ISMS-P 인증항목 1.4.3 관리체계 개선

(관리체계) 1.4.3 관리체계 개선 인증기준

주요 키워드 : 반복적인 발생 방지, 개선. 효과성측정

법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립∙이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.

 

주요 사항 

법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립∙이행하여야 합니다.

• 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인
• 식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석
• 근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책의 수립·이행
• 수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시

재발방지 대책 예시	재발방지 및 개선조치 관련 보안성과지표 예시
정보보호 및 개인정보보호 정책·지침·절차 개정 임직원 및 외부자에 대한 교육 강화 또는 개선 이상행위 등에 대한 모니터링 강화 정보보호 및 개인정보보호 운영 자동화(계정관리 등) 정보보호 및 개인정보보호 관련 검토·승인 절차 개선 내부점검 체크리스트 또는 방식 개선	보안 정책·지침 위반율  : 외부 전송규정 위반율, 보안우회 시도율 등 보안 예외 승인 건수 보안 프로그램 설치율 악성프로그램 감염률 자가점검 수행률

 

재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하여야 합니다.

• 재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 관리체계 측면의 핵심성과지표(보안성과지표) 도출
• 핵심성과지표(보안성과지표)에 대한 측정 및 모니터링 절차 수립·이행
• 재발방지 및 개선조치의 정확성·효과성에 대한 확인 및 측정 결과는 경영진에게 보고

※ 인증기준 유사 내용 구분 비교

관련 포스팅	인증항목	결함사항
https://011cpo.tistory.com/19	1.3.1 보호대책 구현	당 해 구현된 대책에 대한 효과성 및 정확성 검증이 안된 경우
	1.4.3 관리체계 개선	매 해 반복 발생하는 경우
https://011cpo.tistory.com/24	1.4.2 관리체계 점검	조치 계획 미수립, 조치 완료 여부 점검 안함
	1.4.3 관리체계 개선	문제점의 근본원인에 대한 재발방지 대책을 재대로 수립하지 않음, 반복발생함

 

 

증적 예시

• 관리체계 점검 결과보고서
• 관리체계 점검 조치계획서·이행조치결과서
• 재발방지 대책
• 효과성 측정 지표 및 측정 결과(경영진 보고 포함)

결함사항 예시

• 사례 1
   : 내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우
• 사례 2
  : 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
• 사례 3
  : 관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
• 사례 4
  : 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우