ISMS-P 관리체계 결함보고서 예시 (1.1.1 ~ 1.4.3)

⑥ IT 자격증/ISMS-P 인증심사원

ISMS-P 관리체계 결함보고서 예시 (1.1.1 ~ 1.4.3)

->^_^<- 2025. 9. 30. 23:54

1.1.1 최고책임자 지정

결함유형: 최고책임자 역할·책임 미비
관련조항: ISMS-P 관리체계 1.1.1 (최고책임자 지정)
관련근거:
- 인증기준: 조직은 정보보호 최고책임자를 지정하고 역할 및 책임을 명확히 해야 함
- 내부규정: 「정보보호관리규정」 제2조(최고책임자 역할 및 책임)
운영현황 및 결함내역:
- 운영현황: 정보보호 최고책임자(CISO)가 지정되어 있으나, 직무명세서에 역할과 책임이 구체적으로 정의되지 않음
- 결함내역: 내부 규정에 따른 직무 범위(예: 자원 배분, 정책 승인, 사고 대응 총괄 등) 반영 미흡
- 조치사항: 직무명세서 개정, 최고책임자의 권한·책임 문서화 및 경영진 승인 확보
근거목록: 직무명세서, 인사발령 공문, 정보보호관리규정

1.1.2 조직 구성

결함유형: 정보보호 전담조직 기능 미흡
관련조항: ISMS-P 1.1.2 (조직 구성)
관련근거: 「정보보호관리규정」 제3조(정보보호 조직 구성)
운영현황 및 결함내역:
- 운영현황: 보안담당자가 1명 배치되어 있으나, 개인정보보호 담당자와 역할이 혼재
- 결함내역: 전담조직의 역할 분리 불명확, 보안사고 발생 시 책임소재 불분명
- 조치사항: 정보보호/개인정보보호 담당 분리, 조직도 및 R&R 명확화
근거목록: 최신 조직도, 직무분장표, 정보보호관리규정

1.2.1 정책 수립

결함유형: 정책 미갱신
관련조항: ISMS-P 1.2.1 (정책 수립)
관련근거: 「정보보호관리규정」 제4조(정책 수립 및 갱신)
운영현황 및 결함내역:
- 운영현황: 정보보호 정책은 2022년 제정 후 현재까지 개정 이력 없음
- 결함내역: 내부 규정상 연 1회 검토 의무 불이행, 최신 법규(클라우드 보안 가이드 등) 반영 누락
- 조치사항: 최신 정책으로 개정, 경영진 승인 절차 이행
근거목록: 정책 문서, 개정 이력대장, 경영진 결재문서

1.2.2 정책 승인

결함유형: 경영진 승인 절차 누락
관련조항: ISMS-P 1.2.2 (정책 승인)
관련근거: 「정보보호관리규정」 제5조(정책 승인 절차)
운영현황 및 결함내역:
- 운영현황: 정책 초안은 작성되었으나, 대표이사 승인 결재 문서 없음
- 결함내역: 승인 절차 미준수로 정책 효력 불명확
- 조치사항: 경영진 결재를 통한 공식 정책 확정, 결재문서 보관
근거목록: 정책 문서, 결재라인 기록, 회의록

1.2.3 정책 공표

결함유형: 정책 공지 미흡
관련조항: ISMS-P 1.2.3 (정책 공표)
관련근거: 「정보보호관리규정」 제6조(정책 공표 및 공유)
운영현황 및 결함내역:
- 운영현황: 사내 인트라넷에 일부 게시되었으나 전 직원 공지 메일 없음
- 결함내역: 전사 공유 미흡으로 인식도 부족
- 조치사항: 이메일, 사내 포털을 통한 정책 공지, 수령확인 절차 수행
근거목록: 사내게시판 캡처, 이메일 발송이력, 공지자료

1.3.1 위험평가 계획 수립

결함유형: 위험평가 계획 미수립
관련조항: ISMS-P 1.3.1 (위험평가 계획 수립)
관련근거: 「위험관리지침」 제2조(위험평가 계획 수립)
운영현황 및 결함내역:
- 운영현황: 연간 위험평가 계획 문서 없음
- 결함내역: 위험평가 활동이 비정형적으로 수행되어 체계적 관리 불가
- 조치사항: 연간 위험평가 계획 수립, 승인 후 시행
근거목록: 연간 계획 문서, 경영진 승인 문서

1.3.2 위험 식별

결함유형: 위험 식별 항목 누락
관련조항: ISMS-P 1.3.2 (위험 식별)
관련근거: 「위험관리지침」 제3조(위험 식별 범위)
운영현황 및 결함내역:
- 운영현황: 자산 기반 식별은 수행되었으나 클라우드 SaaS 서비스는 누락
- 결함내역: 일부 자산·프로세스 미반영으로 위험 식별 불완전
- 조치사항: SaaS 포함 전체 IT 자산 위험 식별 재수행
근거목록: 위험자산 목록, SaaS 계약서, 위험식별 보고서

1.3.3 위험 분석 및 평가

결함유형: 정성적 평가만 수행
관련조항: ISMS-P 1.3.3 (위험 분석 및 평가)
관련근거: 「위험관리지침」 제4조(위험 분석 방법)
운영현황 및 결함내역:
- 운영현황: 위험분석은 Likelihood/Impact 매트릭스만 활용
- 결함내역: 정량적 분석(금전적 손실, SLA 영향 등) 미반영 → 우선순위 도출 부정확
- 조치사항: 정성·정량 혼합 평가 도입, 자산가치 반영한 재평가 수행
근거목록: 위험평가 보고서, 분석 매트릭스, 평가 기준표

1.3.4 보호대책 선정

결함유형: 보호대책 선정 미흡
관련조항: ISMS-P 1.3.4 (보호대책 선정)
관련근거: 「위험관리지침」 제5조(보호대책 선정 기준)
운영현황 및 결함내역:
- 운영현황: 고위험 항목 중 일부만 대책 수립, 예산 사유로 미적용
- 결함내역: 위험수준 허용 범위 초과 항목(예: DB 암호화) 방치
- 조치사항: 미적용 대책에 대한 경영진 승인 및 보완 계획 수립
근거목록: 위험처리계획서, 예산승인서, 경영진 보고서

1.4.1 관리체계 운영

결함유형: 관리체계 운영 증적 미흡
관련조항: ISMS-P 1.4.1 (관리체계 운영)
관련근거: 「정보보호관리규정」 제8조(관리체계 운영 절차)
운영현황 및 결함내역:
- 운영현황: 보안점검은 수행되나, 로그 및 증적 미보관
- 결함내역: 관리체계 운영 증적(점검결과, 회의록 등) 부재 → 이행 확인 불가
- 조치사항: 모든 운영 활동 증적 관리, 중앙 저장소(보안시스템/DRM 등)에 보관
근거목록: 점검보고서, 회의록, 증적관리대장

1.4.2 관리체계 점검

결함유형: 자체 점검 미수행
관련조항: ISMS-P 1.4.2 (관리체계 점검)
관련근거: 「내부감사 규정」 제3조(정보보호관리체계 점검)
운영현황 및 결함내역:
- 운영현황: 최근 1년간 자체 점검 미수행
- 결함내역: 인증기준상 연 1회 이상 점검 의무 위반
- 조치사항: 자체 점검 계획 수립, 점검 결과 경영진 보고 후 보완 조치
근거목록: 내부감사계획서, 점검 체크리스트, 결과보고서

1.4.3 관리체계 개선

결함유형: 개선조치 관리 미흡
관련조항: ISMS-P 1.4.3 (관리체계 개선)
관련근거: 「정보보호관리규정」 제9조(개선조치 관리)
운영현황 및 결함내역:
- 운영현황: 과거 지적사항에 대해 일부 개선 완료, 나머지는 미추적
- 결함내역: 개선조치 관리대장 부재, 미조치 사항 방치
- 조치사항: 개선조치 이력 관리대장 작성, 미완료 과제 추적관리
근거목록: 개선조치 이력 문서, 미조치 보고서, 경영진 회의록