[K-ISMS 인증기준] 정보보호관리과정 4. 정보보호대책 구현

K-ISMS 인증기준 - 정보보호관리과정

---

4. 정보보호대책 구현

4.1 정보보호대책의 효과적 구현

정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.

4.1.1 정보보호대책 이행계획에 따라 정보보호대책을 구현하고 그 이행결과를 정보보호 최고책임자 등 경영진에게 보고하고 있는가?

ㅇ 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 등 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는 지 여부를 검토 및 확인하여야 한다.

4.1.2 정보보호 관리체계 인증기준 통제항목별(관리과정 및 정보보호 대책 총 104개)로 정보보호대책 구현 및 운영 현황을 기록한 '정보보호 대책명세서'를 작성하고 있는가?

ㅇ '정보보호 대책명세서'는 정보보호 관리체계 인증기준에서 제시하는 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다. - 통제항목 선정여부(Yes/No) 확인 : 관리과정 12개 통제항목은 필수사항 - 운영 현황 - 관련문서 (정책, 지침 등) - 기록 (증적자료) - 통제항목 미선정 시 사유 ㅇ 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다.

4.2 내부 공유 및 교육

구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여야 한다.

4.2.1 구현된 정보보호대책 운영 및 시행부서 담당자를 대상으로 관련내용 공유 및 교육을 수행하고 있는가?

ㅇ 정보보호 관리체계를 내재화하기 위하여 다음과 같은 사항으로 정보보호 활동업무에 영향이 발생하는 경우, 관련부서 및 담당자를 파악하여 정보보호대책의 내용을 공유하고 교육을 수행하여야 한다. - 정책(지침 및 절차 포함) 신규 제정 및 개정 - 정보시스템 신규 도입 및 개선 등