외부자현황관리의 경우 업무 위탁(ISMS-P의 경우 개인정보처리업무 위탁 포함)에 따른 위탁사와 재위탁사에 대한 리스트관리, 현황파악에 대한 부분을 중심으로 보게 되며, IDC에서 AWS로의 이전과 같이 퍼블릭클라우드로 이전할 때 위험평가가 되지 않아 문제가 발생한 경우는 클라우드 보안보다 가장 근본적인 원인인 해당 통제항목 2.3.1 외부자 현황관리 결함으로 분류하게 됩니다. ※ ISMS-P [2.3.1 외부자현황관리] 관련법규「개인정보 보호법」 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적ㆍ관리..

2.2.6 보안 위반 시 조치 통제항목의 경우 보안 규정 위반자에 대한 처벌 규정 및 소명절차를 따랐는지가 큰 포인트가 됩니다. 진행에 앞서 소명(疏明) 단어에 대한 법률적 의미를 짚어보고 가겠습니다. 소명이란? 법관에게 까닭이나 이유를 밝혀 설명하는 것 즉, 판단에 필요한 최소한의 근거 자료를 제시함으로써 확실하다는 심증을 갖게 하는 것이라고 합니다. 업무 진행 시 자주 사용하는 단어에 대한 정확한 의미를 알고 가는 시간이 될 수 있도록 공유드립니다. 항목인증기준주요 확인사항2.2.6보안 위반 시 조치임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다. 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무..

항목인증기준주요 확인사항2.2.5퇴직 및 직무변경 관리퇴직 및 직무변경 시 인사∙정보보호∙개인정보보호∙IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수∙조정, 결과확인 등의 절차를 수립∙관리하여야 한다. 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가?조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수∙조정, 결과 확인 등의 절차를 수립∙이행하고 있는가? 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서, 시스템 운영부서 등 관련 부서 간 신속히 공..

정보보호 및 개인정보보호관리체계(ISMS-P) 인증기준 가운데 교육 및 훈련에 대한 내용은 담고 있는 통제항목 2.2.4 인식제고 및 교육훈련`입니다. 우리가 익히 알고 있고 익숙한 정보보호 및 개인정보보호 교육계획 수립/운영, 효과성 평가 반영, 미이수자 관리 등이 키 포인트이며, 법에서 명시한 교육 기준이 있다면 관련 내용을 꼭 준수해주어야 합니다. 가장 기본적인 법정의무교육 「개인정보보호법」 제28조 에 따른 개인정보보호교육(연 1회 이상) 외에도 각 직무별 전문성을 확보할 수 있도록 인식제고 활동 및 교육훈련이 필요한데, 그중 전자금융감독원의 검사를 받는 기관들의 경우 필수적으로 준수해야 하는 교육시간이 존재합니다. 「개인정보보호법」 제28조(개인정보취급자에 대한 감독)「전자금융감독규정」 제19조..

직무분리는 조직 내에서 업무를 분리하여 각 직무가 서로 독립적으로 수행되도록 하는 것을 의미하며, 직무분리를 통해 내부 통제와 정보보호를 강화할 수 있으며, 내부 공격을 예방하고 정보 자산을 보호하는 데 중요한 역할을 합니다. ※ 주요 직무분리 예시구분담당업무수행 업무 예시개발자 (Developer)시스템 개발 및 유지보수코드 작성, 테스트, 배포 등운영자 (Operator)시스템 운영과 관리서버 관리, 네트워크 설정, 백업 등정보보호 담당자 (Security Officer)정보보호 정책 및 절차를 수립하고 관리보안 감사, 취약점 분석, 보안 교육 등시스템 운영자 (System Administrator)시스템의 기술적인 측면을 관리서버 관리, 사용자 계정 관리, 보안 패치 적용 등 ISMS-P인증심사 (..

ISMS-P 인증기준 2. 보호대책 요구사항 세부항목의 2.2 인적보안 분야 인증기준 중 첫 번째 주요 직무자 지정 및 관리입니다. 가장 중요한 키워드로는 주요 직무자, 개인정보취급자 최소한 지정 후 그 목록 최신화 관리입니다. ※ 관련법규「개인정보 보호법」 제28조(개인정보취급자에 대한 감독), 제29조(안전조치의무) 「 개인정보의 안전성 확보조치 기준 」  제4조(내부 관리계획의 수립·시행 및 점검) 항 목인증기준주요 확인사항2.2.1주요 직무자 지정 및 관리개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정..