ISMS-P인증 (보호대책) 2.2.1 주요 직무자 지정 및 관리
2024. 6. 23. 12:20ㆍISMS-P 인증
728x90
ISMS-P 인증기준 2. 보호대책 요구사항 세부항목의 2.2 인적보안 분야 인증기준 중 첫 번째 주요 직무자 지정 및 관리입니다.
가장 중요한 키워드로는 주요 직무자, 개인정보취급자 최소한 지정 후 그 목록 최신화 관리입니다.
※ 관련법규
「개인정보 보호법」 제28조(개인정보취급자에 대한 감독), 제29조(안전조치의무)
「 개인정보의 안전성 확보조치 기준 」 제4조(내부 관리계획의 수립·시행 및 점검)
항 목 | 인증기준 | 주요 확인사항 | |
2.2.1 | 주요 직무자 지정 및 관리 | 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. | 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? |
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? | |||
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가? | |||
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립∙이행하고 있는가? |
개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 합니다.
- 주요 직무 기준 설정 예시
- 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급
- 중요 정보시스템(서버, 데이터베이스, 응용프로그램 등) 및 개인정보처리시스템 운영·관리
- 정보보호 및 개인정보보호 관리 업무 수행
- 보안시스템 운영 등
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 합니다.
- 주요 직무자 현황을 파악하여 주요 직무자로 공식 지정
- 지정된 주요 직무자에 대하여 목록으로 관리
- 주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트
- 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 합니다.
개인정보취급자 | 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자 |
- 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리
- 개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함
: 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능 - 정기적으로 개인정보취급자 지정 현황 및 적정성을 검토하여 목록 최신화
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 합니다.
- 업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정
- 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련
- 주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)
※ 주요직무자 지정 및 관리 인증기준 증적 예시
- 주요 직무 기준
- 주요 직무자 목록
- 개인정보취급자 목록
- 중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장
- 주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등)
※ 주요직무자 지정 및 관리 인증기준의 결함사례
- 사례 1
: 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우 - 사례 2
: 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우 - 사례 3
: 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우 - 사례 4
: 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
→ 내부 지침과 상이하게 관리
※ 유사한 상황에 대한 결함 구분방법
주요직무자 목록에서 퇴직자 발견 | 2.2.1 주요직무자 지정 및 관리 |
특수권한자 목록에서 퇴직자 발견 | 2.5.5 특수계정 및 권한관리 |
전반적으로 퇴직자 관리가 안됨 | 2.2.5 퇴직 및 직무변경 관리 |
728x90
'ISMS-P 인증' 카테고리의 다른 글
ISMS-P 인증심사 2.2.3 보안 서약 (0) | 2024.06.25 |
---|---|
ISMS-P인증심사 (보호대책) 2.2.2 직무분리 (0) | 2024.06.24 |
ISMS-P 인증 기준 2.1.3 정보자산관리 (정보자산별 보안등급, 자산목록) (0) | 2024.06.20 |
ISMS-P인증심사 2.1.2 조직의유지관리 (KPI, R&R 용어의미) (1) | 2024.06.20 |
ISMS-P인증기준 (보호대책) 2.1.1 정책의 유지관리 (키워드 : 일관성) (0) | 2024.06.17 |