[K-ISMS 인증기준] 정보보호관리과정 5. 사후관리

K-ISMS 인증기준 - 정보보호관리과정

---

5. 사후관리

5.1 법적요구사항 준수검토

조직이 준수해야 할 정보보호 관련 법적요구사항을 지속적으로 파악하여 최신성을 유지하고 준수여부를 지속적으로 검토하여야 한다.

5.1.1 조직이 준수해야 하는 개인정보 및 정보보호 관련 법적 요구사항(법규명, 관련 조항, 세부내용 등)의 준수여부를 주기적(최소 연 1회 이상)으로 검토하고 있는가?

ㅇ 정보보호 관리체계 구축 및 운영에 있어서 조직이 준수해야 하는 법령의 관련 조항, 세부 내용을 파악하고 준수여부를 주기적으로 검토할 수 있는 절차를 수립하여야 한다. (관리과정 1.1 정보보호정책의 수립, 3.2 위험 식별 및 평가 참고) ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 - 전자금융거래법 - 개인정보보호법 - 부정경쟁방지 및 영업비밀보호에 관한 법률 등 ㅇ 관련 법규의 제 ∙ 개정 현황을 최소 연 1회 이상 검토하여 조직에 미치는 영향을 분석하고 조직의 정책 및 절차에 바로 반영하여 법규 미준수로 인한 과태료 부과 등과 같은 상황이 발생하지 않도록 대응하여야 한다.

5.1.2 조직이 준수해야 할 법적 요구사항은 최신성을 유지하고 있는가?

ㅇ 조직이 준수해야 할 법규가 존재하는 경우 법적 요구사항을 명시한 문서(지침 등), 해당 법규 준거성을 점검하기 위한 체크리스트는 최신 법규 사항을 반영하고 있어야 한다.

5.2 정보보호 관리체계 운영현황 관리

정보보호 관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영현황을 지속적으로 관리하여야 한다.

5.2.1 정보보호 관리체계 운영을 위한 정보보호 활동의 수행 주기를 손쉽게 확인할 수 있도록 문서화하고 최신성 여부를 주기적으로 검토하고 있는가?

ㅇ 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 그 운영현황을 확인할 수 있도록 수행 주기, 수행 주체(담당부서, 담당자)를 정의한 문서(운영현황표)를 관리하고 최신성을 유지하여야 한다.

5.3 내부감사

조직은 정보보호 관리체계가 정해진 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는 지를 점검하기 위하여 연 1회 이상 내부감사를 수행하여야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료하여 경영진 및 관련 책임자에게 보고하여야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에 대한 자격요건을 정의하여야 한다.

5.3.1 법적 요구사항 및 수립된 정책에 따라 정보보호 관리체계가 효과적으로 운영되는 지 여부를 검토하기 위한 내부감사를 수행하기 위하여 감사기준, 범위, 주기, 감사인력 자격요건 등을 정의하고 있는가?

ㅇ 법적 요구사항 및 조직 내 수립된 정보보호정책에 따라 정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 내부감사 지침을 수립하여야 한다. - 내부감사 기준 - 내부감사 범위 - 내부감사 수행 주기 (예 : 연 1회 이상) - 감사인력 자격요건 : 감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙임. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있음

5.3.2 내부감사 지침에 따라 연 1회 이상의 내부감사 계획을 수립하여 정보보호 최고책임자 등 경영진에게 보고한 후 계획에 따라 내부감사를 수행하고 있는가?

ㅇ 내부감사 지침에 따라 연 1회 이상 감사가 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 내부감사를 수행하여야 한다.

5.3.3 내부감사에서 발견된 지적사항에 대해 보완조치 여부를 확인하여 정보보호 최고책임자 등 경영진에 보고하고 있는가?

ㅇ 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다. ㅇ 감사결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 등 경영진 등에게 보고하여야 한다. - 일정 및 범위 - 감사 내용 (감사 방법, 검토 문서, 면담자 등) - 지적사항 및 보완조치 내용 (보완조치 완료 여부, 대책 등 포함) 등