ISMS-P인증심사 1.4.2 관리체계 점검 (독립성, 전문성)

(관리체계) 1.4.2 관리체계 점검

※ 주요 키워드 : 독립성, 전문성, 객관성, 연 1회 점검, 경영진 보고 

: 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 

 

※  주요 확인사항

• 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?
  • 점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함
  • 점검범위 : 전사 또는 인증범위 포함
  • 점검주기 : 최소 연 1회 이상 수행 필요
  • 점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의
• 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
  • 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성
  • 점검 계획에 따라 연 1회 이상 점검 수행
  • 점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고

※  관련법규

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검

 

※ 증거자료 예시 

• 관리체계 점검 계획서(ex, 내부점검 계획서, 내부감사 계획서)
• 관리체계 점검 결과보고서
• 정보보호 및 개인정보보호 위원회 회의록

 

※ 결함사례 예시 

• 사례 1
   :  관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 전산팀 관리 영역에 대한 점검에 관여하고 있어, 점검의 독립성이 훼손된 경우
• 사례 2
   : 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
• 사례 3
  : 관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우

 

※ 인증항목 유사 내용 구분 비교

결함사항	인증항목
조치 계획 미수립, 조치 완료 여부 점검 안함	1.4.2 관리체계 점검
문제점의 근본원인에 대한 재발방지 대책을 재대로 수립하지 않음, 반복발생함	1.4.3 관리체계 개선