ISMS-P (관리체계) 1.3.1 보호대책 구현 (운영명세서)
2024. 6. 5. 20:49ㆍISMS-P 인증
728x90
ISMS/ ISMS-P 인증심사 준비상태 점검 시 운영명세서 작성 현황 및 N/A 항목에 대한 적정성을 확인합니다.
인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입하여야 합니다.
1.3. 관리체계 운영
항목 | 상세내용 | 주요 확인사항 | |
1.3.1 | 보호대책 구현 | 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. | 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? |
관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가? |
※ 운영명세서 양식
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실 상세페이지
※ 인증항목 유사 내용 구분 비교
결함사항 | 인증항목 |
당 해 구현된 대책에 대한 효과성 및 정확성 검증이 안된 경우 | 1.3.1 보호대책 구현 |
매 해 반복 발생하는 경우 | 1.4.3 관리체계 개선 |
※ 증거자료 예시
- 정보보호 및 개인정보보호 이행계획서·위험관리계획서
- 정보보호 및 개인정보보호 대책서
- 정보보호 및 개인정보보호 이행계획 경과보고서(경영진 보고 포함)
- 정보보호 및 개인정보보호 이행 완료 보고서(경영진 보고 포함)
- 정보보호 및 개인정보보호 운영명세서
※ 결함사례 예시
- 사례 1
: 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우 - 사례 2 : 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우
- 사례 3 : 전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
- 사례 4 : 운영명세서에 작성된 운영 현황이 실제와 일치하지 않고, 운명명세서에 기록되어 있는 관련 문서, 결재 내용, 회의록 등이 존재하지 않는 경우
- 사례 5 : 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
728x90
'ISMS-P 인증' 카테고리의 다른 글
ISMS-P 인증심사 (관리체계) 1.3.3 운영현황 관리 (운영현황표) (0) | 2024.06.07 |
---|---|
ISMS-P (관리체계) 1.3.2 보호대책 공유 (0) | 2024.06.06 |
(관리체계) 1.2.4 보호대책 선정 (위험 감소/회피/전가/수용) (0) | 2024.06.05 |
ISMS-P (관리체계) 1.2.3 위험평가(Risk assessment) (0) | 2024.06.04 |
ISMS-P (관리체계) 1.2.2 현황 및 흐름분석 (정보서비스흐름도, 개인정보흐름표/흐름도) (0) | 2024.06.04 |