ISMS-P (보호대책) 2.2.5 퇴직 및 직무변경 관리

항목		인증기준	주요 확인사항
2.2.5	퇴직 및 직무변경 관리	퇴직 및 직무변경 시 인사∙정보보호∙개인정보보호∙IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수∙조정, 결과확인 등의 절차를 수립∙관리하여야 한다.	퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가?
			조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수∙조정, 결과 확인 등의 절차를 수립∙이행하고 있는가?

 

퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서, 시스템 운영부서 등 관련 부서 간 신속히 공유되어야 합니다.

• 관련 조직 및 시스템 간 인사 변경 내용이 신속하게 공유될 수 있도록 절차 수립·이행 필요
  ※ 인사 변경 내용에 대한 신속한 공유 절차 예시
    - 정보처리시스템을 인사시스템과 연동하여 실시간 또는 일 배치로 계정정보 동기화
    - 협력업체 인원에 대한 통합 계정 등록·관리시스템을 구축하여 개별 시스템과 계정 동기화
    - 퇴직 프로세스 내에 관련 부서에 퇴직자 정보를 관련 부서에 공유하는 절차 포함 등

출처 : ISMS-P 구축운영 TIP 증적 퇴직자 보안점검 체크리스트 및 점검내역 예시

조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 및 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등 절차를 수립·이행하여야 합니다.

• 퇴직 및 직무변동 시 출입증 및 자산 반납, 계정 삭제 또는 잠금, 접근권한 회수·조정, 보안점검 등의 절차를 수립·이행
• 불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경
• 관련 기록을 보존하고 퇴직 절차 준수 여부에 대하여 정기적으로 검토 등

 

※  인증기준 증거자료 예시

• 퇴직 및 직무변경 절차서
• 퇴직 시 자산(계정) 반납관리대장
• 퇴직자 보안점검 체크리스트 및 점검 내역

 

※ 퇴직 및 직무변경 관리 인증기준 결함사례

• 사례 1
   : 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
• 사례 2
  : 최근에 퇴직한 주요 직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
• 사례 3
  : 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
• 사례 4
  : 개인정보취급자 퇴직 시 개인정보처리시스템의 접근 권한은 지체 없이 회수되었지만, 출입통제 시스템 및 VPN 등 일부 시스템의 접근 권한이 회수되지 않은 경우