ISMS-P 인증심사 (관리체계) 1.3.3 운영현황 관리 (운영현황표)
2024. 6. 7. 01:00ㆍISMS-P 인증
728x90
| 항목 | 상세내용 | 주요 확인사항 | |
| 1.3.3 | 운영현황 관리 | 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. | 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? |
| 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가? | |||
※ 관련 법규
- 개인정보 보호법 제31조(개인정보 보호책임자의 지정)
- ③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. <개정 2023. 3. 14.>
- 1. 개인정보 보호 계획의 수립 및 시행
- 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
- 5. 개인정보 보호 교육 계획의 수립 및 시행
- 6. 개인정보파일의 보호 및 관리ㆍ감독
- 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
- ④ 개인정보 보호책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. <개정 2023. 3. 14.>
- ⑤ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. <개정 2023. 3. 14.>
- 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
- ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. <개정 2021. 6. 8.>
- 1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
- 가. 정보보호 계획의 수립ㆍ시행 및 개선
- 나. 정보보호 실태와 관행의 정기적인 감사 및 개선
- 다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
- 라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
※ 관리체계의 효과적인 운영을 위하여 일·주·월·분기·반기·년 단위의 주기적 또는 상시적인 활동이 요구되는 정보보호 및 개인정보보호 활동을 식별하고, 그 운영현황을 쉽게 확인할 수 있도록 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하여 관리하여야 하며, 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악해야 합니다.
※ 주기적인 정보보호 및 개인정보보호 활동(예시)
- 주요 직무자, 개인정보취급자의 접속기록 검토
- 주요 직무자의 접근권한 검토
- 정기 정보보호 및 개인정보보호 위원회 개최
- 정보보호 및 개인정보보호 교육
- 사무실 보안점검
- 정보보호 및 개인정보보호 정책·지침 개정 검토
- 법적 준거성 검토
- 침해 대응 모의훈련
- IT 재해 복구 모의훈련
- 내부감사 등
※ 운영현황표 양식 (예시)
| 구분 | 정보보호 및 개인정보보호 관리체계 기준 | 주요 지표/활동/문서 | 수행주기 | 수행주체 | 확인 및 승인자 | ||||
| 분야 | 항목 | 담당부서 | 담당자 | ||||||
| 관리체계 수립 및 운영 | 1.3 | 관리체계 운영 | 1.3.3 | 운영현황 관리 | 정보보호 및 개인정보보호 운영현황표 | 1회/년 | OOOO팀 | 최정책 | 김보안 팀장 |
| 보호대책 요구사항 | |||||||||
| 개인정보 처리단계별 요구사항 | |||||||||
※ 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여
경영진에게 보고해야 하며, 경영진은 관리체계 운영활동의 효과성을 평가하여 필요시 개선 조치(수행주체 변경, 수행 주기 조정, 운영활동의 추가·변경·삭제 등)를 해야 합니다.
※ 증거자료 예시
- 정보보호 및 개인정보보호 연간계획서
- 정보보호 및 개인정보보호 운영현황표
- 정보보호 및 개인정보보호 활동 수행 여부 점검 결과
※ 결함사례 예시
- 사례
: 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우 - 사례 2
: 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
728x90
'ISMS-P 인증' 카테고리의 다른 글
| ISMS-P 인증 (관리체계) 1.4.1 법적 요구사항 준수 검토 (0) | 2024.06.09 |
|---|---|
| 가상자산사업자 대상 ISMS-P 주요 확인사항 (가상자산이용자보호법 ) (2) | 2024.06.08 |
| ISMS-P (관리체계) 1.3.2 보호대책 공유 (0) | 2024.06.06 |
| ISMS-P (관리체계) 1.3.1 보호대책 구현 (운영명세서) (0) | 2024.06.05 |
| (관리체계) 1.2.4 보호대책 선정 (위험 감소/회피/전가/수용) (0) | 2024.06.05 |