외부자현황관리의 경우 업무 위탁(ISMS-P의 경우 개인정보처리업무 위탁 포함)에 따른 위탁사와 재위탁사에 대한 리스트관리, 현황파악에 대한 부분을 중심으로 보게 되며, IDC에서 AWS로의 이전과 같이 퍼블릭클라우드로 이전할 때 위험평가가 되지 않아 문제가 발생한 경우는 클라우드 보안보다 가장 근본적인 원인인 해당 통제항목 2.3.1 외부자 현황관리 결함으로 분류하게 됩니다. ※ ISMS-P [2.3.1 외부자현황관리] 관련법규「개인정보 보호법」 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적ㆍ관리..

2.2.6 보안 위반 시 조치 통제항목의 경우 보안 규정 위반자에 대한 처벌 규정 및 소명절차를 따랐는지가 큰 포인트가 됩니다. 진행에 앞서 소명(疏明) 단어에 대한 법률적 의미를 짚어보고 가겠습니다. 소명이란? 법관에게 까닭이나 이유를 밝혀 설명하는 것 즉, 판단에 필요한 최소한의 근거 자료를 제시함으로써 확실하다는 심증을 갖게 하는 것이라고 합니다. 업무 진행 시 자주 사용하는 단어에 대한 정확한 의미를 알고 가는 시간이 될 수 있도록 공유드립니다. 항목인증기준주요 확인사항2.2.6보안 위반 시 조치임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다. 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무..

항목상세내용주요 확인사항1.3.3운영현황 관리조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가? ※ 관련 법규 개인정보 보호법 제31조(개인정보 보호책임자의 지정) ③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처..

항목상세내용주요 확인사항1.3.2보호대책 공유보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?  ※ 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악해야 합니다▶ 공유 내용 : 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항 등▶ 공유 대상 : 해당 정책·지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자▶ 공유 방법 : 게시판 및 이메..

ISMS/ ISMS-P 인증심사 준비상태 점검 시 운영명세서 작성 현황 및 N/A 항목에 대한 적정성을 확인합니다.인증범위 내의 서비스, 시스템 등이 해당 항목에 전혀 관련이 없는 경우에 미선정 사유를 상세하게 기입하여야 합니다. 1.3. 관리체계 운영항목상세내용주요 확인사항1.3.1보호대책 구현선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?   ※ 운영명세서 양식KISA 정보보호 및 개인정보보호관리체계 인증 ISM..