[키워드]

정책, 하위문서, 경영진 승인, 최신본 공개
경영진의 승인을 받은 정책 및 시행문서를 관리하고 최신본을 공유하고 있는가?

 

[인증기준]

정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

정책과 시행문서가 있어야 한다. 정책은 큰 방향을 잡는 문서이고, 시행문서는 세부적인 내용을 잡는다. 작업 절차까지 명시하는 수준은 절차서나 지침에서 다뤄진다.

정책과 시행문서는 제/개정 시 경영진의 승인이 필요하다. 이는 경영진의 관심과 참여를 강제하기도 한다.

그리고 임직원이 쉽게 열람할 수 있도록 제공해야 한다.

 

 

[주요 확인사항]

조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

경영진의 승인을 받은 정책 및 그 시행문서가 관리되고 있는지가 중요하다.

 

 

[세부설명]

조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.
  • 조직의 정보보호 및 개인정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
  • 조직의 정보보호 및 개인정보보호를 위한 역할·책임 및 대상·범위
  • 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거
정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.
  • 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로 제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게 수립
  • 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호 관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
  • 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부 관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립
정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받아야 한다.
  • 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
  • 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
  • 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
  • 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.
  • 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
  • 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지

 

 

 

 

[결함사례]

사례 1 : 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우

>> 경영진의 승인을 받지 않은 경우

사례 2 : 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우

>> 최신 문서가 공유되지 않은 경우

사례 3 : 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

>>  문서가 공유되지 않은 경우

임직원에게 공유할 때에는 그룹웨어 공지를 통해 제공하는 것이 편하다. 관련자는 누구나 볼 수 있고, 공유 시점에 대한 증적도 남는다.

'IT > ISMS-P' 카테고리의 다른 글

1.1.6 자원 할당  (0) 2025.01.10
1.1.4 범위 설정  (0) 2025.01.09
1.1.3 조직 구성  (0) 2024.12.18
1.1.2 최고책임자의 지정  (3) 2024.12.12
1.1.1 경영진의 참여  (0) 2024.12.12

+ Recent posts

티스토리툴바