콘텐츠로 이동

1.3.1 보호대책 구현

인증 기준

선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.

주요 확인사항

  • 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?

  • 관리체계 인증기준별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?

세부 설명

  • 이행계획에 따라 선정된 보호대책을 효과적으로 구현하고 그 이행결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.

    • 이행계획에 따른 진행경과에 대하여 정기적으로 완료 여부, 진행 사항, 미이행 또는 지연이 있는 경우 사유 등을 파악하여 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고

    • 경영진은 정보보호 및 개인정보보호 대책이 이행계획에 따라 정확하고 효과적으로 이행되었는지 여부를 검토

    • 미이행, 일정지연 등이 발생한 경우 이에 대한 원인을 분석하여 필요시 이행계획을 변경하고 경영진에게 보고 및 승인

    • 구현 결과에 대한 효과성 및 정확성 검토 결과 적절한 대책으로 판단하기 어렵거나 효과성에 상당한 의문이 제기되는 경우 대안을 수립하거나 추가 위험평가를 통하여 보완할 수 있는 절차 마련

  • 관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하여야 한다.

    • 인증기준 선정 여부(Yes/No) 확인 : ʻ관리체계 수립 및 운영ʼ 영역은 필수사항

    • 운영 현황 : 해당기관의 정책 및 인증기준 대비 운영 현황을 상세히 기재

    • 관련문서(정책, 지침 등) : 해당 기준에 해당되는 관련 문서명과 세부 문서번호를 명확히 기재

    • 기록(증적자료) : 관련 문서, 결재 내용, 회의록 등 해당 기준이 실제 운영되는 과정에서 생성되는 문서 또는 증적자료 제시

    • 인증기준 미선정 시 사유 : 인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입

증거자료

예시

  • 정보보호 및 개인정보보호 이행계획서/위험관리계획서

  • 정보보호 및 개인정보보호 대책서

  • 정보보호 및 개인정보보호 이행계획 경과보고서(경영진 보고 포함)

  • 정보보호 및 개인정보보호 이행 완료 보고서(경영진 보고 포함)

  • 정보보호 및 개인정보보호 운영명세서

결함사례

  • 사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우

  • 사례 2 : 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우

  • 사례 3 : 전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우