수달정보보호

2.2.1 주요 직무자 지정 및 관리 인증기준: 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 결함사례#1 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우가 있다. 이런 경우에는 실질적인 업무를 밑의 직원들이 맡고 있던 것이 아닌가 하는 생각이 든다. 임원을 명단에 넣는 것은 기본인 상황이니 말이다. 결함사례#2 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화..

2.1.1 정책의 유지관리 인증기준: 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다. 결함사례#1 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우가 있다. 일관성이 없다는 것은 분명한 한 가지를 의미한다. 당연히 규칙 중 하나 이상은 패스워드 설정 규칙의 정도가 약할 수밖에 없다는 것이다. 패스워드라는 것은 분명 인증 시스템 중 가장 약한 축에 속하는 편이고, 그렇기에 일관적으로 그 정도를 가능한 높일 필요가 있다. A와 B가 있는데 B의 규칙이 더욱 편함에 치중되어 있다면, 이용자들은 B의 규칙을 선호할 수밖에 없을 것이다..