securityse lab

ㅇ 정책은 정보보호 활동을 규정한 상위 정보보호정책과 상위 정책 시행을 위한 문서(지침, 절차, 매뉴얼 등)로 구분하여 제정할 수 있다. 

ㅇ 문서의 제 ∙ 개정 시에는 이해 관련자의 검토(협의 및 조정 등)를 통해 조직 내에서 실제 수행하고 있는 정보보호 활동이 내용에 반영될 수 있도록 하여야 한다.

- 또한, 실무협의회를 운영하고 있는 경우 이 협의회를 통해 검토할 수 있다.

ㅇ 이해관련자는 상위정책과 정책시행 문서의 시행주체가 되는 부서 및 담당자(정보보호부서, 정보시스템 운영 및 개발 부서, 현업부서)를 의미한다. 

 ㅇ 정보보호 활동에 대한 최고경영자 등 경영진의 참여와 지원을 보장하기 위하여 상위 수준의 정보보호정책은 최종적으로 최고경영자의 승인을 받아야 한다. 

 ㅇ 정책시행을 위하여 필요한 세부 방법, 절차, 주기 등을 규정한 정보보호 지침, 절차, 매뉴얼의 제 ∙ 개정 시 최고경영자의 위임 규정에 따라 정보보호 최고책임자 등의 승인을 받아야 한다.

 ㅇ 정보보호정책 및 정책시행 문서의 제 ∙ 개정 시 그 내용과 시행사실을 관련 임직원이 알 수 있도록 공표(교육, 메일, 게시판 등 활용)하여야 한다.

ㅇ 정보보호정책 및 정책시행 문서를 관련 임직원이 용이하게 참고할 수 있는 형태(예 : 전자게시판, 책자, 교육 자료 등)로 전달하여야 하며 최신 정책 및 정책시행 문서를 언제든지 확인할 수 있도록 하여야 한다.

 ㅇ 정보보호정책이 상위조직 및 관련 기관 정보보호정책과의 연계성이 있는 지 분석하여 내용상 상호 부합되지 않은 요소가 있는 지 확인하고 정책간 상하체계가 적절한 지 여부를 검토하여야 한다. (예 : 자회사의 경우 본사 정책과의 연계성 검토 등)

ㅇ 다음과 같은 상황이 발생한 경우를 포함하여 주기적으로 정보보호정책 및 정책시행 문서의 타당성을 검토하여 제 ∙ 개정을 통해 관련 문서에 반영하여야 한다.

- 내부감사 수행 결과

- 중대한 보안사고 발생

- 개인정보 및 정보보호 관련 법령 제 ∙ 개정

- 새로운 위협 또는 취약점 발견

- 정보보호 환경의 중대한 변화

- 조직 사업 환경의 변화 (예 : 신규 사업)

- 정보시스템 환경의 중대한 변화 (예 : 차세대 시스템 구축)

ㅇ 보안점검, 내부감사 결과 분석 등을 통해 정책, 정책시행 문서에서 규정하고 있는 정보보호 활동의 주기, 방법 등이 적절한 지 정기적으로 검토하여야 하며 필요한 경우 제 ∙ 개정을 통해 문서에 반영하여야 한다.

 ㅇ 다음과 같은 상황이 발생한 경우 정보보호정책 및 정책시행 문서에 미치는 영향을 분석하고 필요 시 문서에 반영하여야 한다.

- 중대한 보안사고 발생

- 정보보호 및 개인정보 관련 법률 제 ∙ 개정

- 새로운 위협 또는 취약성의 발견

- 비즈니스 환경의 변화 (신규 사업 영역 진출 등)

- 정보보호 및 IT 환경의 중대한 변화 등

ㅇ 정보보호정책 및 정책시행 문서의 제정, 개정, 폐기 시 이력(일자, 내용, 작성자, 승인자 등)을 확인할 수 있는 관리절차를 수립하고 이행하여야 한다.

- 제 ∙ 개정으로 인한 문서의 효력 발생일은 일반적으로 최고경영자 혹은 정보보호책임자의 승인일 혹은 공표일로 하여야 한다. 

 정보보호정책 및 정책시행 문서는 최신본으로 유지하여야 한다.

 ㅇ 정보보호 활동 수행 과정에서 생성된 각종 양식, 대장, 로그, 결재문서 등 운영기록의 보관방법, 보호대책, 유지기간, 접근통제 등 관리절차를 마련하여야 한다. 

ㅇ 운영기록 확인을 통해 관련 활동의 정상적인 이행 여부를 확인할 수 있어야 하며 정보보호 관리체계 인증기준(104개)의 이행 확인이 가능하도록 운영기록(증적)을 확보하고 있어야 한다.

ㅇ 정보보호 관리체계 구축 및 운영에 있어서 조직이 준수해야 하는 법령의 관련 조항, 세부 내용을 파악하고 준수여부를 주기적으로 검토할 수 있는 절차를 수립하여야 한다.

(관리과정 1.1 정보보호정책의 수립, 3.2 위험 식별 및 평가 참고)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 전자금융거래법

- 개인정보보호법

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 관련 법규의 제 ∙ 개정 현황을 최소 연 1회 이상 검토하여 조직에 미치는 영향을 분석하고 조직의 정책 및 절차에 바로 반영하여 법규 미준수로 인한 과태료 부과 등과 같은 상황이 발생하지 않도록 대응하여야 한다.

ㅇ 조직이 준수해야 할 법규가 존재하는 경우 법적 요구사항을 명시한 문서(지침 등), 해당 법규 준거성을 점검하기 위한 체크리스트는 최신 법규 사항을 반영하고 있어야 한다.

ㅇ 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 그 운영현황을 확인할 수 있도록 수행 주기, 수행 주체(담당부서, 담당자)를 정의한 문서(운영현황표)를 관리하고 최신성을 유지하여야 한다.

ㅇ 법적 요구사항 및 조직 내 수립된 정보보호정책에 따라 정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 내부감사 지침을 수립하여야 한다.

- 내부감사 기준

- 내부감사 범위

- 내부감사 수행 주기 (예 : 연 1회 이상)

- 감사인력 자격요건 : 감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙임. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있음 

ㅇ 내부감사 지침에 따라 연 1회 이상 감사가 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 내부감사를 수행하여야 한다.

ㅇ 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다.

ㅇ 감사결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 등 경영진 등에게 보고하여야 한다.

- 일정 및 범위

- 감사 내용 (감사 방법, 검토 문서, 면담자 등)

- 지적사항 및 보완조치 내용 (보완조치 완료 여부, 대책 등 포함) 등

ㅇ 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 등 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는 지 여부를 검토 및 확인하여야 한다.

ㅇ '정보보호 대책명세서'는 정보보호 관리체계 인증기준에서 제시하는 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다.

- 통제항목 선정여부(Yes/No) 확인 : 관리과정 12개 통제항목은 필수사항

- 운영 현황

- 관련문서 (정책, 지침 등)

- 기록 (증적자료)

- 통제항목 미선정 시 사유

ㅇ 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다.

ㅇ 정보보호 관리체계를 내재화하기 위하여 다음과 같은 사항으로 정보보호 활동업무에 영향이 발생하는 경우, 관련부서 및 담당자를 파악하여 정보보호대책의 내용을 공유하고 교육을 수행하여야 한다.

- 정책(지침 및 절차 포함) 신규 제정 및 개정

- 정보시스템 신규 도입 및 개선 등 

ㅇ 매년 정보보호 관리체계 범위 전체를 대상으로 위험식별과 평가를 수행하여야 하며 기 적용된 정보보호대책의 실효성 검토도 함께 이루어져야 한다.

ㅇ 정보보호 및 개인정보 관련 법적 요구사항 준수여부에 대한 위험을 식별하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 전자금융거래법

- 개인정보보호법

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 관리적, 운영적, 물리적 위험은 정보보호 관리체계 통제항목이 적용되고 있는지 점검하여 통제적용이 이루어지지 않거나 미흡한 경우 위험으로 식별하여야 한다.

ㅇ 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.

ㅇ 식별된 위험이 실제 조직에 미치는 영향(잠재적 손실)을 고려하여 위험도를 산정하여야 하며 이를 위하여 위험도 산정기준을 마련하여야 한다.

ㅇ 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA : Degree of Assurance)을 정한 뒤 이를 초과하는 위험을 식별하여야 한다. 이 수준은 논리적이거나 수리적인 방법을 통해 계산될 필요는 없으나 반드시 정보보호 최고책임자 등 경영진의 의사결정에 의해 설정되어야 한다. 

ㅇ 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자를 포함한 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다. 

ㅇ 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 관리체계 인증 기준에서 제시하는 정보보호 대책 통제항목(92개)과의 연계성도 함께 고려하여야 한다.

ㅇ 위험수준 감소를 목표로 위험처리 전략을 수립하는 게 일반적이며 위험회피, 위험전가, 위험수용 등으로 고려할 수 있다.

ㅇ 수용 가능한 위험 수준을 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다.

ㅇ 특별한 사유(예 : 대책 적용 대상 자산 無)로 인해 위험수용 전략을 선택하는 경우 경영진, 정보보호 관리체계 인증 심사 팀 등 조직 내 ∙ 외부에서 객관적으로 인정하는 경우에 가능하다.

ㅇ 위험수준의 감소를 위하여 선정한 정보보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립하여야 한다. 

ㅇ 정보보호 대책의 효과적인 이행을 위하여 이행계획을 정보보호 최고책임자 등 경영진의 승인을 얻고 이행여부를 확인하기 위한 절차 및 방법도 함께 고려하여야 한다.

ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다.

ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다.

ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다.

ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다.

ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다.

ㅇ 예산 및 인력운영에 대해 다음의 사항을 권고할 수 있다.

 - 정보보호 예산은 정보화 예산대비 5%이상, 정보보호 인력은 정보화 투입인력 대비 5% 이상으로 운영

 - IT투자 대비 정보보호 투자 비율, 정보보호 인력 및 조직 등에 관한 사항의 홈페이지 공개

ㅇ 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호정책을 수립하여야 한다.

- 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향

- 조직의 정보보호 목적, 범위, 책임

- 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거

ㅇ 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 한다. 

ㅇ 제공하는 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 반영하여야 한다.

- 정보보호정책에 조직이 준수하여야 하는 법령 및 관련조항을 명시하여야 함

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 개인정보보호법

- 신용정보의 이용 및 보호에 관한 법률

- 위치정보보호에 관한 법률

- 전자금융거래법

- 신용정보 이용 및 보호에 대한 법률

- 전자상거래 등에서의 소비자보호에 대한 법률

- 저작권법

- 정보통신 기반보호법

- 산업기술의 유출방지 및 영업비밀보호에 관한 법률

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 정보보호 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락없이 포함되어야 한다. 

ㅇ 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명하여야 한다.

ㅇ 정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 한다.

ㅇ 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호정책을 수립하여야 한다.

- 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향

- 조직의 정보보호 목적, 범위, 책임

- 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거

ㅇ 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 한다. 

ㅇ 제공하는 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 반영하여야 한다.

- 정보보호정책에 조직이 준수하여야 하는 법령 및 관련조항을 명시하여야 함

※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 개인정보보호법

- 신용정보의 이용 및 보호에 관한 법률

- 위치정보보호에 관한 법률

- 전자금융거래법

- 신용정보 이용 및 보호에 대한 법률

- 전자상거래 등에서의 소비자보호에 대한 법률

- 저작권법

- 정보통신 기반보호법

- 산업기술의 유출방지 및 영업비밀보호에 관한 법률

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 정보보호 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락없이 포함되어야 한다. 

ㅇ 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명하여야 한다.

ㅇ 정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 한다.

ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다.

ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다.

ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다.

ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다.

ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다.

ㅇ 예산 및 인력운영에 대해 다음의 사항을 권고할 수 있다.

 - 정보보호 예산은 정보화 예산대비 5%이상, 정보보호 인력은 정보화 투입인력 대비 5% 이상으로 운영

 - IT투자 대비 정보보호 투자 비율, 정보보호 인력 및 조직 등에 관한 사항의 홈페이지 공개

ㅇ 매년 정보보호 관리체계 범위 전체를 대상으로 위험식별과 평가를 수행하여야 하며 기 적용된 정보보호대책의 실효성 검토도 함께 이루어져야 한다.

ㅇ 정보보호 및 개인정보 관련 법적 요구사항 준수여부에 대한 위험을 식별하여야 한다.

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 전자금융거래법

- 개인정보보호법

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 관리적, 운영적, 물리적 위험은 정보보호 관리체계 통제항목이 적용되고 있는지 점검하여 통제적용이 이루어지지 않거나 미흡한 경우 위험으로 식별하여야 한다.

ㅇ 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.

ㅇ 식별된 위험이 실제 조직에 미치는 영향(잠재적 손실)을 고려하여 위험도를 산정하여야 하며 이를 위하여 위험도 산정기준을 마련하여야 한다.

ㅇ 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA : Degree of Assurance)을 정한 뒤 이를 초과하는 위험을 식별하여야 한다. 이 수준은 논리적이거나 수리적인 방법을 통해 계산될 필요는 없으나 반드시 정보보호 최고책임자 등 경영진의 의사결정에 의해 설정되어야 한다. 

ㅇ 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자를 포함한 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다. 

ㅇ 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 관리체계 인증 기준에서 제시하는 정보보호 대책 통제항목(92개)과의 연계성도 함께 고려하여야 한다.

ㅇ 위험수준 감소를 목표로 위험처리 전략을 수립하는 게 일반적이며 위험회피, 위험전가, 위험수용 등으로 고려할 수 있다.

ㅇ 수용 가능한 위험 수준을 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다.

ㅇ 특별한 사유(예 : 대책 적용 대상 자산 無)로 인해 위험수용 전략을 선택하는 경우 경영진, 정보보호 관리체계 인증 심사 팀 등 조직 내 ∙ 외부에서 객관적으로 인정하는 경우에 가능하다.

ㅇ 위험수준의 감소를 위하여 선정한 정보보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립하여야 한다. 

ㅇ 정보보호 대책의 효과적인 이행을 위하여 이행계획을 정보보호 최고책임자 등 경영진의 승인을 얻고 이행여부를 확인하기 위한 절차 및 방법도 함께 고려하여야 한다.

ㅇ 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 등 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는 지 여부를 검토 및 확인하여야 한다.

ㅇ '정보보호 대책명세서'는 정보보호 관리체계 인증기준에서 제시하는 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다.

- 통제항목 선정여부(Yes/No) 확인 : 관리과정 12개 통제항목은 필수사항

- 운영 현황

- 관련문서 (정책, 지침 등)

- 기록 (증적자료)

- 통제항목 미선정 시 사유

ㅇ 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다.

ㅇ 정보보호 관리체계를 내재화하기 위하여 다음과 같은 사항으로 정보보호 활동업무에 영향이 발생하는 경우, 관련부서 및 담당자를 파악하여 정보보호대책의 내용을 공유하고 교육을 수행하여야 한다.

- 정책(지침 및 절차 포함) 신규 제정 및 개정

- 정보시스템 신규 도입 및 개선 등 

ㅇ 정보보호 관리체계 구축 및 운영에 있어서 조직이 준수해야 하는 법령의 관련 조항, 세부 내용을 파악하고 준수여부를 주기적으로 검토할 수 있는 절차를 수립하여야 한다.

(관리과정 1.1 정보보호정책의 수립, 3.2 위험 식별 및 평가 참고)

※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 전자금융거래법

- 개인정보보호법

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 관련 법규의 제 ∙ 개정 현황을 최소 연 1회 이상 검토하여 조직에 미치는 영향을 분석하고 조직의 정책 및 절차에 바로 반영하여 법규 미준수로 인한 과태료 부과 등과 같은 상황이 발생하지 않도록 대응하여야 한다.

ㅇ 조직이 준수해야 할 법규가 존재하는 경우 법적 요구사항을 명시한 문서(지침 등), 해당 법규 준거성을 점검하기 위한 체크리스트는 최신 법규 사항을 반영하고 있어야 한다.

ㅇ 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 그 운영현황을 확인할 수 있도록 수행 주기, 수행 주체(담당부서, 담당자)를 정의한 문서(운영현황표)를 관리하고 최신성을 유지하여야 한다.

ㅇ 법적 요구사항 및 조직 내 수립된 정보보호정책에 따라 정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 내부감사 지침을 수립하여야 한다.

- 내부감사 기준

- 내부감사 범위

- 내부감사 수행 주기 (예 : 연 1회 이상)

- 감사인력 자격요건 : 감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙임. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있음 

ㅇ 내부감사 지침에 따라 연 1회 이상 감사가 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 내부감사를 수행하여야 한다.

ㅇ 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다.

ㅇ 감사결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 등 경영진 등에게 보고하여야 한다.

- 일정 및 범위

- 감사 내용 (감사 방법, 검토 문서, 면담자 등)

- 지적사항 및 보완조치 내용 (보완조치 완료 여부, 대책 등 포함) 등