 않은 경우
2.2.2 직무 분리
- 불가피하게 직무 분기가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.
사례 1 : 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부 규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우
사례 2 : 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토 ․ 승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우
2.2.3 보안 서약
사례 1 : 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
사례 2 : 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않는 경우
사례 3 : 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우
사례 4 : 개인정보취급자에 대해 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
2.2.4 인식제고 및 교육훈련
- 직무별 전문성을 확보할 수 있도록 교육 훈련 계획 수립 -> 효과성을 평가
사례 1 : 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나 당해년도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
사례 2 : 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
사례 3 : 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호인식 교육은 일정 시간 계획되어 있으나 개인정보 보호책임자 및 개인정보담당자 등 각 직무별 로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
사례 4 : 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보 자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등) 을 교육 대상에서 누락한 경우
사례 5 : 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나 교육시행 및 평가에 관한 기록 (교육자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
사례 6 : 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립 ․ 이행하고 있지 않은 경우
2.2.5 퇴직 및 직무변경 관리
사례 1 : 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템 에 그대로 남아 있은 경우
사례 2 : 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
사례 3 : 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
2.2.6 보안 위반 시 조치
사례 1 : 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
사례 2 : 보안시스템(DLP, DB접근제어시스템, 내부정보유출통제시스템 등)을 통해 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우
'자격증 > ISMS-P 인증심사원' 카테고리의 다른 글
2.4 물리 보안 (0) | 2021.05.14 |
---|---|
2.3 외부자 보안 (0) | 2021.05.14 |
2.1 정책, 조직, 자산 관리 (0) | 2021.05.14 |
1.4 관리체계 점검 및 개선 (0) | 2021.05.14 |
1.3 관리체계 운영 (0) | 2021.05.14 |