수달정보보호

1.4.1 법적 요구사항 준수 검토 인증기준: 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 결함사례 #1 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우가 있다. 어느 조직이건, 체크리스트라는 것을 만들면 그것을 마치 변치 않는 하나의 틀로 인식하는 경우가 제법 있을 것이다. 심지어 법도 매년 조금씩 수정되고, 제정과 일부 조항 삭제가 되기도 하는데, 체크리스트가 매년 똑같을 수는 없다. 체..

1.3.1 보호대책 구현 인증기준: 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 결함사레 #1 ISMS-P 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우가 있다. '잊지말자 불조심'처럼 계속 외쳐야 한다. '잊지말자 경영진의 실질적 참여' 결함사레 #2 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우가 있다. 이거는 사실 놓치는 것에 고개가 끄덕여지는 사례는 아닌 것 같다. 안일함의 결과가 맞을 가능성이 크다. 그런데 결국 세부적으로 보면 다 드러나기 마련이다. ISMS-P 시험과 업무에 대해서..

1.2.1 정보자산 식별 인증기준: 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 결함사례 #1 ISMS-P 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우가 있다. 자산을 식별한다는 것은 언제나 힘든 일이다. 자산이라는 게 세부적으로 들어가면 종류가 워낙 많기에 놓칠 수도 있을 것이다. 따라서 자산을 구분해서 문서화하는 것이 중요하다고 생각한다. 그러면 실수 없이 놓치지 않고 관리할 수 있을 것이다. 결함사레 #2 ISMS-P 관리체계 범위 내에서 제3자로부..