[K-ISMS 인증기준] 정보보호관리과정 1. 정보보호정책수립 및 범위설정

K-ISMS 인증기준 - 정보보호관리과정

---

1. 정보보호정책수립 및 범위설정

1.1 정보보호정책의 수립

조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립하고 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다

1.1.1 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있는 최상위 수준의 정보보호정책이 있는가?

ㅇ 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호정책을 수립하여야 한다. - 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향 - 조직의 정보보호 목적, 범위, 책임 - 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거 ㅇ 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 한다.

1.1.2 정보보호정책은 조직이 제공하고 있는 사업 등에 관련된 정보보호 관련 법적 요구사항을 반영하여 수립하고 있는가?

ㅇ 제공하는 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 반영하여야 한다. - 정보보호정책에 조직이 준수하여야 하는 법령 및 관련조항을 명시하여야 함 ※ 참고 ※  - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 - 개인정보보호법 - 신용정보의 이용 및 보호에 관한 법률 - 위치정보보호에 관한 법률 - 전자금융거래법 - 신용정보 이용 및 보호에 대한 법률 - 전자상거래 등에서의 소비자보호에 대한 법률 - 저작권법 - 정보통신 기반보호법 - 산업기술의 유출방지 및 영업비밀보호에 관한 법률 - 부정경쟁방지 및 영업비밀보호에 관한 법률 등

1.2 범위설정

조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다. 

1.2.1 조직의 사업(서비스)에 영향을 줄 수 있는 핵심자산을 포함하도록 범위를 선정하고 있는가?

ㅇ 정보보호 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락없이 포함되어야 한다.

1.2.2 정보보호 관리체계 범위를 설명하기 위하여 다음과 같은 내용이 포함된 문서를 작성하고 있는가?

- 주요 서비스 및 업무 현황

- 서비스 제공과 관련된 조직

- 정보보호 조직, 주요 설비 목록

- 정보시스템 목록 및 네트워크 구성도

- 문서 목록 (예 : 정책, 지침, 매뉴얼, 대책 명세서 등)

- 정보보호 관리체계 수립 방법 및 절차 등

ㅇ 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명하여야 한다. ㅇ 정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 한다.