ISMS-P 인증기준 보호대책요구사항 2.2.6 보안 위반 시 조치

2.2.6 보안 위반 시 조치 통제항목의 경우 보안 규정 위반자에 대한 처벌 규정 및 소명절차를 따랐는지가 큰 포인트가 됩니다. 진행에 앞서 소명(疏明) 단어에 대한 법률적 의미를 짚어보고 가겠습니다. 소명이란? 법관에게 까닭이나 이유를 밝혀 설명하는 것 즉, 판단에 필요한 최소한의 근거 자료를 제시함으로써 확실하다는 심증을 갖게 하는 것이라고 합니다. 업무 진행 시 자주 사용하는 단어에 대한 정확한 의미를 알고 가는 시간이 될 수 있도록 공유드립니다.

 

항목		인증기준	주요 확인사항
2.2.6	보안 위반 시 조치	임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다.	임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?
			정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?

 

임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하여야 합니다.

• 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유·노출, 오·남용 등이 발견된 경우 조사, 소명, 징계 등의 조치 기준 및 절차 수립
• 정보보호 및 개인정보보호 책임과 의무를 충실히 이행한 경우에 대한 보상 방안도 고려

 

출처 : 정보보호 및 개인정보보호 관리체계(ISMS-P) 구축운영 TIP 증적 예시

 

정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하여야 합니다.

• 상벌 규정에 따른 조치를 수행하고 결과 기록
• 필요한 경우 전사 공지 또는 교육 사례로 활용 등

 

※ 보호대책요구사항 [2.2.6 보안 위반 시 조치] 증적 예시

• 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정)
• 정보보호 및 개인정보보호 지침 위반자 징계 내역
• 사고 사례(전사 공지, 교육 내용)

 

※ 보호대책요구사항 [2.2.6 보안 위반 시 조치] 결함사례

• 사례 1
   : 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
• 사례 2
   : 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우