외부자현황관리의 경우 업무 위탁(ISMS-P의 경우 개인정보처리업무 위탁 포함)에 따른 위탁사와 재위탁사에 대한 리스트관리, 현황파악에 대한 부분을 중심으로 보게 되며, IDC에서 AWS로의 이전과 같이 퍼블릭클라우드로 이전할 때 위험평가가 되지 않아 문제가 발생한 경우는 클라우드 보안보다 가장 근본적인 원인인 해당 통제항목 2.3.1 외부자 현황관리 결함으로 분류하게 됩니다. ※ ISMS-P [2.3.1 외부자현황관리] 관련법규「개인정보 보호법」 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적ㆍ관리..

2.2.6 보안 위반 시 조치 통제항목의 경우 보안 규정 위반자에 대한 처벌 규정 및 소명절차를 따랐는지가 큰 포인트가 됩니다. 진행에 앞서 소명(疏明) 단어에 대한 법률적 의미를 짚어보고 가겠습니다. 소명이란? 법관에게 까닭이나 이유를 밝혀 설명하는 것 즉, 판단에 필요한 최소한의 근거 자료를 제시함으로써 확실하다는 심증을 갖게 하는 것이라고 합니다. 업무 진행 시 자주 사용하는 단어에 대한 정확한 의미를 알고 가는 시간이 될 수 있도록 공유드립니다. 항목인증기준주요 확인사항2.2.6보안 위반 시 조치임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다. 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무..

항목인증기준주요 확인사항2.2.5퇴직 및 직무변경 관리퇴직 및 직무변경 시 인사∙정보보호∙개인정보보호∙IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수∙조정, 결과확인 등의 절차를 수립∙관리하여야 한다. 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가?조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수∙조정, 결과 확인 등의 절차를 수립∙이행하고 있는가? 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서, 시스템 운영부서 등 관련 부서 간 신속히 공..

직무분리는 조직 내에서 업무를 분리하여 각 직무가 서로 독립적으로 수행되도록 하는 것을 의미하며, 직무분리를 통해 내부 통제와 정보보호를 강화할 수 있으며, 내부 공격을 예방하고 정보 자산을 보호하는 데 중요한 역할을 합니다. ※ 주요 직무분리 예시구분담당업무수행 업무 예시개발자 (Developer)시스템 개발 및 유지보수코드 작성, 테스트, 배포 등운영자 (Operator)시스템 운영과 관리서버 관리, 네트워크 설정, 백업 등정보보호 담당자 (Security Officer)정보보호 정책 및 절차를 수립하고 관리보안 감사, 취약점 분석, 보안 교육 등시스템 운영자 (System Administrator)시스템의 기술적인 측면을 관리서버 관리, 사용자 계정 관리, 보안 패치 적용 등 ISMS-P인증심사 (..

ISMS-P 인증기준 2. 보호대책 요구사항 세부항목의 2.2 인적보안 분야 인증기준 중 첫 번째 주요 직무자 지정 및 관리입니다. 가장 중요한 키워드로는 주요 직무자, 개인정보취급자 최소한 지정 후 그 목록 최신화 관리입니다. ※ 관련법규「개인정보 보호법」 제28조(개인정보취급자에 대한 감독), 제29조(안전조치의무) 「 개인정보의 안전성 확보조치 기준 」  제4조(내부 관리계획의 수립·시행 및 점검) 항 목인증기준주요 확인사항2.2.1주요 직무자 지정 및 관리개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정..

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준의 두 번째 카테고리 2. 보호대책 요구사항(64개)의 첫 번째 2.1. 정책, 조직, 자산 관리 항목에 대해 알아보겠습니다.항목상세내용주요 확인사항2.1.1정책의 유지관리정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립∙이행하고 있는가?조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제∙개정하고 있는가?정보보호 및 개인정보..